À l’occasion de l’examen du projet de loi transposant la directive Network and Information Security (NIS), les députés de la France Insoumise veulent autoriser les opérateurs à lancer des programmes de « bug bounty ». L’enjeu ? Créer un statut du chasseur de faille en France.

Les OIV sont ceux « dont l'indisponibilité risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation ». Depuis la loi de programmation militaire de 2013, ils sont soumis à une série d’obligations de sécurité, rédigées et contrôlées par l’ANSSI.

Le projet de loi sur la directive NIS est examiné ce matin en commission des lois à l'Assemblée nationale. À cette occasion, les élus de la France Insoumise proposent d’autoriser les opérateurs d’importance vitale à organiser des « bug bounty » (ou « prime » de dysfonctionnement). Une première étape avant la généralisation aux autres branches. Un secteur qui se développe en France, notamment avec B0unty Factory et Yogosha.

Selon l’amendement de FI, seules pourraient justement participer à un « bug bounty », les personnes physiques « dûment enregistrées en tant que chasseur de failles informatiques, auprès de l’autorité nationale de sécurité des systèmes d’information ».

Les élus ont conscience que leur proposition n’a que très peu voire pas de chance de passer. Mais par cet « amendement d’appel », ils voudraient que soit envisagée « la création d'un statut juridique des "chasseurs de faille", qui puisse permettre juridiquement l'organisation de "bug bounty" ».

Dans leur esprit, une personne déclarée « pourra disposer d'une protection (et ne pas se voir directement menacé d'être accusé de piratage informatique / d'être dans l'illégalité) ». Mieux, « ceci permettrait en outre de faire basculer du bon côté un grand nombre de spécialistes informatiques qui restent dans une zone oscillant entre la légalité et l'illégalité ».

Par ce biais, cependant, ils mettraient fin à un possible anonymat, et laisseraient dans l’incertitude l’ensemble des acteurs (notamment étrangers) qui n’auraient pas pensés à faire une telle déclaration.

Dans un amendement de repli, ces mêmes députés sollicitent à tout le moins du gouvernement la remise d’un rapport sur le sujet « afin de promouvoir la cybersécurité informatique par amélioration continue et encourager la contribution de ces mêmes spécialistes informatiques ».

La loi Lemaire et la protection des lanceurs d’alerte de sécurité

Rappelons que depuis la loi sur la République numérique de 2016, les internautes peuvent anonymement déclarer à l’ANSSI l’existence de faille de sécurité frappant n’importe quel acteur (OIV ou non). L’agence est alors dégagée des impératifs de l’article 40 du Code de procédure pénale qui l’obligeait jusqu’alors à transmettre ces faits de « piratage » à la justice.

Toutefois, le texte n’est pas allé aussi loin que le voulaient des élus, qui plaidaient pour une exemption totale des poursuites. En clair, depuis la loi Lemaire, on peut certes déclarer l’existence de failles à l’ANSSI, mais le découvreur reste susceptible d’être poursuivi par l’entreprise « victime ».

Les opérateurs de services essentiels, les fournisseurs de services numériques

Les 48 amendements du projet de loi de transposition de la directive NIS seront examinés dès 9h30 en commission des lois à l’Assemblée nationale. Pour mémoire, ce projet de loi va imposer de nouvelles règles d’hygiène informatique à deux catégories d’acteurs, régime calqué sur celui des opérateurs d’importance vitale.

D’une part, les opérateurs de services essentiels (OSE), ceux « offrant des services essentiels au fonctionnement de la société ou de l’économie et dont la continuité pourrait être gravement affectée par des incidents touchant les réseaux et systèmes d’information nécessaires à la fourniture ». De l’autre, les fournisseurs de services numériques (FSN) à savoir les moteurs, les prestataires de cloud et les places de marché (marketplace).

Les premiers, qui pourront intégrer en leur sein des acteurs du numérique comme les registrars, devront suivre à la lettre les préconisations de l’ANSSI, laquelle pourra les contraindre à mettre en œuvre des solutions certifiées.

Les seconds seront plus libres. Ils devront garantir « en l’état des connaissances, un niveau de sécurité des réseaux et des systèmes d'information nécessaires à la fourniture de leurs services dans l'Union européenne adapté aux risques existants ». Néanmoins, l’ANSSI pourra exercer à leur encontre des opérations de contrôle.

Les mauvais élèves seront susceptibles de se voir infliger des sanctions pénales visant les dirigeants. Une autre menace plane : l’ANSSI pourra décider d’informer le public de l’existence d’un incident de sécurité grave.