Alertes aux vulnérabilités et failles de sécurité


Vous avez découvert une faille de sécurité ou une vulnérabilité et vous souhaitez nous la déclarer ?
C’est désormais possible grâce à la loi pour une République numérique *

Adressez-nous un message (cert-fr.cossi[at]ssi.gouv.fr) en transmettant tous les éléments techniques nous permettant de procéder aux opérations nécessaires.
Il est également possible d’opérer votre signalement par voie postale.

Merci d’adresser votre courrier et vos compléments d’information à :

Agence nationale de la sécurité des systèmes d’information
Secrétariat général de la défense et de la sécurité nationale
51, boulevard de La Tour-Maubourg
75700 Paris 07 SP

Retrouvez toutes les modalités pour nous contacter https://www.cert.ssi.gouv.fr/contact/

L’ANSSI préservera la confidentialité de votre identité ainsi que les éléments de votre déclaration **.

Vous avez reçu un message de prévention contre des vulnérabilités critiques

Les systèmes d’information étant en perpétuelle évolution, avec notamment l’installation de nouveaux services, leur niveau d’exposition vis-à-vis d’attaques sur Internet varie continuellement.

En parallèle, la publication quotidienne sur Internet de nouvelles vulnérabilités sur des produits (logiciels, matériels) facilite le développement, la prolifération de codes d’exploitation susceptibles de toucher tous systèmes d’information exposés sur Internet.

A ce titre, l’agence nationale de sécurité des systèmes d’information (ANSSI) assure un service de veille active des vulnérabilités critiques et s’appuie sur les opérateurs de télécommunications pour alerter leurs abonnés exposés.

Pour ce faire, l’ANSSI s’appuie sur le nouvel article L 33-14 du Code des postes et des communications électroniques qui renforce la collaboration entre les opérateurs de communications électroniques et l’ANSSI.

Que vous soyez une entreprise ou un particulier, vous pourriez être concerné(e) par un tel message d’alerte. Si tel est le cas, l’ANSSI recommande de vous adresser à des spécialistes en capacité de vous orienter afin d’obtenir de l’aide ou à vous rendre sur le site www.cybermalveillance.gouv.fr à cette adresse https://www.cybermalveillance.gouv.fr/recherche-prestataire/ afin d’être mis en relation avec un prestataire de service informatique près de chez vous.
Le respect du cadre juridique dans lequel s’inscrit cette mission de l’ANSSI est placée sous le contrôle de l’autorité administrative indépendante, l’Autorité de régulation des communications électroniques et des postes (ARCEP).

En savoir plus avec la foire aux questions sur le site de cybermalveillance.gouv.fr

 


* Loi pour une République numérique n° 2016-1321 du 7 octobre 2016
Article 47

Le chapitre Ier du titre II du livre III de la deuxième partie du code de la défense est complété par un article L. 2321-4 ainsi rédigé :
** « Art. L. 2321-4. – Pour les besoins de la sécurité des systèmes d’information, l’obligation prévue à l’article 40 du code de procédure pénale n’est pas applicable à l’égard d’une personne de bonne foi qui transmet à la seule autorité nationale de sécurité des systèmes d’information une information sur l’existence d’une vulnérabilité concernant la sécurité d’un système de traitement automatisé de données.
« L’autorité préserve la confidentialité de l’identité de la personne à l’origine de la transmission ainsi que des conditions dans lesquelles celle-ci a été effectuée.
« L’autorité peut procéder aux opérations techniques strictement nécessaires à la caractérisation du risque ou de la menace mentionnés au premier alinéa du présent article aux fins d’avertir l’hébergeur, l’opérateur ou le responsable du système d’information. »

ELI: www.legifrance.gouv.fr/eli/loi/2016/10/7/ECFI1524250L/jo/article_47 | Alias: www.legifrance.gouv.fr/eli/loi/2016/10/7/2016-1321/jo/article_47