Entrée en vigueur le 1 juin 2024
Est créé par : Décret n°2024-421 du 10 mai 2024 - art. 1
I. - Lorsque l'éditeur de logiciel mentionné à l'article L. 2321-4-1 a connaissance d'une vulnérabilité affectant un de ses produits ou en cas d'incident informatique compromettant la sécurité de son système d'information et susceptible d'affecter un de ses produits, il en apprécie le caractère significatif, notamment au regard des critères suivants :
1° Le nombre d'utilisateurs concernés par la vulnérabilité ou l'incident affectant le produit ;
2° Le nombre de produits intégrant le produit affecté ;
3° L'impact technique, potentiel ou actuel, de la vulnérabilité ou de l'incident sur le fonctionnement attendu du produit. Selon les fonctionnalités du produit, cet impact est évalué au regard de critères de sécurité tels que la disponibilité, l'intégrité, la confidentialité ou la traçabilité ;
4° Le type de produit au regard de ses usages et de l'environnement dans lequel il est déployé ;
5° L'exploitation imminente ou avérée de la vulnérabilité ;
6° L'existence d'une preuve technique d'exploitabilité ou d'un code d'exploitation.
II. - S'il constate que la vulnérabilité ou l'incident est significatif, l'éditeur de logiciel le notifie l'autorité nationale de sécurité des systèmes d'information La notification comporte les informations utiles à la compréhension de la vulnérabilité ou de l'incident mentionné au I. Lorsque la vulnérabilité ou l'incident a été notifié par l'autorité nationale de sécurité des systèmes d'information à l'éditeur de logiciel ce dernier dispose d'un délai fixé par cette autorité pour apprécier son caractère significatif. Ce délai ne peut être inférieur à 48 heures.
III. - L'éditeur de logiciel complète à cet effet le formulaire de déclaration mis à disposition sur le site internet de l'autorité nationale de sécurité des systèmes d'information et adresse les informations complémentaires au fur et à mesure de son analyse. Il répond aux demandes d'informations supplémentaires de l'autorité nationale de sécurité des systèmes d'information. Il met en œuvre, le cas échéant, les mesures utiles requises afin de sécuriser la vulnérabilité ou l'incident mentionné au I.
L'article 66 de cette loi introduit ainsi un nouvel article L.2321-4-1 dans le Code de la défense au sein du chapitre 1er « Responsabilités » du titre III « Sécurité des systèmes d'information ». L'obligation de notification concerne tous les éditeurs de logiciels qui fournissent ce produit : sur le territoire français ; à des sociétés ayant leur siège social sur le territoire français ; ou à des sociétés contrôlées, au sens de l'article L.233-3 du Code de commerce, par des sociétés ayant leur siège social sur le territoire français. […] Le nouvel article R.2321-1-16, I, […]
Lire la suite…Le nouvel article R.2321-1-16, I, du Code de la défense prévoit une liste de critères d'appréciation : le nombre d'utilisateurs concernés par la vulnérabilité ou l'incident affectant le produit ; le nombre de produits intégrant le produit affecté ; l'impact technique, potentiel ou actuel, […] L'éditeur doit rendre compte à l'ANSSI de l'envoi de ce message et donc du respect de son obligation d'information (C. défense, nouvel art. R.2321-1-17, II). […] L.2321-4-1, al. 5) sur le site du centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques (C. défense, nouvel art. R.2321-1-19, […]
Lire la suite…[…] Vu le code de la défense, notamment ses articles L. 2321-1 et suivants ; […] 1 Article L. 2321-2-3 du code de la défense. […] 16 Article R. 2321-1-10 du code de la défense. […] L'article 2 du projet de décret modifie en particulier les articles R. 9-12-1 et R. 9-12-6 du CPCE et crée un article R. 9-12-6-1. […] R. 2321-1-16 II – Signalement de vulnérabilités et
L'article 66 de cette loi introduit ainsi un nouvel article L.2321-4-1 dans le Code de la défense au sein du chapitre 1er « Responsabilités » du titre III « Sécurité des systèmes d'information ». L'obligation de notification concerne tous les éditeurs de logiciels qui fournissent ce produit : sur le territoire français ; à des sociétés ayant leur siège social sur le territoire français ; ou à des sociétés contrôlées, au sens de l'article L.233-3 du Code de commerce, par des sociétés ayant leur siège social sur le territoire français. […] Le nouvel article R.2321-1-16, I, […]
Lire la suite…