Code de la défense
Mis à jour le 1 janvier 2026
Partie législative
PARTIE 1 : PRINCIPES GÉNÉRAUX DE LA DÉFENSE
LIVRE Ier : RÉGIMES D'APPLICATION EXCEPTIONNELLE
LIVRE II : RÉQUISITIONS
TITRE Ier : LE SECRET DE LA DÉFENSE NATIONALE
Sous-section 1 : Mise en œuvre des dispositifs exploitant des marqueurs techniques ou permettant le recueil de données
Sous-section 2 : Blocage, enregistrement, suspension, transfert et redirection de nom de domaine
Sous-section 3 : Communication de données
Sous-section 4 : Dispositifs de compensation et de traçabilité
Section 2 : Habilitation et assermentation
Chapitre II : Cryptologie
Chapitre III : Service public réglementé de radionavigation par satellite
TITRE III : MATÉRIELS DE GUERRE, ARMES ET MUNITIONS
TITRE IV : ARMES SOUMISES À INTERDICTION
TITRE V : EXPLOSIFS
TITRE VI : PROTECTION DES INSTALLATIONS MILITAIRES
TITRE IX : OPÉRATIONS SENSIBLES INTÉRESSANT LA DÉFENSE NATIONALE
PARTIE 3 : LE MINISTÈRE DE LA DÉFENSE ET LES ORGANISMES SOUS TUTELLE
PARTIE 4 : LE PERSONNEL MILITAIRE
PARTIE 5 : DISPOSITIONS ADMINISTRATIVES ET FINANCIÈRES
PARTIE 6 : DISPOSITIONS RELATIVES À L'OUTRE-MER
Article R2321-1-16 du Code de la défense
I. - Lorsque l'éditeur de logiciel mentionné à l'article L. 2321-4-1 a connaissance d'une vulnérabilité affectant un de ses produits ou en cas d'incident informatique compromettant la sécurité de son système d'information et susceptible d'affecter un de ses produits, il en apprécie le caractère significatif, notamment au regard des critères suivants :
1° Le nombre d'utilisateurs concernés par la vulnérabilité ou l'incident affectant le produit ;
2° Le nombre de produits intégrant le produit affecté ;
3° L'impact technique, potentiel ou actuel, de la vulnérabilité ou de l'incident sur le fonctionnement attendu du produit. Selon les fonctionnalités du produit, cet impact est évalué au regard de critères de sécurité tels que la disponibilité, l'intégrité, la confidentialité ou la traçabilité ;
4° Le type de produit au regard de ses usages et de l'environnement dans lequel il est déployé ;
5° L'exploitation imminente ou avérée de la vulnérabilité ;
6° L'existence d'une preuve technique d'exploitabilité ou d'un code d'exploitation.
II. - S'il constate que la vulnérabilité ou l'incident est significatif, l'éditeur de logiciel le notifie l'autorité nationale de sécurité des systèmes d'information La notification comporte les informations utiles à la compréhension de la vulnérabilité ou de l'incident mentionné au I. Lorsque la vulnérabilité ou l'incident a été notifié par l'autorité nationale de sécurité des systèmes d'information à l'éditeur de logiciel ce dernier dispose d'un délai fixé par cette autorité pour apprécier son caractère significatif. Ce délai ne peut être inférieur à 48 heures.
III. - L'éditeur de logiciel complète à cet effet le formulaire de déclaration mis à disposition sur le site internet de l'autorité nationale de sécurité des systèmes d'information et adresse les informations complémentaires au fur et à mesure de son analyse. Il répond aux demandes d'informations supplémentaires de l'autorité nationale de sécurité des systèmes d'information. Il met en œuvre, le cas échéant, les mesures utiles requises afin de sécuriser la vulnérabilité ou l'incident mentionné au I.