Signalement de vulnérabilité significative ou d'incident affectant significativement un logiciel (Art. L. 2321-4-1 du code de la Défense)

Vous avez identifié ou il vous a été signalé une vulnérabilité significative dans un de vos logiciels ? Vous avez identifié ou il vous a été signalé un incident compromettant la sécurité de votre système d’information et susceptible d’affecter significativement un de vos produits ?

Vous êtes potentiellement concerné par l’obligation de signaler cette vulnérabilité ou cet incident à l’ANSSI aux termes de l’article L. 2321-4-1 du code de la défense.

Cette nouvelle obligation s’applique lorsque les conditions suivantes sont réunies (vous pouvez également consulter la foire aux questions) :

  • Vous êtes un éditeur de logiciel : au sens de la loi, on entend par éditeur de logiciel « toute personne physique ou morale qui conçoit ou développe un produit logiciel ou fait concevoir ou développer un produit logiciel et qui le met à la disposition d'utilisateurs, à titre onéreux ou gratuit ».
  • Vous fournissez votre logiciel :
    • Sur le territoire français ;
    • A des sociétés ayant leur siège social sur le territoire français ;
    • Ou à des sociétés contrôlées, au sens de l'article L. 233-3 du code de commerce, par des sociétés ayant leur siège social sur le territoire français.
  • Vulnérabilité : La vulnérabilité qui affecte votre logiciel est significative : le caractère significatif de la vulnérabilité est évalué par vos soins en fonction de votre connaissance de votre logiciel, de ses utilisateurs, de son usage et de son environnement, en vous appuyant notamment sur les critères proposés par l’article R2321-1-16 du code de la défense :
    • Le nombre d'utilisateurs concernés par la vulnérabilité ou l'incident affectant le produit ;
    • Le nombre de produits intégrant le produit affecté ;
    • L'impact technique, potentiel ou actuel, de la vulnérabilité ou de l'incident sur le fonctionnement attendu du produit. Selon les fonctionnalités du produit, cet impact est évalué au regard de critères de sécurité tels que la disponibilité, l'intégrité, la confidentialité ou la traçabilité ;
    • Le type de produit au regard de ses usages et de l'environnement dans lequel il est déployé ;
    • L'exploitation imminente ou avérée de la vulnérabilité ;
    • L'existence d'une preuve technique d'exploitabilité ou d'un code d'exploitation.
  • Incident : L’incident qui affecte votre système d’information est susceptible d’affecter significativement la sécurité d’un de vos produits : le caractère significatif est évalué par vos soins en fonction de votre connaissance du logiciel, de son infrastructure et de ses processus de développement, de distribution et de fonctionnement, de ses utilisateurs, de son usage et de son environnement. L’évaluation peut notamment s’appuyer sur les critères suivants :
    • L'accès au code source et la possibilité de le modifier ;
    • La compromission de secrets (e.g. clé privée de signature) ;
    • La modification de la chaîne de développement, compilation et distribution ;
    • La compromission de l’infrastructure assurant le fonctionnement du produit ;
    • La distribution de versions compromises aux utilisateurs ;
    • Les moyens de détection et de remédiation pour les utilisateurs.

Si vous avez un doute sur votre situation et en particulier sur le caractère significatif de la vulnérabilité ou de l’incident susceptible d’affecter la sécurité d’un de vos produits, vous pouvez consulter la Foire Aux Questions (FAQ) et contacter l’ANSSI qui vous orientera.

En cas d’incident, vous pourrez trouver plus d’information sur le site du CERT-FR (voir les bons réflexes en cas d’intrusion sur un système d’information).

Vous êtes concerné par cette obligation ou avez un doute : Contactez le CERT-FR par courriel chiffré avec la clef publique du CERT-FR.

Pour signaler une vulnérabilité significative ou un incident susceptible d’affecter significativement la sécurité d’un de vos produits au CERT-FR, votre courriel doit contenir les informations suivantes :

  • Identification du signalant : votre nom et prénom, nom de votre entreprise, adresse email de contact (si possible une adresse fonctionnelle type psirt@votreentreprise[.]fr) [1] ;
  • Clef PGP publique associée à l’adresse email de contact ;
  • Identification du logiciel : nom commercial du logiciel, version(s) vulnérable(s) ;
  • En cas de vulnérabilité :
    • Description de la vulnérabilité : type de vulnérabilité, identifiant CWE (si possible), méthode(s) d’exploitation, description succincte de la vulnérabilité ;
    • Dans la mesure du possible, nous vous recommandons d’indiquer aussi si d’éventuelles mesures de contournement et/ou de correction ont été identifiées ainsi que leur état d’avancement ;
  • En cas d’incident sur votre système d’information susceptible d’affecter la sécurité d’un de vos produits :
    • Description du périmètre affecté et des impacts identifiés.

[1] Vos données d’identification sont collectées exclusivement pour répondre à la finalité de traitement et de suivi de la notification de la vulnérabilité ou de l’incident. Vous pouvez consulter cette page pour plus d’information sur le traitement des données à caractère personnel.

En transmettant un signalement de vulnérabilité ou d’incident à l’ANSSI par courriel suivant cette procédure, vous vous engagez à ne pas communiquer de données à caractère personnel sensibles au sens de l’article 9 du RGPD(*) ni de données à caractère personnel concernant des tiers.

(*) Les données à caractère personnel sensibles au sens de l’article 9 du RGPD sont celles qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que les données génétiques, les données biométriques permettant d’identifier une personne physique de manière unique, les données concernant la santé ou les données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique.