Interventions sur "logiciel"

...eut déjà procéder et pour lesquels on pourrait parler de surcoûts à chaque nouvelle demande. Là, les opérateurs seront obligés d'investir massivement pour effectuer des redirections vers des serveurs sécurisés – de l'Anssi par exemple – en réponse à des attaques coordonnées et massives s'appuyant sur des flux de données importants. Les mesures qu'ils devront prendre impliquent d'investir dans des logiciels de filtrage ou dans des outils dirigeant les flux de données directement sur les serveurs. Ces mesures sont bien plus complexes que celles concernant les retraits de contenus terroristes ou pédopornographiques. Dans ce contexte, il paraît délicat d'imposer le terme de surcoûts – qui reste d'ailleurs à définir. Si les opérateurs font ces investissements, ce sera au détriment du fonctionnement no...

Cet article renforce les exigences de transparence qui s'appliquent aux éditeurs de logiciels, en contraignant ces derniers à informer l'Anssi et leurs utilisateurs en cas de vulnérabilité significative ou d'incident informatique susceptibles d'affecter un de leurs produits. Le groupe Horizons et apparentés a déposé plusieurs amendements en commission et en séance afin d'apporter des précisions ou d'en demander. Ainsi, nous avons déposé un amendement, retravaillé à l'issue de l'examen d...

Nous partageons l'objectif visé mais, aux termes de l'article 34, il est de la responsabilité des éditeurs de logiciels de déclarer leurs vulnérabilités. Or, ceux-ci ne sont pas habilités à apprécier l'atteinte à la sécurité nationale, qui est une prérogative de l'État. En commission, nous avons néanmoins souhaité mieux définir ce qu'est un incident informatique et préciser le caractère significatif des incidents et vulnérabilités visés, par trois amendements que nous allons examiner dans quelques instants. Par ...

Si les éditeurs de logiciels libres, pardon : de logiciels – libres ou pas : peu importe – ont l'obligation de transmettre à l'Anssi les failles de sécurité qui affectent leurs produits ou les incidents qui peuvent compromettre la sécurité nationale, il serait bon qu'ils puissent être sanctionnés s'ils ne le font pas. Il est en effet probable qu'ils n'auront pas tous envie de coopérer de manière immédiate et qu'ils chercher...

La question qui se pose ici est celle de savoir si les éditeurs de logiciels transmettront les informations relatives aux vulnérabilités que présentent leurs propres produits, sachant, comme vient de l'expliquer notre collègue Bernalicis, que le public risque alors de se montrer peu enclin à les utiliser. Par conséquent, si l'on ne prévoit aucune sanction pour non-respect de l'obligation de signaler les failles de sécurité, le plus vraisemblable est que ces dernières ne...

Ou de TikTok, entre autres : je suis d'accord. Si l'on va au bout de ce raisonnement, on peut estimer qu'il serait intéressant d'utiliser des logiciels libres, qui non seulement sont plus sécurisés mais échappent aux logiques capitalistiques, de sorte que leurs concepteurs n'auraient pas de difficultés à déclarer leurs failles de sécurité.

En matière de communication des anomalies logicielles, des failles informatiques, il existe deux approches. La première, dogmatique, vient d'être défendue du côté gauche de l'Hémicycle.

Les tenants de cette approche considèrent qu'il faut adopter une posture anticapitaliste vis-à-vis des éditeurs de logiciels. Elle est dogmatique, et M. Bernalicis l'a démontré lorsqu'il a évoqué, dans un lapsus, les logiciels libres. De très nombreuses failles logicielles, y compris celles qui sont intégrées dans des logiciels d'éditeurs capitalistes, si je puis dire, proviennent en fait de développements de la communauté du logiciel libre. Or on ne peut pas sanctionner, comme vous le proposez, une communauté de déve...

...ue des entreprises capitalistiques mues par des logiques de rentabilité avaient déjà posé des problèmes à la sécurité nationale, et nous pouvons d'ailleurs remercier chaleureusement MM. Assange et Snowden qui, pour avoir révélé un certain nombre de ces problèmes, ont ensuite subi des attaques d'une extrême violence. Vous me reprochez de proposer des sanctions financières tout en plaidant pour le logiciel libre. Ce que j'ai dit c'est que, dans une logique capitaliste, il faut des sanctions financières car les dirigeants de firme ne comprennent que ça : ils ont un portefeuille à la place du cœur, et seules les sanctions financières les pousseront à agir. Quant à votre argument, monsieur le ministre délégué, qui consiste à dire que les failles doivent être déclarées à l'Anssi pour éviter qu'elles s...

Je comprends la logique de ces amendements, qui soulèvent plusieurs questions, notamment celle de l'imbrication entre les logiciels libres et ceux des éditeurs commerciaux. Se pose aussi la question de la vitesse de divulgation des failles, dans la mesure où, si on ne dispose pas des correctifs, cette divulgation devient problématique, d'autant que je vous entends lorsque vous dites que l'argument de la réputation ne tient pas face aux risques pour la sécurité nationale que présenterait la révélation de failles pour lesquell...

Cet amendement propose une mesure d'efficacité. Le texte indique que, lorsqu'une faille survient dans le logiciel, les utilisateurs professionnels devront en être informés. Nous proposons la suppression du terme « professionnels », d'ailleurs ajouté en commission, car nous considérons que nos réseaux informatiques constituent une chaîne et que tous les utilisateurs, professionnels comme non professionnels, doivent être informés. Les ordinateurs des particuliers peuvent faire l'objet de contaminations et, à l...

Je m'exprime sur cet amendement qui, s'il était adopté, ferait tomber le suivant. Nous avons voulu, en commission des lois, cibler les utilisateurs professionnels de logiciel, mais la question se pose de leur définition : qu'entend-on par professionnels ? Incluent-ils, par exemple, les groupements hospitaliers de territoire (GHT), qui n'entrent pas nécessairement dans cette catégorie au sens du code de commerce, auquel on peut être susceptible de se référer pour interpréter l'article ? En ce qui concerne néanmoins les particuliers, il existe déjà des dispositifs d'in...

Il ne faut oublier personne car il y va de la portée de la coercition pouvant peser sur les éditeurs de logiciels. Puisque vous avez refusé les sanctions financières pour défaut de communication d'une vulnérabilité, il faut à tous le moins que les éditeurs en informent les utilisateurs ou, à défaut, l'Anssi. Il ne faudrait donc pas que la rédaction actuelle rate la cible, et c'est la raison pour laquelle, en commission, je faisais partie de la minorité qui aurait préféré que l'on se réfère à tous les utili...

Mon intervention sera courte, car il s'agit d'un amendement très simple ayant pour objet de contraindre les éditeurs de logiciels à transmettre dans les plus brefs délais les informations nécessaires pour assurer la sécurité des données sensibles. L'amendement vise ainsi à introduire la notion d'immédiateté à l'article 34, en imposant aux éditeurs d'agir « dès que » leurs produits sont affectés ou susceptibles de l'être par une vulnérabilité significative.

Il me semble que les mots « dès que » laissent de la flexibilité, étant donné qu'ils ne veulent pas dire « à la seconde où ». Cet amendement me paraît de bon sens et contenir une formulation offrant une meilleure réponse aux préoccupations de sécurité vis-à-vis des éditeurs de logiciels.

...s critères selon lesquels le délai d'information sera fixé. Je souhaite également réagir aux propos de Mme la rapporteure pour avis, selon qui les entreprises n'ont pas intérêt à mettre des produits défectueux sur le marché. Pour avoir un peu travaillé dans le domaine du développement informatique, je puis vous dire qu'une très longue et très coûteuse phase de débogage suit le développement d'un logiciel. De nombreuses entreprises mettent donc sur le marché des produits en sachant pertinemment qu'ils comprennent des failles de sécurité très importantes.

C'est par exemple l'habitude de Microsoft. Pour proposer des logiciels à des prix moins élevés, les éditeurs font pour ainsi dire accomplir le débogage par les utilisateurs, un signalement parvenant automatiquement aux entreprises après chaque dysfonctionnement et leur permettant de prendre connaissance des failles de sécurité. Le délai d'information dont nous parlons pourrait donc être très important, car la phase de débogage peut s'étendre sur un ou deux ans. Je ...

Nous restons sur le même thème. Ces amendements visent à obliger l'Anssi à enjoindre aux éditeurs de logiciels d'informer leurs utilisateurs en cas de vulnérabilité ou d'incident compromettant la sécurité de leurs systèmes d'information. Collègues, nous avons, tous, certainement, été déjà victimes de fuites de mot de passe, parfois même sans que nous en ayons été informés par les entreprises concernées. Or, aux termes du projet de loi, monsieur le ministre délégué, vous souhaitez qu'il soit simplement p...

Nous sommes ici dans un cas de figure où une faille de vulnérabilité a été constatée et, je l'espère, communiquée à l'Anssi. Celle-ci doit donc, aux termes des amendements que nous venons d'adopter, fixer un délai à l'éditeur concerné pour qu'il fournisse un correctif et informe ses utilisateurs professionnels de cette faille. Voilà où nous en sommes. Or imaginons que, patatras, l'éditeur du logiciel ne fasse pas ce que lui a demandé l'Anssi : dans ce cas, l'Agence peut, je dis bien peut, c'est-à-dire éventuellement, faire elle-même ce que l'éditeur a refusé. Eh bien non ! Si l'Anssi a demandé à l'éditeur d'informer ses utilisateurs professionnels dans un certain délai, c'est qu'elle le jugeait utile, pertinent et nécessaire.

…dont l'objectif est d'informer les utilisateurs de la présence d'une faille dans le logiciel afin d'en limiter les victimes. Il est bien entendu que, parallèlement à cette publication, l'Anssi, en lien avec l'éditeur victime de l'attaque, travaille à combler la faille. Votre amendement conduisant à affaiblir le dispositif, j'émettrai un avis défavorable.