Signaler une vulnérabilité, un incident

Confronté à une vulnérabilité ou un incident chez autrui : l’ANSSI vous propose, après qualification, de transmettre le message.

Publié le 31 Août 2023 Mis à jour le 25 Juin 2024

Vous avez découvert une fuite de données, une faille de sécurité, une vulnérabilité ou un incident de sécurité au sein d'un système d'information ou d'un composant, logiciel ou matériel et vous souhaitez nous la déclarer ?

Vous pouvez contacter le CERT-FR qui se chargera de qualifier et transmettre votre signalement aux entités concernées tout en préservant la confidentialité de votre identité et les éléments de votre déclaration. Voir la page Signalements pour la manière dont ces signalements sont effectués.

Si vous avez identifié ou il vous a été signalé une vulnérabilité significative dans un de vos logiciels, ou un incident compromettant la sécurité de votre système d’information et susceptible d’affecter significativement un de vos produits : vous êtes potentiellement concerné par l’obligation de signaler cette vulnérabilité à l’ANSSI aux termes de l’article L2321-4-1 du Code de la défense. Vous trouverez plus d’information sur les démarches à effectuer sur cette page :

En cas de signalement concernant une entité étrangère, le CERT-FR peut transmettre votre signalement à son homologue compétent.

Loi pour une République numérique n° 2016-1321 du 7 octobre 2016
Article 47

Le chapitre Ier du titre II du livre III de la deuxième partie du code de la défense est complété par un article L. 2321-4 ainsi rédigé :

« Art. L. 2321-4. – Pour les besoins de la sécurité des systèmes d’information, l’obligation prévue à l’article 40 du code de procédure pénale n’est pas applicable à l’égard d’une personne de bonne foi qui transmet à la seule autorité nationale de sécurité des systèmes d’information une information sur l’existence d’une vulnérabilité concernant la sécurité d’un système de traitement automatisé de données.

« L’autorité préserve la confidentialité de l’identité de la personne à l’origine de la transmission ainsi que des conditions dans lesquelles celle-ci a été effectuée.

« L’autorité peut procéder aux opérations techniques strictement nécessaires à la caractérisation du risque ou de la menace mentionnés au premier alinéa du présent article aux fins d’avertir l’hébergeur, l’opérateur ou le responsable du système d’information. »

ELI: www.legifrance.gouv.fr/eli/loi/2016/10/7/ECFI1524250L/jo/article_47 | Alias: www.legifrance.gouv.fr/eli/loi/2016/10/7/2016-1321/jo/article_47

Article L2321-4-1 du Code de la défense

Le chapitre Ier du titre II du livre III de la deuxième partie du code de la défense est complété par un article L. 2321-4-1 ainsi rédigé :

« En cas de vulnérabilité significative affectant un de leurs produits ou en cas d'incident informatique compromettant la sécurité de leurs systèmes d'information et susceptible d'affecter significativement un de leurs produits, les éditeurs de logiciels notifient à l'autorité nationale de sécurité des systèmes d'information cette vulnérabilité ou cet incident ainsi que l'analyse de ses causes et de ses conséquences. Cette obligation s'applique aux éditeurs qui fournissent ce produit :

1° Sur le territoire français ;

2° A des sociétés ayant leur siège social sur le territoire français ;

3° Ou à des sociétés contrôlées, au sens de l'article L. 233-3 du code de commerce, par des sociétés ayant leur siège social sur le territoire français.

Les éditeurs de logiciels informent les utilisateurs de ce produit, dans un délai fixé par l'autorité nationale de sécurité des systèmes d'information et déterminé en fonction de l'urgence, des risques pour la défense et la sécurité nationale et du temps nécessaire aux éditeurs pour prendre les mesures correctives. A défaut, l'autorité nationale de sécurité des systèmes d'information peut enjoindre aux éditeurs de logiciels de procéder à cette information. Elle peut également informer les utilisateurs ou rendre publics cette vulnérabilité ou cet incident ainsi que son injonction aux éditeurs si celle-ci n'a pas été mise en œuvre.

Pour l'application du présent article, on entend par éditeur de logiciel toute personne physique ou morale qui conçoit ou développe un produit logiciel ou fait concevoir ou développer un produit logiciel et qui le met à la disposition d'utilisateurs, à titre onéreux ou gratuit.

Pour l'application du premier alinéa, on entend par incident informatique tout événement compromettant la disponibilité, l'authenticité, l'intégrité ou la confidentialité des données stockées, transmises ou faisant l'objet d'un traitement ou des services que les réseaux et les systèmes d'information offrent ou rendent accessibles.

Un décret en Conseil d'Etat, pris après avis de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse, définit les modalités d'application du présent article. Il précise notamment les critères d'appréciation du caractère significatif de la vulnérabilité ou de l'incident mentionnés au premier alinéa. Le caractère significatif de la vulnérabilité est défini en fonction des pratiques et des standards internationaux communément admis. »

https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000047920584

Sur le même sujet :

Contenus similaires

Signalement par un lanceur d’alerte : adresser une alerte à l’ANSSI

Conformément au cadre légal en vigueur, l’ANSSI a mis en place un dispositif spécifique pour recueillir et traiter les signalements des lanceurs d’alerte.