Art. R2321-1-16, Code de la défense
Lecture: 1 min
L3337MMK
I. - Lorsque l'éditeur de logiciel mentionné à l'article L. 2321-4-1 a connaissance d'une vulnérabilité affectant un de ses produits ou en cas d'incident informatique compromettant la sécurité de son système d'information et susceptible d'affecter un de ses produits, il en apprécie le caractère significatif, notamment au regard des critères suivants :
1° Le nombre d'utilisateurs concernés par la vulnérabilité ou l'incident affectant le produit ;
2° Le nombre de produits intégrant le produit affecté ;
3° L'impact technique, potentiel ou actuel, de la vulnérabilité ou de l'incident sur le fonctionnement attendu du produit. Selon les fonctionnalités du produit, cet impact est évalué au regard de critères de sécurité tels que la disponibilité, l'intégrité, la confidentialité ou la traçabilité ;
4° Le type de produit au regard de ses usages et de l'environnement dans lequel il est déployé ;
5° L'exploitation imminente ou avérée de la vulnérabilité ;
6° L'existence d'une preuve technique d'exploitabilité ou d'un code d'exploitation.
II. - S'il constate que la vulnérabilité ou l'incident est significatif, l'éditeur de logiciel le notifie l'autorité nationale de sécurité des systèmes d'information La notification comporte les informations utiles à la compréhension de la vulnérabilité ou de l'incident mentionné au I. Lorsque la vulnérabilité ou l'incident a été notifié par l'autorité nationale de sécurité des systèmes d'information à l'éditeur de logiciel ce dernier dispose d'un délai fixé par cette autorité pour apprécier son caractère significatif. Ce délai ne peut être inférieur à 48 heures.
III. - L'éditeur de logiciel complète à cet effet le formulaire de déclaration mis à disposition sur le site internet de l'autorité nationale de sécurité des systèmes d'information et adresse les informations complémentaires au fur et à mesure de son analyse. Il répond aux demandes d'informations supplémentaires de l'autorité nationale de sécurité des systèmes d'information. Il met en œuvre, le cas échéant, les mesures utiles requises afin de sécuriser la vulnérabilité ou l'incident mentionné au I.