17 avril 2023

|

Marc-Antoine LEDIEU

Marc-Antoine LEDIEU – Avocat et RSSI

#463 projet LPM 2023 spécial cyber sécurité #1 éditeur de logiciel et obligation d’information

#463 projet LPM 2023 spécial cyber sécurité #1 éditeur de logiciel et obligation d’information

Le projet de Loi de Programmation Militaire 2023 pour les années 2024 à 2030

[mis à jour le 12 mai 2023] Pour la première fois depuis 1945, la France se sent militairement menacée sur ses frontières (indirectes) de l’est.

Apparemment (nous disent les politiques), le budget de l’Armée française va augmenter. Vous pourrez en juger en consultant le projet de LPM 2023 sur le site web de l’Assemblée nationale.

Nous n’étudierons ici que les aspects règlementaires « cyber sécurité » de ce projet de LPM.

Nous verrons en [rectificatif] 6 épisodes successifs les articles du Code de la défense qui devraient faire rapidement l’objet d’une adoption ou d’une ré-écriture (ce projet de LPM bénéficie de la procédure parlementaire accélérée).

Vu la nature très technique de ce texte, il est peu probable qu’il fasse l’objet d’évolutions majeures lors de son adoption par les parlementaires. Lire ce projet, c’est connaitre avec 90 % de probabilité ce qui va être adopté.

ATTENTION dates de publication sur ce blog, par importance des « cibles » concernées [en 6 épisodes au lieu de 5] :

épisode #1 : les dispositions applicables aux éditeurs de logiciel [18 avril 2023]

épisode #2 : marqueurs technique et données techniques [25 avril 2023]

épisode #3 : l’ANSSI et le droit d’alerte (direct) aux abonnés [2 mai 2023]

—> à partir du 9 mai 2023 : étude en Commission de la défense de l’Assemblée nationale du projet de LPM 

épisode #4 : comprendre ce qu’est un « évènement affectant la sécurité » [16 mai 2023]

épisode #5 spécial DNS filtrage des noms de domaine à problème [25 mai 2023]

épisode #6 (final) spécial données techniques de cache DNS [30 mai 2023]

—> épisode BONUS déjà disponible depuis le 9 mai 2023 : synthèse spéciale pour l’OSSIR des aspects cyber du projet LPM 2023

Ha oui… pardon… jamais oublier… j’ai préféré me faire valider / expliquer certains points techniques…

Un TRES GRAND MERCI à Jean-Philippe « l’Ourf » GAULIER de Cyberzen de s’être prêté (patiemment) à cet exercice et… à un autre professionnel discret du secteur…

Pour celles et ceux qui veulent faire un peu d’archéologie juridico-cyber, vous trouverez aussi sur ce blog des explications relatives :

l'INTRO et quelques slides magnifiquement illustrées avec "Les souvenirs de la Grande armée" !


le programme détaillé de cet épisode #1 consacré aux éditeurs de logiciel qui commercialisent "on premises" ou en mode "SaaS"

projet LPM 2023 spécial cyber sécurité #1 le programme : éditeur de logiciel © Ledieu-Avocats 16-04-2023


CHAP. 1.1 : le texte intégral

Je suis désolé pour vous, mais si vous voulez savoir ce qui est prévu, il va bien falloir lire le texte dans sa version « mark up » d’après le projet de LPM 2023 publié sur le site web de l’Assemblée nationale.

Si vous n’avez jamais lu un projet de loi version Assemblée nationale, allez vous faire peur…


CHAP. 1.2 du projet de LPM 2023 et éditeur de logiciel : ça s'applique à qui ?

Ce sont bien tous les éditeurs de logiciel qui sont concernés, que le « produit » (je cite la loi : il faut comprendre « logiciel » ) soit commercialisé en mode « on prem’ » (avec installation dans le système d’information du client) ou proposé en Software as a Service.

NON, ce projet d’article n’est pas réservé aux entreprises qui « fournissent » du logiciel à un OIV ou à un OSE.


CHAP. 1.3 dans lequel on découvre que la France impose l'extra-territorialité de ses lois

Les Etats-Uniens nous ont habitué à leurs législations à effet extra-territorial.

Ben… la France fait pareil !!!

Sont donc concernés ici :

TOUS les logiciels commercialisés « sur le territoire national » (où que soit situé le siège social de l’éditeur ou du prestataire, donc)

ou les logiciels commercialisés par des entreprises dont le siège social est « sur le territoire national » (même sans commercialisation en France, donc)

ou les logiciels fournis « on prem’ » ou en mode « SaaS » aux filiales d’entreprises dont le siège social est « sur le territoire national » 

(c’est bon ? on a oublié personne ? si ? les administrations et les collectivités de droit public ? Bien vu @Guillaume Hénin !)


CHAP. 1.4 dans lequel on évoque les vulnérabilités et les incidents de sécurité des éditeurs de logiciel qui doivent donner lieu à information OBLIGATOIRE...

Bon… C’est quoi la menace ? Tout ça, c’est pour lutter contre quoi ? 

C’est l’affaire SolarWinds.

ou l’affaire LOG4J.

ou la vuln (et le ransomware) ESXI

C’est pour forcer les OIV / OSE (et bientôt entités critiques / ESSENTIELLES et importantes) à patcher.

Et à mettre en place un process de suivi des vulnérabilités.

Restons factuels et relisons le texte : les éditeurs doivent notifier à l’ANSSI leur analyse des causes et des conséquences de la vulnérabilité « significative » identifiée

En l’état, ce texte n’impose pas de corriger / patcher ! 

Il parait que ce texte servirait néanmoins à pouvoir forcer certains éditeurs à arrêter « d’oublier des trucs sous le tapis »… Je vous rappelle que, légalement, les éditeurs de logiciel / prestataire SaaS ne sont sont soumis à aucune obligation de sécurité dans le développement (comprendre « la fabrication » ) de leurs logiciels. 

Rappelons qu’en 2021/2022, « radio moquette » annonçait que l’ANSSI allait être dotée du pouvoir de « patcher de force » les serveurs compromis (comme le FBI l’avait obtenu aux USA suite à la compromission de SolarWinds). Ce n’est pas ce que prévoit le projet de LPM 2023 en l’état (et je n’en sais pas plus !).


Vous découvrirez (probablement avec surprise) dans le CHAP. 1.5 ce que les éditeurs de logiciel doivent faire lorsqu'ils constatent... qu'ils ont un problème "significatif" de cyber sécurité

[spoiler avant d’attaquer le slider ci-dessous : notifier à l’ANSSI et prévenir les clients]


le CHAP. 1.6 est une synthèse pour les éditeurs de logiciel...


Le BONUS ci-dessous relève du conseil de bon sens (oui, ça arrive aussi aux juristes et aux avocats...)


prochain épisode ? mardi prochain !


Merci à Sébastien Le Foll et aux éditions Delcourt Soleil pour les illustrations en BD ayant servi pour cette présentation !

Vous voulez en savoir plus sur les bandes dessinées utilisées pour illustrer cette présentation ? Cliquez sur le lien qui vous intéresse !!!

« 5 Terres (Les) » première série complète en 6 tomes par « Lewelyn » (David Chauvel, Andoryss et Patrick Wong) et Jérome Lereculey © éditions Delcourt 2019-2022 – une des plus belles séries en BD avec des animaux humanisés (et une intrigue diabolique)

« Arctica » 12 tomes (dans lesquels ça bastone fort) par Daniel Pecqueur et Boyan Kovačević © éditions Delcourt 2007-2022

« Au-delà des merveilles » série complète en 3 tomes par Yohann « Wyllow » Puaud © éditions Clair de Lune 2004-2022 : c’est « Wyllow » qui m’a fait aimer la réforme du droit des contrat en 2016 avec un univers visuel tout à fait délicieux

« Badlands » série complète (et super sympa) en 3 tomes par Eric Corbeyran et Piotr Kowalski © éditions Soleil 2014-2018

« Carmen mc Callum » 19 tomes (tome 1 par Fred Duval + Olivier Vatine + Fred Blanchard + Stéphane « Gess » et tomes 2 et 3 par Fred Duval et Stéphane « Gess ») © éditions Delcourt 1995-2023 (je suis un inconditionnel de la série)

« Crépuscule des Dieux (Le) » série complète en 9 tomes par Nicolas Jarry et Jean-François « Djief » © éditions Soleil 2007-2016 : si vous aimez les légendes nordiques, vous ne serez pas déçu(e) !

« Dernier Troyen (Le) » série complète en 6 tomes + 1 intégrale par Valérie Mangin et Thierry Démarez © éditions Soleil 2004-2012

« Excalibur-Chroniques » (époustouflante) série complète en 5 tomes + 1 intégrale par Jean-Luc Istin et Alain Brion © éditions Soleil 2012-2019

« Fléau des dieux (Le) » série EX-CEP-TION-NELLE en 6 tomes par Valérie Mangin et Aleksa Gajic (dessinateur et coloriste de génie) © éditions Soleil 2000-2006

« Hercule » série complète (et proprement exceptionnelle) en 3 tomes par Jean-David Morvan + Vivien « Looky » Chauvet + Olivier Thill © éditions Soleil 2012-2017

« Horologiom » série complète (dans un univers graphique aussi unique qu’attachant) en 7 tomes + intégrale en 2 tomes par Stéphane Lebeault © éditions Delcourt 1994-2021

« Neandertal » série complète en 3 tomes par Emmanuel Roudier © éditions Delcourt 2007-2011 : il fallait un vrai talent au dessin comme au scénario pour nous captiver dans une époque aussi lointaine…

« Nef des Fous (La) » 12 tomes + intégrale en 2 tomes + hors série par Bernard « Turf » © éditions Delcourt 1993-2023 – de la pure fantaisie en BD dans un monde de fous !

« Odin » série complète en 2 tomes par Nicolas Jarry et Erwan Seure-Le Bihan © éditions Soleil 2010-2012 : c’est puissant, violent, dramatique : j’ai adoré !!!

« Oeil de la Nuit (L’) » série complète en 3 tomes par Serge Lehman et Stéphane « Gess » © éditions Delcourt 2015-2016 – un véritable chef d’oeuvre par deux génies de la BD !

« Olympus Mons » première série complète en 7 tomes par Christophe Bec (encore lui !) et Stefano Raffaele © éditions Soleil 2017-2022 – juste génial et captivant

« portes de Shamballah (Les) » série complète en 4 tomes par Mazuer + Romano + Taranzano © éditions Clair de Lune 2007-2016 : ça, c’est du complot ! 

« Serpent et la Lance (Le) » série en cours avec déjà 2 tomes publiés par Hub © éditions Delcourt 2019 – 2021 : bienvenu dans l’Empire aztèque en 1454 (c’est une merveille graphique, en plus d’une intrigue captivante)

« Souvenirs de la Grande Armée » série complète en 4 tomes + 1 intégrale par Michel Dufranne et Vladimir « Alexander » © éditions Delcourt 2007-2018. A cheval et vive l’Empereur ! 

« Sur les terres d’Horus » série (tout à fait remarquable) complète en 8 tomes par Isabelle Dethan © éditions Delcourt 2001-2015

« Ténèbres » série complète en 5 tomes par Christophe Bec et Giuseppe « Iko » © éditions Soleil 2009-2018  : de la pure Heroic Fantasy avec des dragons, des chevaliers et des princesses…

« Universal War One » série complète en 6 tomes (absolument remarquables) par Denis Bajram © éditions Soleil 1998-2006 

« Yiu Premières missions » série complète en 7 tomes qui déchirent + intégrale en 2 tomes par Thierry « Téhy » + Jeanne « JM Vee » + Vincent « Vax » © éditions Soleil 2003-2010

Marc-Antoine Ledieu

Avocat à la cour

Nos articles sur le sujet :
CYBER SÉCURITÉ

Nos articles sur le sujet :
CYBER SÉCURITÉ