Interventions sur "ANSSI"

Cet article renforce les exigences de transparence qui s'appliquent aux éditeurs de logiciels, en contraignant ces derniers à informer l'Anssi et leurs utilisateurs en cas de vulnérabilité significative ou d'incident informatique susceptibles d'affecter un de leurs produits. Le groupe Horizons et apparentés a déposé plusieurs amendements en commission et en séance afin d'apporter des précisions ou d'en demander. Ainsi, nous avons déposé un amendement, retravaillé à l'issue de l'examen du texte en commission, visant à définir l'éditeur ...

...ité nationale, qui est une prérogative de l'État. En commission, nous avons néanmoins souhaité mieux définir ce qu'est un incident informatique et préciser le caractère significatif des incidents et vulnérabilités visés, par trois amendements que nous allons examiner dans quelques instants. Par ailleurs, j'émettrai un avis favorable à votre amendement n° 1673, qui prévoit que le délai fixé par l'Anssi pour informer les utilisateurs professionnels « est déterminé en fonction de l'urgence, des risques pour la sécurité nationale et du temps nécessaire aux éditeurs pour prendre les mesures correctives ».

Si les éditeurs de logiciels libres, pardon : de logiciels – libres ou pas : peu importe – ont l'obligation de transmettre à l'Anssi les failles de sécurité qui affectent leurs produits ou les incidents qui peuvent compromettre la sécurité nationale, il serait bon qu'ils puissent être sanctionnés s'ils ne le font pas. Il est en effet probable qu'ils n'auront pas tous envie de coopérer de manière immédiate et qu'ils chercheront à gagner du temps, dans la mesure où le fait de révéler les failles de sécurité d'un de vos logiciels...

...nérabilités que présentent leurs propres produits, sachant, comme vient de l'expliquer notre collègue Bernalicis, que le public risque alors de se montrer peu enclin à les utiliser. Par conséquent, si l'on ne prévoit aucune sanction pour non-respect de l'obligation de signaler les failles de sécurité, le plus vraisemblable est que ces dernières ne seront pas rendues publiques ni communiquées à l'Anssi. Aussi proposons, par ces amendements, que les éditeurs qui ne rempliraient pas leur obligation en la matière soient passibles d'une sanction financière. Il ne s'agit pas, pour le coup, de punir les entreprises ou je ne sais quoi : il y va de la sécurité nationale. Par ailleurs – j'aborde là une question plus large –, on peut se demander si certains éditeurs de logiciels ne sont pas un danger po...

Cet amendement de bon sens vise à rendre obligatoire la communication à l'Anssi de tout incident informatique au sein d'une entreprise. En effet, on peut considérer qu'en l'absence de sanction, le monde de l'entreprise aura tendance à ne pas respecter l'obligation. Nous proposons donc que l'Anssi puisse sanctionner son non-respect en infligeant à l'entreprise concernée une pénalité d'un montant limité à 1 % du chiffre d'affaires, ce qui est tout à fait raisonnable – nos coll...

...n équilibre entre, d'une part, la sécurité nationale et, d'autre part, nos libertés fondamentales, notamment la liberté d'agir et d'entreprendre, qui nous incite à limiter les contraintes pesant sur nos entreprises. En l'espèce, je souhaite que nous nous en tenions au dispositif prévu dans le texte, à savoir qu'en cas de non-respect de l'injonction de communiquer les vulnérabilités constatées à l'Anssi, celle-ci pratiquera le fameux name and shame. Au demeurant, aucune entreprise n'a intérêt à les dissimuler : son intérêt commercial est que le produit qu'elle vend fonctionne. Cela étant dit, le dispositif est au début de son existence : rien ne nous empêche de le faire évoluer par la suite si l'on considère qu'il est insuffisant. En tout état de cause, j'estime, pour l'instant, que nous...

...en plaidant pour le logiciel libre. Ce que j'ai dit c'est que, dans une logique capitaliste, il faut des sanctions financières car les dirigeants de firme ne comprennent que ça : ils ont un portefeuille à la place du cœur, et seules les sanctions financières les pousseront à agir. Quant à votre argument, monsieur le ministre délégué, qui consiste à dire que les failles doivent être déclarées à l'Anssi pour éviter qu'elles soient rendues publiques, il est catastrophique ! Mieux vaut infliger des sanctions aux entreprises pour les obliger à révéler les failles, quitte, ensuite, à voir si elles sont rendues publiques ou non – c'est l'Anssi qui décidera. Pour conclure, sur le logiciel libre, l'idée est que, puisque l'on sort des logiques capitalistes, il n'y a plus besoin de prévoir de sanctions,...

... ou des voies de recours, mais seulement de ne pas nuire aux entreprises. En réalité, ce n'est pas le sujet. La question est que l'on crée une obligation, mais sans sanction, ce qui revient à annuler cette obligation. Pour l'entreprise, ce n'est pas une question de bonne volonté, c'est une question d'intérêts économiques : elle n'a pas intérêt à rendre publiques ses failles. Vous expliquez que l'Anssi pourra le faire, mais il faudrait au minimum que ce soit automatique et qu'il y ait des sanctions. Le groupe Écologiste soutiendra donc ces amendements.

...lité. Sans être hostile sur le principe à la logique de ces amendements, je pense qu'il serait bon que nous soyons au clair sur les vulnérabilités, les backdoors – sans parler de Palentir, entouré d'une certaine opacité –, et que le bon vecteur en la matière est NIS 2. Si jamais la directive faisait l'impasse sur le sujet, alors nous l'inscririons dans le droit national afin de donner à l'Anssi un pouvoir de sanction administratif – je rejoins ici ce qu'a dit Ugo Bernalicis : les sanctions administratives ne sont pas l'apanage des autorités administratives indépendantes, comme le montre l'exemple de la DGCCRF. Cela étant, mieux vaut quand c'est une autorité administrative indépendante.

Il ne faut oublier personne car il y va de la portée de la coercition pouvant peser sur les éditeurs de logiciels. Puisque vous avez refusé les sanctions financières pour défaut de communication d'une vulnérabilité, il faut à tous le moins que les éditeurs en informent les utilisateurs ou, à défaut, l'Anssi. Il ne faudrait donc pas que la rédaction actuelle rate la cible, et c'est la raison pour laquelle, en commission, je faisais partie de la minorité qui aurait préféré que l'on se réfère à tous les utilisateurs. Il n'y a pas toujours de consensus dans la fabrique de la loi, et il arrive que le débat recommence dans l'hémicycle, où le rapport de force n'est pas nécessairement le même qu'en commiss...

Même avis défavorable, ma chère collègue, que pour votre amendement n° 1121 qui visait à rendre automatiques les mesures prévues à l'article 32. Il convient en effet de laisser de la flexibilité à l'Anssi et aux éditeurs dans leur réponse aux actes malveillants.

Il vise à préciser que le délai d'information fixé par l'Anssi est pris selon certains critères, en l'occurrence les risques pour la sécurité nationale, l'urgence et le temps nécessaire pour prendre les mesures correctives. L'objectif est ici d'encadrer la décision de l'Anssi, afin de garantir que le délai d'information soit fixé non pas de manière discrétionnaire selon les éditeurs, mais bien de façon cohérente en fonction de certains critères, en vue d'un ...

En complétant les propos de notre collègue Chassaniol, je répondrai aussi à l'amendement n° 847 rectifié. Nous avons une vraie difficulté de temporalité. S'il faut en effet que l'Anssi ne traite pas les éditeurs de manière discriminatoire, ce qui suppose un encadrement, il faut aussi qu'un correctif soit apporté à chaque vulnérabilité car, dans le cas contraire, des attaquants seraient à même de s'en saisir : c'est ce que Mme Ménard soulevait en proposant l'ajout des mots « dès que ». Or, si nous avons besoin de correctifs, leur développement peut être plus ou moins long, ce qu...

Nous restons sur le même thème. Ces amendements visent à obliger l'Anssi à enjoindre aux éditeurs de logiciels d'informer leurs utilisateurs en cas de vulnérabilité ou d'incident compromettant la sécurité de leurs systèmes d'information. Collègues, nous avons, tous, certainement, été déjà victimes de fuites de mot de passe, parfois même sans que nous en ayons été informés par les entreprises concernées. Or, aux termes du projet de loi, monsieur le ministre délégué, v...

Nous sommes ici dans un cas de figure où une faille de vulnérabilité a été constatée et, je l'espère, communiquée à l'Anssi. Celle-ci doit donc, aux termes des amendements que nous venons d'adopter, fixer un délai à l'éditeur concerné pour qu'il fournisse un correctif et informe ses utilisateurs professionnels de cette faille. Voilà où nous en sommes. Or imaginons que, patatras, l'éditeur du logiciel ne fasse pas ce que lui a demandé l'Anssi : dans ce cas, l'Agence peut, je dis bien peut, c'est-à-dire éventuellement, ...

Et si l'éditeur refuse d'agir, l'Anssi doit donc le faire à sa place. C'est d'ailleurs pour cette raison que l'entreprise comprendra qu'il vaut mieux agir elle-même, plutôt que d'être tributaire d'une communication de l'Anssi. J'insiste, la possibilité d'agir à la place de l'éditeur n'est pas suffisante, surtout eu égard à ses capacités de négociation – ce qui nous fait revenir à la discussion précédente –, celles-ci dépendant de la ...

J'estime pour ma part qu'une publication obligatoire rigidifierait trop le texte. Comme précédemment, il faut laisser un peu de latitude à l'Anssi pour apprécier les vulnérabilités et prendre ses décisions en conséquence. En commission, nous avons adopté un amendement de notre collègue Belhamiti visant à ce que le délai d'information des utilisateurs soit déterminé par l'Anssi. Et nous venons d'adopter les amendements n° 1634 et 1673 qui viennent préciser que ce délai dépend de l'urgence, des risques pour la sécurité nationale – je rappelle...

Une fois de plus, votre raisonnement ne tient pas. Nous sommes dans le cas où un éditeur, après avoir été enjoint par l'Anssi d'avertir ses utilisateurs professionnels d'une vulnérabilité dans certains délais et de fournir le correctif adapté, ne le fait pas. Or si elle le lui a demandé, c'est que c'était pertinent, ou alors c'est que quelque chose ne tourne pas rond dans ma tête ou dans le raisonnement.

Si l'Anssi a estimé pertinent d'enjoindre à une entreprise d'informer ses utilisateurs d'une faille et que cette entreprise fait défaut, il faut que cette communication soit obligatoirement faite par l'Agence car, dans le cas contraire, votre dispositif ne serait qu'un pétard mouillé !

...nt alors que du dialogue normal entre une administration et ses usagers et il existe déjà un code des relations entre le public et l'administration. J'insiste : pourquoi alourdirions-nous la loi avec des dispositions indiquant que les gens peuvent discuter entre eux ? Ils le peuvent évidemment. Il convient donc de verrouiller les choses formellement. Une marge d'appréciation est déjà laissée à l'Anssi dans le début de l'alinéa 6 : au bout du compte, il faut tout de même prévoir un couperet. Vous avez refusé l'introduction de sanctions financières, monsieur le ministre délégué, au motif que les entreprises font déjà face à un risque réputationnel, mais si ce dernier peut être lui-même sujet à discussion et à négociation, je répète qu'il n'y a plus rien ! Chacun fait alors comme il veut, à la bo...