Vous avez découvert de bonne foi une vulnérabilité de sécurité sans l’avoir exploitée et vous souhaitez nous la déclarer.

C’est désormais possible grâce à l’article 47 septies de la loi pour une République numérique n° 2016-1321 du 7 octobre 2016*.
Pour faire cette déclaration, vous pouvez adresser un message à l’ANSSI (cert-fr.cossi[at]ssi.gouv.fr) en transmettant tous les éléments permettant à l’agence de procéder aux opérations techniques pour caractériser les risques ou menaces et prévenir l’hébergeur, l’opérateur ou le responsable du système d’information.

L’ANSSI préservera la confidentialité de votre identité ainsi que les conditions dans lesquelles celle-ci a été effectuée.

Aucune publicité ne sera réalisée.

*Article 47
Le chapitre Ier du titre II du livre III de la deuxième partie du code de la défense est complété par un article L. 2321-4 ainsi rédigé :

« Art. L. 2321-4. – Pour les besoins de la sécurité des systèmes d’information, l’obligation prévue à l’article 40 du code de procédure pénale n’est pas applicable à l’égard d’une personne de bonne foi qui transmet à la seule autorité nationale de sécurité des systèmes d’information une information sur l’existence d’une vulnérabilité concernant la sécurité d’un système de traitement automatisé de données.
« L’autorité préserve la confidentialité de l’identité de la personne à l’origine de la transmission ainsi que des conditions dans lesquelles celle-ci a été effectuée.
« L’autorité peut procéder aux opérations techniques strictement nécessaires à la caractérisation du risque ou de la menace mentionnés au premier alinéa du présent article aux fins d’avertir l’hébergeur, l’opérateur ou le responsable du système d’information. »

ELI: www.legifrance.gouv.fr/eli/loi/2016/10/7/ECFI1524250L/jo/article_47
Alias: www.legifrance.gouv.fr/eli/loi/2016/10/7/2016-1321/jo/article_47