法律人 LawPlayer logo

資料由法律人 LawPlayer整理提供·Droit français / LawPlayer, à partir des données DILA (Légifrance)

Texte réglementaire

Arrêté du 29 avril 2026

Numéro
Date du texte
29 avril 2026
Articles
7
Article 1

Le présent arrêté définit la nature des attaques devant faire l'objet d'une notification à l'autorité nationale de réception des véhicules, les modalités de leur notification et les informations à communiquer à cette autorité, en application de l'article L. 1514-8 du code des transports.

Article 2

L'autorité nationale de réception des véhicules pour l'application de l'article L. 1514-8 du code des transports est le Centre national de réception des véhicules.

Article 3

Le constructeur d'un véhicule terrestre à moteur ou son mandataire notifie au Centre national de réception des véhicules, sans délai après en avoir pris connaissance, les attaques par voie électronique qui relèvent d'un type d'attaque figurant à l'annexe 1 du présent arrêté. Il adresse à cet effet au Centre national de réception des véhicules le formulaire complété figurant à l'annexe 2 du présent arrêté via la plate-forme « Démarche Numérique » à l'adresse suivante : « https://demarche.numerique.gouv.fr/commencer/notification-cyberattaque-vehicule ». Le constructeur ou son mandataire répond sans délai aux demandes d'informations complémentaires du Centre national de réception des véhicules concernant la notification qu'il a effectuée.

Le Centre national de réception des véhicules communique à l'Agence nationale de la sécurité des systèmes d'information, les informations recueillies relatives à ces attaques.

Article 4

Le présent arrêté entre en vigueur le premier jour du deuxième mois suivant celui de sa publication au Journal officiel de la République française.

Article 5

Le présent arrêté sera publié au Journal officiel de la République française.

Annexes

Article annexe-6

ANNEXES

ANNEXE 1

Attaques susceptibles de porter atteinte au fonctionnement ou à la sécurité du véhicule, notamment celles pouvant :

a) Compromettre la sécurité d'utilisation du véhicule ;

b) Interrompre les fonctions nécessaires à la sécurité du véhicule ;

c) Modifier des logiciels et altérer les performances du véhicule ;

d) Compromettre l'intégrité des données utiles au fonctionnement ou à la sécurité du véhicule ;

e) Compromettre la confidentialité des données utiles au fonctionnement ou à la sécurité du véhicule ;

f) Affecter l'accès aux données utiles au fonctionnement ou à la sécurité du véhicule.

Article annexe-7

ANNEXE 2

Informations générales

Date de la notification

Nom et coordonnées du constructeur ou de son mandataire

Nom, fonction et coordonnées de la personne effectuant la notification

Coordonnées de la personne à contacter pour obtenir des informations complémentaires relatives à l'attaque : nom, fonction, adresse postale, téléphone, adresse électronique

Coordonnées de la personne à contacter en dehors des heures ouvrées, si différente de la personne ci-dessus

Description de l'attaque

Date et heure (UTC) auxquelles l'attaque a été constatée

Date et heure (UTC) estimées du début de l'attaque et durée de l'attaque

Moyen de détection de l'attaque

Nature du système attaqué (systèmes embarqués dans les véhicules/systèmes « dorsaux »)

Description du système affecté (logiciel, calculateur, etc.)

Numéros de réception par type (le cas échéant) des véhicules affectés

Types, variantes (le cas échéant) et versions (le cas échéant) des véhicules affectés

Nombre de véhicules affectés ou, à défaut, susceptibles d'avoir été affectés

Nombre de véhicules d'autres types/variantes/versions susceptibles d'être affectés

Méthode utilisée pour estimer le nombre de véhicules susceptibles d'avoir été affectés et le nombre de véhicules d'autres types/variantes/versions susceptibles d'être affectés par l'attaque

Portée géographique des véhicules affectés

Etat constaté ou présumé de l'attaque (activités préparatoires avant l'attaque/tentative d'attaque non aboutie/attaque aboutie)

Classification de l'attaque selon l'annexe 1 de l'arrêté

Impact constaté ou présumé sur la sécurité ou le fonctionnement du véhicule

Impact constaté ou présumé sur la disponibilité, l'intégrité ou la confidentialité des données utiles au fonctionnement ou à la sécurité du véhicule

Autres impacts constatés ou présumés (sécurité, financier, opérationnel, confidentialité, ou autre)

Traitement de l'attaque

Etat de la qualification de l'attaque (en cours de qualification/en cours de traitement/résolue)

Description de la méthode de l'attaquant : caractéristiques générales de l'attaque (motivation présumée de l'attaquant, type d'attaque, niveau de complexité de l'attaque, etc.)

Caractéristiques techniques de l'attaque (chronologie et nature des différentes étapes de l'attaque, périmètre de la compromission du système, vulnérabilités exploitées par l'attaquant, moyens techniques utilisés par l'attaquant, etc.)

S'ils ont été identifiés, marqueurs techniques de l'attaque (adresse IP, noms de fichiers ou de codes malveillants, etc.)

Le cas échéant, joindre au formulaire les résultats de l'analyse de l'attaque

Description des mesures prises et envisagées (traitement de l'incident et renforcement de la détection d'incidents, contact des propriétaires des véhicules, rappel des véhicules affectés)

Dépôt de plainte (envisagé/non envisagé/effectué) et déclaration à la CNIL (envisagée/non envisagée/effectuée) si des données personnelles sont compromises

7 articles en vigueur

Citer ce texte

du Arrêté du 29 avril 2026 (Légifrance). Consulté via LawPlayer, https://lawplayer.com/fr/act/LEGITEXT000054157881

Contient des informations publiques issues de la base LEGI, mise à disposition par la Direction de l’information légale et administrative (DILA) sous Licence Ouverte 2.0 (Etalab). Source : legifrance.gouv.fr.

FR-LicenceOuverte-2.0

本頁資料來源:Légifrance (DILA)·整理提供:法律人 LawPlayer· lawplayer.com