Le présent arrêté définit la nature des attaques devant faire l'objet d'une notification à l'autorité nationale de réception des véhicules, les modalités de leur notification et les informations à communiquer à cette autorité, en application de l'article L. 1514-8 du code des transports.
資料由法律人 LawPlayer整理提供·Droit français / LawPlayer, à partir des données DILA (Légifrance)
Arrêté du 29 avril 2026
L'autorité nationale de réception des véhicules pour l'application de l'article L. 1514-8 du code des transports est le Centre national de réception des véhicules.
Le constructeur d'un véhicule terrestre à moteur ou son mandataire notifie au Centre national de réception des véhicules, sans délai après en avoir pris connaissance, les attaques par voie électronique qui relèvent d'un type d'attaque figurant à l'annexe 1 du présent arrêté. Il adresse à cet effet au Centre national de réception des véhicules le formulaire complété figurant à l'annexe 2 du présent arrêté via la plate-forme « Démarche Numérique » à l'adresse suivante : « https://demarche.numerique.gouv.fr/commencer/notification-cyberattaque-vehicule ». Le constructeur ou son mandataire répond sans délai aux demandes d'informations complémentaires du Centre national de réception des véhicules concernant la notification qu'il a effectuée.
Le Centre national de réception des véhicules communique à l'Agence nationale de la sécurité des systèmes d'information, les informations recueillies relatives à ces attaques.
Le présent arrêté entre en vigueur le premier jour du deuxième mois suivant celui de sa publication au Journal officiel de la République française.
Le présent arrêté sera publié au Journal officiel de la République française.
Annexes
ANNEXES
ANNEXE 1
Attaques susceptibles de porter atteinte au fonctionnement ou à la sécurité du véhicule, notamment celles pouvant :
a) Compromettre la sécurité d'utilisation du véhicule ;
b) Interrompre les fonctions nécessaires à la sécurité du véhicule ;
c) Modifier des logiciels et altérer les performances du véhicule ;
d) Compromettre l'intégrité des données utiles au fonctionnement ou à la sécurité du véhicule ;
e) Compromettre la confidentialité des données utiles au fonctionnement ou à la sécurité du véhicule ;
f) Affecter l'accès aux données utiles au fonctionnement ou à la sécurité du véhicule.
ANNEXE 2
Informations générales
Date de la notification
Nom et coordonnées du constructeur ou de son mandataire
Nom, fonction et coordonnées de la personne effectuant la notification
Coordonnées de la personne à contacter pour obtenir des informations complémentaires relatives à l'attaque : nom, fonction, adresse postale, téléphone, adresse électronique
Coordonnées de la personne à contacter en dehors des heures ouvrées, si différente de la personne ci-dessus
Description de l'attaque
Date et heure (UTC) auxquelles l'attaque a été constatée
Date et heure (UTC) estimées du début de l'attaque et durée de l'attaque
Moyen de détection de l'attaque
Nature du système attaqué (systèmes embarqués dans les véhicules/systèmes « dorsaux »)
Description du système affecté (logiciel, calculateur, etc.)
Numéros de réception par type (le cas échéant) des véhicules affectés
Types, variantes (le cas échéant) et versions (le cas échéant) des véhicules affectés
Nombre de véhicules affectés ou, à défaut, susceptibles d'avoir été affectés
Nombre de véhicules d'autres types/variantes/versions susceptibles d'être affectés
Méthode utilisée pour estimer le nombre de véhicules susceptibles d'avoir été affectés et le nombre de véhicules d'autres types/variantes/versions susceptibles d'être affectés par l'attaque
Portée géographique des véhicules affectés
Etat constaté ou présumé de l'attaque (activités préparatoires avant l'attaque/tentative d'attaque non aboutie/attaque aboutie)
Classification de l'attaque selon l'annexe 1 de l'arrêté
Impact constaté ou présumé sur la sécurité ou le fonctionnement du véhicule
Impact constaté ou présumé sur la disponibilité, l'intégrité ou la confidentialité des données utiles au fonctionnement ou à la sécurité du véhicule
Autres impacts constatés ou présumés (sécurité, financier, opérationnel, confidentialité, ou autre)
Traitement de l'attaque
Etat de la qualification de l'attaque (en cours de qualification/en cours de traitement/résolue)
Description de la méthode de l'attaquant : caractéristiques générales de l'attaque (motivation présumée de l'attaquant, type d'attaque, niveau de complexité de l'attaque, etc.)
Caractéristiques techniques de l'attaque (chronologie et nature des différentes étapes de l'attaque, périmètre de la compromission du système, vulnérabilités exploitées par l'attaquant, moyens techniques utilisés par l'attaquant, etc.)
S'ils ont été identifiés, marqueurs techniques de l'attaque (adresse IP, noms de fichiers ou de codes malveillants, etc.)
Le cas échéant, joindre au formulaire les résultats de l'analyse de l'attaque
Description des mesures prises et envisagées (traitement de l'incident et renforcement de la détection d'incidents, contact des propriétaires des véhicules, rappel des véhicules affectés)
Dépôt de plainte (envisagé/non envisagé/effectué) et déclaration à la CNIL (envisagée/non envisagée/effectuée) si des données personnelles sont compromises
Citer ce texte
du Arrêté du 29 avril 2026 (Légifrance). Consulté via LawPlayer, https://lawplayer.com/fr/act/LEGITEXT000054157881
Contient des informations publiques issues de la base LEGI, mise à disposition par la Direction de l’information légale et administrative (DILA) sous Licence Ouverte 2.0 (Etalab). Source : legifrance.gouv.fr.
本頁資料來源:Légifrance (DILA)·整理提供:法律人 LawPlayer· lawplayer.com