LPM 2024 – Nouvelles obligations de notification des vulnérabilités pour les éditeurs de logiciels et SaaS

La LPM 2024-2030¹ introduit de nouvelles obligations pour les éditeurs de logiciels et de SaaS passées un peu inaperçues.

À l’époque, nous attendions des précisions sur ces obligations, et notamment, la définition d’éditeur logiciel…

Désormais, avec l’article L. 2321-4-1 du Code de la Défense (et le Décret n° 2024-421 du 10 mai 2024 pour préciser ses modalités), si votre entreprise est concernée, vous devrez notifier l’ANSSI chaque fois que vous découvrez une vulnérabilité significative ou un incident de sécurité…

Pour vous y retrouver, voici un guide simple et direct pour comprendre ce que cette loi pour les éditeurs de logiciels signifie et comment s’y préparer.

Comprendre les termes clés de la LPM 2024

Quels éditeurs de logiciels sont concernés ?

Un éditeur de logiciels, c’est vous, si vous concevez, développez ou faites développer des logiciels et que vous les distribuez, que ce soit gratuitement ou en les faisant payer.

Cela inclut :

• Développeurs indépendants : freelancers ou petites entreprises créant des applications spécifiques,
• Grandes entreprises : celles qui proposent des suites logicielles complètes,
• Startups : les nouvelles entreprises innovantes.
• Les SaaS

Qu’est-ce qu’une vulnérabilité significative ?

La nouvelle loi définit une vulnérabilité significative comme étant une faille de sécurité dans un logiciel qui, si exploitée, pourrait permettre à un attaquant de compromettre :

• la confidentialité,
• l’intégrité ou
• la disponibilité des données ou des systèmes

Les critères pour déterminer la significativité incluent :

• Le nombre d’utilisateurs touchés
• L’impact potentiel sur le fonctionnement du produit
• L’exploitation imminente ou avérée de la vulnérabilité

La faille Log4j, découverte en 2021, est un exemple typique de vulnérabilité significative.
Cette faille dans une bibliothèque de journalisation a permis à des attaquants de prendre le contrôle de nombreux systèmes à distance, mettant en danger la confidentialité et la sécurité de millions d’utilisateurs à travers le monde.

Évidemment, pas besoin que l’impact soit mondial pour que votre entreprise soit concernée par l’obligation.

Qu’est-ce qu’un incident informatique ?

Un incident informatique est tout événement qui compromet la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données ou des services.

Cela peut inclure :

• Attaques par ransomware :
• Violation de données
• Déni de service
• etc.

Pourquoi ces nouvelles obligations pour les éditeurs de logiciels et SaaS ?

Renforcer la sécurité nationale

L’objectif est simple : renforcer la sécurité des systèmes d’information en France en favorisant une meilleure circulation des informations critiques.

En obligeant les éditeurs à signaler rapidement les vulnérabilités et incidents de sécurité, cela permet aux autorités, comme l’ANSSI, de réagir de manière coordonnée et avec les ressources nécessaires.

Même si l’ANSSI n’intervient pas directement pour chaque éditeur, cette obligation aide à renforcer le niveau de sécurité en assurant une vigilance continue et une meilleure circulation de l’information.

Et quand on est hors du périmètre ANSSI ?

La notification des vulnérabilités reste une obligation pour améliorer globalement la sécurité des systèmes d’information sur tout le territoire français.

Cette loi vient compléter les réglementations existantes, comme le RGPD qui veille à la protection des données personnelles, et les directives NIS (2), dédiées à la sécurité des infrastructures critiques.

Protection des utilisateurs

Même si les utilisateurs ne sont pas automatiquement informés de chaque vulnérabilité, leur sécurité s’en trouve renforcée.

Pourquoi ? D’abord, une meilleure circulation de l’information facilitera le maintien en condition de sécurité (MCS).

Ensuite, en cas d’atteinte importante, l’information devra redescendre vers les utilisateurs, qui pourront prendre les mesures concernées.

Enfin, parce que cette réglementation incite implicitement les éditeurs à avoir une démarche proactive en matière de cybersécurité.

Quelles sont vos obligations en tant qu’éditeur de logiciels ?

Notification à l’ANSSI

Quand vous détectez une vulnérabilité significative ou un incident de sécurité affectant votre logiciel, vous devez le notifier à l’ANSSI. Votre notification de vulnérabilités doit inclure :

• Une analyse des causes et des conséquences
• Les informations nécessaires pour comprendre le problème

Information des utilisateurs

Vous devez informer vos utilisateurs des vulnérabilités et incidents dans un délai fixé par l’ANSSI, en fonction de l’urgence et des risques.

Critères d’appréciation du caractère significatif

Pour décider si une vulnérabilité ou un incident est significatif, vous devez regarder :

• Le nombre d’utilisateurs concernés
• L’impact technique sur votre produit
• Si la faille est exploitée ou sur le point de l’être
• S’il y a une preuve technique ou un code d’exploitation

Législation et éditeurs : sanctions, avantages et planning de conformité

Que risquent les éditeurs en cas de non-respect ?

Si un éditeur de logiciel ne respecte pas l’obligation d’informer les utilisateurs, l’ANSSI peut faire une :

• Injonction : vous enjoindre de notifier vos utilisateurs dans un délai imparti. Cette injonction est formelle et doit être respectée sous peine de sanctions.
• Publication : si vous ne vous conformez pas à l’injonction, l’ANSSI peut rendre public la vulnérabilité ou l’incident ainsi que l’injonction non exécutée. Cela pourrait nuire à votre réputation (name & shame).
• Intervention directe : en cas d’urgence, l’ANSSI peut informer directement les utilisateurs ou le public.

Quelles applications sont concernées ?

La loi concerne tous les produits logiciels susceptibles de présenter des vulnérabilités ou des incidents compromettant la sécurité des SI.
Cela inclut non seulement les logiciels commerciaux, mais aussi ceux distribués gratuitement, dès lors qu’ils sont utilisés en France ou par des entités françaises.

Quel est le calendrier de mise en application ?

Le décret est entré en vigueur le 1er juin 2024. Certaines dispositions techniques spécifiques entreront en vigueur au plus tard le 31 décembre 2024. Cela laisse aux éditeurs une période de préparation pour se conformer aux nouvelles obligations.

Quels sont les avantages et défis pour les éditeurs ?

Avantages

Confiance : en étant transparent sur les vulnérabilités, vous renforcez la confiance de vos clients et partenaires.

Conformité légale : évitez les sanctions financières et la perte de crédibilité ou de marché en vous conformant aux exigences réglementaires.

Défis

Gouvernance de la sécurité

Il ne s’agit plus seulement de corriger des failles (bugs) à la volée.
Désormais, les éditeurs doivent intégrer la gestion des vulnérabilités dans tout le cycle de vie de leurs logiciels et applications SaaS, tout en se préparant à une communication fluide avec l’ANSSI et les utilisateurs.

Cela exige une prise en compte des enjeux cyber et une gouvernance solide.

Transparence et communication

Avec cette obligation, plus question de garder les failles secrètes, de corriger « discrètement » ou même de retarder la mise en place d’un correctif.

Les éditeurs doivent être prêts à communiquer ouvertement sur les vulnérabilités, auprès des autorités comme des utilisateurs. Une nouvelle approche de la communication est donc essentielle…

Ressources et formation

Se conformer à ces nouvelles obligations demande des équipes prêtes. Ce qui implique d’investir dans la formation et de spécialiser des ressources sur la gestion des incidents de sécurité.

Un défi organisationnel à ne pas sous-estimer !

Comment se préparer ?

Pas de place pour l’improvisation !

Pour être prêt, il est essentiel de mettre en place une évaluation régulière des risques.

Cela passe par des tests d’intrusion fréquents pour identifier les failles avant qu’elles ne soient exploitées.

Les scans de vulnérabilités doivent également être réalisés en continu pour s’assurer que vos systèmes restent protégés en temps réel.

Fixez des fréquences claires : des tests annuels, des scans de vulnérabilité trimestriels, des scans CI/CD à chaque version, une surveillance des failles SBOM² quotidienne.

La réactivité est cruciale !
Vous devez être en mesure de détecter et corriger rapidement toute vulnérabilité significative.

En parallèle, sensibilisez vos équipes : chacun doit savoir comment réagir face à une suspicion de faille ou un incident. Les devs doivent maitriser les bonnes pratiques de sécurité du langage.

Enfin, ne restez pas seul !

La liste des actions et des domaines de compétences nécessaires est importante. Externalisez si nécessaire : appuyez-vous sur l’expertise cybersécurité de Torii Security pour renforcer vos applications et anticiper les menaces avant qu’elles ne deviennent un problème.

via GIPHY

Conclusion

La LPM 2024-2030 marque un tournant pour les éditeurs de logiciels.

L’obligation de notification pour les éditeurs de logiciels n’est pas à prendre à la légère : il ne suffit plus de réagir en cas de problème, il faut anticiper.
La sécurité de vos logiciels, la gestion des vulnérabilités, et la préparation à la communication de crises doivent devenir des priorités.

Attendre, c’est risquer de subir des sanctions, perdre la confiance de vos clients et exposer vos systèmes à des menaces.

La mise en place d’une stratégie de sécurité solide, incluant:

• des tests d’intrusion réguliers,
• des scans de vulnérabilités,
• une stratégie de gestion des risques,

vous permettront de rester non seulement conforme, mais surtout de renforcer et protéger votre activité.

Torii Security est là pour vous accompagner. Au-delà de la simple conformité : nous vous accompagnons pour anticiper, pour sécuriser, et pour faire de la cybersécurité un atout compétitif.

Ne laissez pas les risques vous prendre de court, prenez les devants dès maintenant.

1. La Loi de Programmation Militaire sur Légifrance ↩︎
2. Software Bill Of Materials ↩︎