logiciel

Actualités, Articles, Pénal numérique, Presse et communication numérique, Publication

Vulnérabilités et incidents significatifs : les éditeurs tenus de les signaler

/

La loi n°2023-703 du 1er août 2023 relative à la programmation militaire pour les années 2024 à 2030 contient des dispositions relatives à la responsabilité des éditeurs de logiciels en cas de vulnérabilité significative affectant un de leurs produits ou en cas d’incident informatique compromettant la sécurité de leurs systèmes d’information et susceptible d’affecter un de leurs produis, dont une obligation de notification des vulnérabilités et incidents significatifs à l’ANSSI (1). L’article 66 de cette loi introduit ainsi un nouvel article L.2321-4-1 dans le Code de la défense au sein du chapitre 1er « Responsabilités » du titre III « Sécurité des systèmes d’information ». L’obligation de notification concerne tous les éditeurs de logiciels qui fournissent ce produit : sur le territoire français ; à des sociétés ayant leur siège social sur le territoire français ; ou à des sociétés contrôlées, au sens de l’article L.233-3 du Code de commerce, par des sociétés ayant leur siège social sur le territoire français. Aux termes de l’article L.2321-4-1, un éditeur de logiciel est « toute personne physique ou morale qui conçoit ou développe un produit logiciel ou fait concevoir ou développer un produit logiciel et qui le met à la disposition d’utilisateurs, à titre onéreux ou gratuit ». Un décret du 10 mai 2024 définissant les modalités d’application de cet article est entré en vigueur le 1er juin 2024. Lire la suite L’obligation de notification des vulnérabilités et incidents significatifs à l’ANSSI Vulnérabilités et incidents significatifs : les éditeurs tenus de les signaler La loi de programmation militaire prévoit l’obligation pour les éditeurs de logiciels de notifier à l’ANSSI les vulnérabilités significatives affectant un de leurs produits et les incidents informatiques qui compromettent la sécurité de leurs systèmes d’information et qui sont susceptibles d’affecter significativement un de leurs produits. L’analyse des causes de la vulnérabilité ou de l’incident ainsi que de ses conséquences doit également lui être notifié. En vertu de l’article L.2321-4-1 du Code de la défense, un incident informatique est « Tout évènement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement ou des services que les réseaux et les systèmes d’information offrent ou rendent accessibles ». Les critères d’appréciation du caractère significatif Vulnérabilités et incidents significatifs : les éditeurs tenus de les signaler Il incombe à l’éditeur d’apprécier le caractère significatif de la vulnérabilité et de l’incident dès qu’il en a connaissance. Si la vulnérabilité ou l’incident lui a été notifié par l’ANSSI, l’éditeur dispose d’un délai qui ne peut pas être inférieur à 48h pour apprécier le caractère significatif. Le nouvel article R.2321-1-16, I, du Code de la défense prévoit une liste de critères d’appréciation : le nombre d’utilisateurs concernés par la vulnérabilité ou l’incident affectant le produit ; le nombre de produits intégrant le produit affecté ; l’impact technique, potentiel ou actuel, de la vulnérabilité ou de l’incident sur le fonctionnement attendu du produit. Selon les fonctionnalités du produit, cet impact est évalué au regard de critères de sécurité tels que la disponibilité, l’intégrité, la confidentialité ou la traçabilité ; le type de produit au regard de ses usages et de l’environnement dans lequel il est déployé ; l’exploitation imminente ou avérée de la vulnérabilité ; l’existence d’une preuve technique d’exploitabilité ou d’un code d’exploitation. Cette liste n’est en aucun cas exhaustive. Si, après analyse, l’éditeur détermine que la vulnérabilité ou l’incident en cause revêt un caractère significatif, alors il doit le notifier à l’ANSSI. La notification doit comporter les informations utiles à la compréhension de la vulnérabilité ou de l’incident en cause (C. défense, nouvel art. R.2321-1-16, II). D’un point de vue pratique, l’éditeur de logiciel doit compléter un formulaire de déclaration mis à disposition sur le site internet de l’ANSSI et adresser à cette dernière toute information complémentaire au fur et à mesure de son analyse ou en réponse aux demandes d’informations supplémentaires de l’ANSSI (C. défense, nouvel art. R.2321-1-16, III). L’éditeur de logiciel met en œuvre, le cas échéant, les mesures utiles requises afin de sécuriser la vulnérabilité ou l’incident en cause (C. défense, nouvel art. R.2321-1-16, III). L’obligation d’information des utilisateurs du produit affecté Vulnérabilités et incidents significatifs : les éditeurs tenus de les signaler L’article L.2321-4-1 du Code de la défense prévoit également une obligation d’information des utilisateurs des vulnérabilités et incidents significatifs. Le délai pour informer les utilisateurs est déterminé par l’ANSSI, après analyse conjointe de la vulnérabilité ou de l’incident avec l’éditeur, et tient compte de l’urgence, des risques pour la défense et la sécurité nationale et du temps nécessaire aux éditeurs pour prendre les mesures correctives. L’ANSSI notifie à l’éditeur le délai dans lequel il doit informer ses utilisateurs, ce délai ne pouvant, être inférieur à 10 jours ouvrables, sauf en cas de risque pour la défense et la sécurité nationale requérant une information des utilisateurs sans délai (C. défense, nouvel art. R.2321-1-17, I). L’information des utilisateurs du produit affecté est faite par un message d’information comprenant, le cas échéant, toute recommandation que ces derniers peuvent appliquer. L’éditeur doit rendre compte à l’ANSSI de l’envoi de ce message et donc du respect de son obligation d’information (C. défense, nouvel art. R.2321-1-17, II). Les pouvoirs de l’ANSSI en cas de non-respect de l’obligation d’information des utilisateurs Vulnérabilités et incidents significatifs : les éditeurs tenus de les signaler En cas de non-respect par l’éditeur de logiciel de l’obligation d’information, l’ANSSI peut l’enjoindre de procéder à cette information (C. défense, art. L.2321-4-1, al. 5). L’injonction doit (C. défense, nouvel art. R.2321-1-18) : • être motivée ; • préciser le délai imparti aux éditeurs de logiciels, qui ne peut être inférieur à 10 jours, ainsi que les mesures requises pour s’y conformer ; • être notifiée à l’éditeur par lettre recommandée avec avis de réception ; • informer l’éditeur que l’ANSSI peut informer les utilisateurs ou rendre public la vulnérabilité ou l’incident ainsi que l’injonction si celle-ci n’a pas été mise en œuvre. L’éditeur a la faculté de présenter des observations dans le délai imparti. L’ANSSI peut également informer

Software et Projets digitaux
Actualités, Vie du Cabinet

Informatique, Software et Projets digitaux : Lexing Avocats classé incontournable par Décideurs

/

Le cabinet Lexing Alain Bensoussan Avocats est à l’honneur du classement Innovation, Technologies & Télécoms 2024 du magazine Décideurs (Groupe Leaders league) pour sa pratique en Informatique, Software et Projets digitaux. Nous tenons à remercier nos clients de leur confiance renouvelée. Ainsi que l’ensemble des avocats du cabinet de leur professionnalisme et implication au quotidien. Lire la suite Innovation, Technologie et Télécoms 2024 Informatique, Software et Projets digitaux : Lexing Avocats incontournable Le magazine Décideurs vient de publier ses classements « Innovation, Technologie et Télécoms » 2024. Le cabinet est à l’honneur dans la catégorie Informatique, Software et Projets digitaux : il est en effet classé Incontournable dans cette catégorie, qui regroupe les 6 meilleurs cabinets de France de cette pratique. Le magazine Décideurs souligne à cette occasion : « Précédé par sa réputation, le cabinet accompagne des dossiers majeurs issus de grands groupes, multinationales, ETI, ESN, start-up, mais également d’entreprises publiques, d’administrations et collectivités territoriales ». C’est une grande fierté  pour les équipes de cette pratique et des départements concernés du cabinet – Alain Bensoussan, Virginie Bensoussan-Brulé, Jérémy Bensoussan, Benoît de Roquefeuil, Alexandra Massaux, Marie-Adélaide de Montlivault-Jacquot, Marie Soulez, Katharina Berbett, Jennifer Knight – et, au-delà, pour l’ensemble des équipes du cabinet. Informatique, Software et Projets digitaux Lexing Avocats classé incontournable par Décideurs Le droit de l’informatique est l’ADN du cabinet fondé par Alain Bensoussan en 1978. Les avocats spécialistes du droit informatique du cabinet interviennent dans tous les secteurs du droit de l’informatique et assistent leurs clients dans la rédaction, l’audit et la négociation de contrats informatiques, le contentieux informatique, la formation et le conseil en matière de conduite de grands projets informatiques. Le droit informatique est omniprésent.  Il couvre désormais tous les secteurs économiques (banque, assurance, distribution, publicité, santé, agriculture, transports, industrie, défense, espace,  robotique), toutes leurs activités de gestion, de production et d’organisation, l’ensemble des acteurs (entreprises utilisatrices et SSII, éditeurs de solutions et inopérants) et des projets de développement des entreprise privées comme publiques, toutes technologies confondues, des plus simples aux plus complexes (Big data, internet des objets…). Nos avocats peuvent vous accompagner, n’hésitez pas à nous contacter : paris@lexing.law Created by potrace 1.16, written by Peter Selinger 2001-2019 Alain Bensoussan Avocat, Spécialiste en droit des nouvelles technologies de l’informatique Alain Bensoussan Avocat, Spécialiste en droit des nouvelles technologies de l’informatique Avocat, pionnier du droit des technologies avancées, du droit de l’informatique dans les années 80 puis de l’internet et des réseaux sociaux au tournant des années 2000, il aborde le droit des technologies robotiques dès 2014, expert reconnu du droit de la protection des données personnelles dont il a accompagné l’émergence dès 1978, Alain Bensoussan a toujours fait de l’innovation son maître-mot. Phone:+33 (0)1 82 73 05 05 Email:alain-bensoussan@lexing.law Virginie Bensoussan-Brulé Avocate, Directrice du pôle Contentieux numérique Virginie Bensoussan-Brulé Avocate, Directrice du pôle Contentieux numérique Avocate à la Cour d’appel de Paris, Virginie Bensoussan-Brulé est titulaire du certificat de spécialisation en droit pénal, avec la qualification spécifique droit de la presse. Elle dirige le pôle Contentieux numérique et intervient dans les domaines du conseil et du contentieux en droit de la presse, en droit pénal du numérique et de l’informatique et en contentieux de l’Internet. Virginie Bensoussan-Brulé est nommée « Best Lawyer » dans la catégorie « Privacy and Data Security Law » en 2024 ainsi qu’en 2023. Phone:+33 (0)6 42 31 85 29 Email:virginie-bensoussan-brule@lexing.law Jérémy Bensoussan Avocat, Directeur du département Droit de l’IA & Contentieux technologiques Jérémy Bensoussan Avocat, Directeur du département Droit de l’IA & Contentieux technologiques Avocat à la Cour d’appel de Paris et ingénieur, Jérémy Bensoussan dirige le département Droit de l’IA & Contentieux technologiques. Il préside la Commission Vie privée et droits de l’homme numérique (Data Privacy) de l’Union internationale des avocats (UIA). Il est également Directeur adjoint de la stratégie digitale de l’UIA et membre de l’Incubateur du Barreau de Paris. Phone:+33 (0)6 38 17 91 60 Email:jeremy-bensoussan@lexing.law Benoit de Roquefeuil Avocat, Directeur du pôle Contentieux informatique Benoit de Roquefeuil Avocat, Directeur du pôle Contentieux informatique Avocat à la Cour d’appel de Paris, Benoit de Roquefeuil est Directeur du pôle Contentieux informatique. Sa pratique professionnelle ancrée dans l’analyse, la gestion et la résolution des grands contentieux informatiques depuis plus de 35 années le qualifie comme une référence « incontournable » du domaine tant auprès de ses pairs que des principaux acteurs de ce secteur d’activité. Benoit est ainsi notamment nommé « Best Lawyer » dans les catégories « Information Technology Law » et « Litigation » depuis 2016 par la revue américaine Best Lawyers. Phone:+33 (0)6 09 13 39 17 Email:benoit-de-roquefeuil@lexing.law Alexandra Massaux Avocate, Directrice du département Technologies émergentes Contentieux Alexandra Massaux Avocate, Directrice du département Technologies émergentes Contentieux Avocate à la Cour d’appel de Paris, Alexandra Massaux est directeur du département « Contentieux des technologies émergentes » au sein du Pôle Contentieux informatique. Son implication dans cette typologie de litiges lui a également permis de se forger une expérience solide du phasage et des processus qui président à la fourniture d’une solution informatique, des acteurs concernés et de la gestion, sur le plan organisationnel et humain, de projets. Alexandra Massaux est nommée Best Lawyer dans la catégorie « Information Technology Law » des éditions 2024 et 2023 du classement de la revue américaine « Best Lawyers ». Phone:+33 (0)6 47 21 37 26 Email:alexandra-massaux@lexing.law Marie-Adélaïde de Montlivault-Jacquot Avocate, Directrice du département Contentieux et expertises informatiques Marie-Adélaïde de Montlivault-Jacquot Avocate, Directrice du département Contentieux et expertises informatiques Avocate à la Cour d’appel de Paris, Marie-Adélaïde de Montlivault-Jacquot est directrice du département Expertise et contentieux informatique au sein du pôle Contentieux Informatique. Elle intervient en Conseil : conduite de projet, négociation de contrat, assistance juridique, déroulement technique et audit, jusqu’au contentieux : du précontentieux, négociation et transaction, à la saisine de la juridiction jusqu’à l’exécution des décisions. Phone:+33 (0)6 72 01 44 27 Email:marie-adelaide-de-montlivault@lexing.law Marie Soulez Avocate, Directrice du département Propriété intellectuelle Contentieux Marie Soulez Avocate, Directrice du département Propriété intellectuelle Contentieux Avocate à la Cour d’appel de Paris

Retour en haut