Interventions sur "ANSSI"

...en plaidant pour le logiciel libre. Ce que j'ai dit c'est que, dans une logique capitaliste, il faut des sanctions financières car les dirigeants de firme ne comprennent que ça : ils ont un portefeuille à la place du cœur, et seules les sanctions financières les pousseront à agir. Quant à votre argument, monsieur le ministre délégué, qui consiste à dire que les failles doivent être déclarées à l'Anssi pour éviter qu'elles soient rendues publiques, il est catastrophique ! Mieux vaut infliger des sanctions aux entreprises pour les obliger à révéler les failles, quitte, ensuite, à voir si elles sont rendues publiques ou non – c'est l'Anssi qui décidera. Pour conclure, sur le logiciel libre, l'idée est que, puisque l'on sort des logiques capitalistes, il n'y a plus besoin de prévoir de sanctions,...

... ou des voies de recours, mais seulement de ne pas nuire aux entreprises. En réalité, ce n'est pas le sujet. La question est que l'on crée une obligation, mais sans sanction, ce qui revient à annuler cette obligation. Pour l'entreprise, ce n'est pas une question de bonne volonté, c'est une question d'intérêts économiques : elle n'a pas intérêt à rendre publiques ses failles. Vous expliquez que l'Anssi pourra le faire, mais il faudrait au minimum que ce soit automatique et qu'il y ait des sanctions. Le groupe Écologiste soutiendra donc ces amendements.

...lité. Sans être hostile sur le principe à la logique de ces amendements, je pense qu'il serait bon que nous soyons au clair sur les vulnérabilités, les backdoors – sans parler de Palentir, entouré d'une certaine opacité –, et que le bon vecteur en la matière est NIS 2. Si jamais la directive faisait l'impasse sur le sujet, alors nous l'inscririons dans le droit national afin de donner à l'Anssi un pouvoir de sanction administratif – je rejoins ici ce qu'a dit Ugo Bernalicis : les sanctions administratives ne sont pas l'apanage des autorités administratives indépendantes, comme le montre l'exemple de la DGCCRF. Cela étant, mieux vaut quand c'est une autorité administrative indépendante.

Il ne faut oublier personne car il y va de la portée de la coercition pouvant peser sur les éditeurs de logiciels. Puisque vous avez refusé les sanctions financières pour défaut de communication d'une vulnérabilité, il faut à tous le moins que les éditeurs en informent les utilisateurs ou, à défaut, l'Anssi. Il ne faudrait donc pas que la rédaction actuelle rate la cible, et c'est la raison pour laquelle, en commission, je faisais partie de la minorité qui aurait préféré que l'on se réfère à tous les utilisateurs. Il n'y a pas toujours de consensus dans la fabrique de la loi, et il arrive que le débat recommence dans l'hémicycle, où le rapport de force n'est pas nécessairement le même qu'en commiss...

Même avis défavorable, ma chère collègue, que pour votre amendement n° 1121 qui visait à rendre automatiques les mesures prévues à l'article 32. Il convient en effet de laisser de la flexibilité à l'Anssi et aux éditeurs dans leur réponse aux actes malveillants.

Il vise à préciser que le délai d'information fixé par l'Anssi est pris selon certains critères, en l'occurrence les risques pour la sécurité nationale, l'urgence et le temps nécessaire pour prendre les mesures correctives. L'objectif est ici d'encadrer la décision de l'Anssi, afin de garantir que le délai d'information soit fixé non pas de manière discrétionnaire selon les éditeurs, mais bien de façon cohérente en fonction de certains critères, en vue d'un ...

En complétant les propos de notre collègue Chassaniol, je répondrai aussi à l'amendement n° 847 rectifié. Nous avons une vraie difficulté de temporalité. S'il faut en effet que l'Anssi ne traite pas les éditeurs de manière discriminatoire, ce qui suppose un encadrement, il faut aussi qu'un correctif soit apporté à chaque vulnérabilité car, dans le cas contraire, des attaquants seraient à même de s'en saisir : c'est ce que Mme Ménard soulevait en proposant l'ajout des mots « dès que ». Or, si nous avons besoin de correctifs, leur développement peut être plus ou moins long, ce qu...

Nous restons sur le même thème. Ces amendements visent à obliger l'Anssi à enjoindre aux éditeurs de logiciels d'informer leurs utilisateurs en cas de vulnérabilité ou d'incident compromettant la sécurité de leurs systèmes d'information. Collègues, nous avons, tous, certainement, été déjà victimes de fuites de mot de passe, parfois même sans que nous en ayons été informés par les entreprises concernées. Or, aux termes du projet de loi, monsieur le ministre délégué, v...

Nous sommes ici dans un cas de figure où une faille de vulnérabilité a été constatée et, je l'espère, communiquée à l'Anssi. Celle-ci doit donc, aux termes des amendements que nous venons d'adopter, fixer un délai à l'éditeur concerné pour qu'il fournisse un correctif et informe ses utilisateurs professionnels de cette faille. Voilà où nous en sommes. Or imaginons que, patatras, l'éditeur du logiciel ne fasse pas ce que lui a demandé l'Anssi : dans ce cas, l'Agence peut, je dis bien peut, c'est-à-dire éventuellement, ...

Et si l'éditeur refuse d'agir, l'Anssi doit donc le faire à sa place. C'est d'ailleurs pour cette raison que l'entreprise comprendra qu'il vaut mieux agir elle-même, plutôt que d'être tributaire d'une communication de l'Anssi. J'insiste, la possibilité d'agir à la place de l'éditeur n'est pas suffisante, surtout eu égard à ses capacités de négociation – ce qui nous fait revenir à la discussion précédente –, celles-ci dépendant de la ...

J'estime pour ma part qu'une publication obligatoire rigidifierait trop le texte. Comme précédemment, il faut laisser un peu de latitude à l'Anssi pour apprécier les vulnérabilités et prendre ses décisions en conséquence. En commission, nous avons adopté un amendement de notre collègue Belhamiti visant à ce que le délai d'information des utilisateurs soit déterminé par l'Anssi. Et nous venons d'adopter les amendements n° 1634 et 1673 qui viennent préciser que ce délai dépend de l'urgence, des risques pour la sécurité nationale – je rappelle...

Une fois de plus, votre raisonnement ne tient pas. Nous sommes dans le cas où un éditeur, après avoir été enjoint par l'Anssi d'avertir ses utilisateurs professionnels d'une vulnérabilité dans certains délais et de fournir le correctif adapté, ne le fait pas. Or si elle le lui a demandé, c'est que c'était pertinent, ou alors c'est que quelque chose ne tourne pas rond dans ma tête ou dans le raisonnement.

Si l'Anssi a estimé pertinent d'enjoindre à une entreprise d'informer ses utilisateurs d'une faille et que cette entreprise fait défaut, il faut que cette communication soit obligatoirement faite par l'Agence car, dans le cas contraire, votre dispositif ne serait qu'un pétard mouillé !

...nt alors que du dialogue normal entre une administration et ses usagers et il existe déjà un code des relations entre le public et l'administration. J'insiste : pourquoi alourdirions-nous la loi avec des dispositions indiquant que les gens peuvent discuter entre eux ? Ils le peuvent évidemment. Il convient donc de verrouiller les choses formellement. Une marge d'appréciation est déjà laissée à l'Anssi dans le début de l'alinéa 6 : au bout du compte, il faut tout de même prévoir un couperet. Vous avez refusé l'introduction de sanctions financières, monsieur le ministre délégué, au motif que les entreprises font déjà face à un risque réputationnel, mais si ce dernier peut être lui-même sujet à discussion et à négociation, je répète qu'il n'y a plus rien ! Chacun fait alors comme il veut, à la bo...

L'article 34 vise à permettre à l'Anssi de publier les vulnérabilités d'une entreprise. Il s'agit non seulement d'une méthode contestable, mais qui est, en outre, de nature à mettre en danger une entreprise en l'exposant potentiellement à d'autres attaques. En effet, ce serait une occasion en or pour les hackers : on leur offrirait sur un plateau d'argent une voie d'entrée dans les systèmes d'information. Ils s'en donneraient à cœur jo...

…dont l'objectif est d'informer les utilisateurs de la présence d'une faille dans le logiciel afin d'en limiter les victimes. Il est bien entendu que, parallèlement à cette publication, l'Anssi, en lien avec l'éditeur victime de l'attaque, travaille à combler la faille. Votre amendement conduisant à affaiblir le dispositif, j'émettrai un avis défavorable.

Je comprends votre argument, monsieur le ministre délégué. Il est bien évident que, seul, cet amendement ne permet pas d'inciter les éditeurs à signaler et combler les failles de leurs systèmes, et c'est pour cette raison que j'ai déposé après l'article 36 un amendement tendant à demander un rapport sur la pénalisation des entreprises qui ne répondraient pas aux demandes de l'Anssi. La réponse d'un État de droit à ce type de manquements doit être une sanction, pas le name and shame proposé par Mme la rapporteure pour avis.

Lorsque, en commission, nous avons commencé l'examen de l'article 35, nous étions très défavorables à sa rédaction. Nos amendements ont notamment permis de circonscrire son application « aux seules fins de garantir la défense et la sécurité nationale » – précision indispensable, de même que le maintien, pour les agents de l'Anssi recueillant des données auprès des acteurs numériques, de la nécessité d'être assermentés, disposition dont l'article prévoyait initialement la suppression. Ainsi modifié, il est désormais acceptable, conforme à ce qu'il doit être, si bien que nous voterons contre les amendements identiques tendant à le supprimer. En revanche, monsieur le ministre délégué, il ressort de cet article que des trace...

...tion des cyberattaques et l'information des victimes par divers moyens : recueil de données sur le réseau d'un opérateur de communications électroniques ou le système d'information d'un fournisseur d'accès, d'un hébergeur, d'un centre de données ; obligation pour les OIV de disposer d'un système de détection des attaques informatiques ; obligation pour les hébergeurs de données de communiquer à l'Anssi certaines informations relatives aux utilisateurs ou systèmes d'information vulnérables, menacés ou attaqués. Étant donné l'octroi à l'Anssi de ces nouvelles prérogatives, il est nécessaire de s'assurer de l'encadrement des dispositifs en cause : c'est pourquoi le groupe Horizons et apparentés se félicite que l'adoption en commission de deux de ses amendements ait garanti, d'une part, que la col...

Les nouveaux pouvoirs de l'Anssi ressemblent bizarrement à ce qui se pratique en matière de renseignement : la captation de données par des boîtes noires. Certes, le mécanisme prévu par le texte est plus circonscrit, mais je ne m'en pose pas moins des questions. Sa finalité serait plutôt préventive : on nous explique qu'il ne sera mis en œuvre que tant que durera la menace, et dans le même temps que, l'Anssi ne roulant pas sur l...