ANSSI que s’est-il passé ?
Un de vos utilisateurs, clients ou salariés a découvert une faille de sécurité ou une vulnérabilité et a souhaité la déclarer anonymement sur le site de l’ANSII.
Grâce à la loi pour une République numérique, tout utilisateur peut déclarer une faille de sécurité supposée auprès de l’agence nationale de la sécurité des systèmes d’informations.
La personne qui a déclaré la faille ou la vulnérabilité a envoyé un message (cert-fr.cossi[at]ssi.gouv.fr) en transmettant tous les éléments techniques permettant à l’ANSII de procéder aux opérations nécessaires de contrôle.
Il est également possible d’opérer le signalement par voie postale.
Agence nationale de la sécurité des systèmes d’information
Secrétariat général de la défense et de la sécurité nationale
51, boulevard de La Tour-Maubourg
75700 Paris 07 SP
L’ANSSI va préserver la confidentialité de l’identité ainsi que les éléments de la déclaration de la personne ayant fait le signalement.
Suite à cette déclaration vous avez reçu un message de prévention contre des vulnérabilités critiques
Si tel est le cas, l’ANSSI recommande de vous adresser à des spécialistes en capacité de vous orienter afin d’obtenir de l’aide.
Le respect du cadre juridique dans lequel s’inscrit cette mission de l’ANSSI est placé sous le contrôle de l’autorité administrative indépendante, l’Autorité de régulation des communications électroniques et des postes (ARCEP).
Ce type d’alerte doit vous faire prendre conscience que vous avez d’une part un problème de vulnérabilité et potentiellement une violation de données.
DPO partage vous propose de vous accompagner afin de vous guider dans la marche à suivre, accompagné d’experts, nous vous détaillerons le ou les problèmes signalés afin de vous mettre en conformité et de garantir la bonne prise en compte du risque de violation de données.
L’ANSSI ne pouvant souvent pas vérifier les informations, nous vous aiderons à revenir vers eux afin confirmer ou infirmer les informations et, le cas échéant, à prendre les mesures de sécurité nécessaires
Le message se présente sous cette forme :
Bonjour,
Nous avons reçu un signalement relevant de l'article 47 de la loi pour une République numérique n° 2016-1321 du 7 octobre 2016.
L'article précité permet à toute personne de saisir l'ANSSI en tant qu'intermédiaire afin de signaler anonymement une faille de sécurité ou une mauvaise pratique.
Selon ce signalement, (l'ANSSI détaille la vulnérabilité trouvée).
Nous vous informons par ailleurs que le Règlement général sur la protection des données (RGPD) impose aux responsables de traitement de documenter les violations de données personnelles et de les notifier à la CNIL (Commission nationale de l'informatique et des libertés).
Plus d'informations sont disponibles ci-dessous :
https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles
D'autres informations sur la déclaration de vulnérabilités sont disponibles à l'adresse suivante :
https://www.ssi.gouv.fr/actualite/vous-souhaitez-declarer-une-faille-de-securite
