En matière de cybersécurité, les vulnérabilités sont le nerf de la guerre. Il n’est donc pas étonnant que l’Anssi veuille exercer un certain contrôle sur la façon dont les éditeurs corrigent les vulnérabilités et alertent leurs utilisateurs sur les incidents qui affectent leurs produits. Dans un décret paru au journal officiel vendredi 10 mai, le gouvernement précise les contours de cette nouvelle prérogative de l’Agence nationale de la sécurité des systèmes d’information.
Le décret prévoit que les éditeurs logiciels fournissant leurs logiciels sur le sol français ou installés en France signalent à l’Anssi les vulnérabilités ou incidents de sécurité jugés « significatifs ».
Cette disposition est issue de la dernière loi de programmation militaire, qui prévoit de nouveaux pouvoirs pour l’Anssi notamment en matière de détection des menaces et de filtrage des noms de domaines.
Qu’est ce qu’une vulnérabilité significative?
La publication de ce décret fait suite à une consultation publique menée par l’agence auprès de plusieurs acteurs depuis le mois de janvier. Dans le décret finalement approuvé, les critères que les éditeurs de logiciel devront prendre en compte pour estimer le caractère « significatif » d’une vulnérabilité ou d’un incident sont au nombre de six :
- Le nombre d’utilisateurs affectés
- Le nombre de produits touchés
- L’impact technique de la vulnérabilité
- Le type de produit
- L’exploitation active de la vulnérabilité par des acteurs malveillants
- L’existence d’un code d’exploitation
Autant de facteurs que les éditeurs devront prendre en compte.
Un délai à l’éditeur pour communiquer aux utilisateurs la vulnérabilité
Si la vulnérabilité est jugée significative, les éditeurs doivent la communiquer auprès de l’Anssi en passant par un formulaire dédié mis à disposition sur le site de l’agence.
Après ce premier signalement, l’Anssi procède à une analyse, puis fixe un délai à l’éditeur pour communiquer aux utilisateurs la vulnérabilité ou l’incident de sécurité. Le décret précise que ce délai ne peut être inférieur à 10 jours ouvrables, « sauf en cas de risque pour la défense et la sécurité nationale requérant une information des utilisateurs sans délai. »
La procédure est plus contraignante dans les cas où l’Anssi, informée de l’existence d’une faille de sécurité jugée significative, est à l’initiative du signalement auprès de l’entreprise concernée. Dans ce cas de figure, le texte prévoit un délai de 48h pour l’éditeur chargé d’évaluer de son côté la gravité de l’incident ou de la vulnérabilité signalée.
Efforts de transparence
Si l’éditeur ne se plie pas aux demandes de l’Anssi en matière de communication autour de l’incident, l’Anssi peut l’enjoindre à le faire sous délai via l’envoi d’une lettre recommandée avec accusé de réception. Et si l’éditeur décide de ne pas en tenir compte, l’Anssi se réserve la possibilité de communiquer elle-même sur la vulnérabilité ou l’incident en question.
Avec ce texte l’Anssi se dote d’un moyen de pression pour pousser les éditeurs à une plus grande transparence sur les incidents de sécurité et les vulnérabilités.
Aux États Unis, l’équivalent américain de l’Anssi, la CISA, a récemment annoncé une approche similaire, mais plus souple. Baptisé Secure By Design Pledge, ce texte incite les entreprises signataires à mettre en place des bonnes pratiques de sécurité et une plus grande transparence sur les vulnérabilités.
Mais l’initiative américaine est uniquement basée sur le volontariat. Pour l’instant 68 entreprises, comptant notamment Microsoft, Cisco ou Cloudflare, ont répondu à l’appel.