Signalements des failles : à l’ANSSI, pas de raz-de-marée après la loi Lemaire

Hygiène informatique 15
En bref
image dediée
Crédits : Marc Rees (CC-BY-SA 4.0)
Loi
Marc Rees

Depuis la loi Lemaire, quiconque peut désormais signaler à l’ANSSI l’existence de failles de sécurité en étant assuré qu’il n’y aura pas de transmission automatique au Parquet.

La loi portée par Axelle Lemaire prévoit que l’ANSSI peut officiellement se voir signaler l’existence d’une vulnérabilité dans un système informatique sans craindre la douloureuse mécanique de l’article 40 du Code de procédure pénale. 

Pas d'article 40, mais pas de changement

Avec cette précaution, lorsqu’un piratage informatique ou n’importe quel autre délit tombe dans les oreilles d’un fonctionnaire ou d’une autorité, celui-ci doit aviser « sans délai » le procureur de la République et lui transmettre « tous les renseignements, procès-verbaux et actes qui y sont relatifs ».

Cette disposition ne change juridiquement pas grand-chose. D’une part, avant même la Loi Lemaire, l’ANSSI était déjà informée de failles de sécurité visant des acteurs qui ne sont pas des opérateurs d’importance vitale. Et jamais, elle n’a actionné cet article 40, dont la violation n’est d’ailleurs assortie d’aucune sanction.

D’autre part, rappelons qu’avant ou après la loi Lemaire, la situation juridique des hackers n’est pas profondément modifiée. Et pour cause, le législateur leur a refusé une véritable immunité pénale. Même s’ils passent par l’ANSSI, le responsable du traitement peut toujours attaquer celui qu’elle accuse d’atteinte ou simple pénétration sans droit dans un système informatique.

Une dizaine de cas par semaine

Questionné au FIC sur le retour d’expérience de cette nouvelle plateforme, Guillaume Poupard a en tout cas indiqué à Next INpact qu’il n’y avait pas eu un « raz-de-marée » de signalements. En tout, « une dizaine de cas par semaine nous sont remontés ». À titre d’exemple, il nous cite ce bar breton dont la caisse automatique était « disponible sur Internet ».

Dans le fil de l’échange, le directeur de l’agence a d’ailleurs quelque peu relativisé le nombre d’attaques majeures que connait la France. « Une vingtaine sont traitées chaque année par l’ANSSI. Le ministère de la Défense en dénombre 24 000. Ou bien il est plus attaqué, ou bien on ne compte pas pareil ».


chargement
Chargement des commentaires...