InterCERT appelle à la responsabilité légale des éditeurs de logiciels

L’affaire Windows/Crowdstrike a rappelé combien les éditeurs de logiciels, même systémiques, pouvaient agir avec légèreté dans leurs processus. C’est d’autant plus gênant quand on parle de logiciels de sécurité qui ont, par nature, un accès étendu au système d’information. L’association française des CERT, InterCERT, a publié un appel à légiférer pour engager la responsabilité des éditeurs de logiciels de sécurité lorsque leurs fautes sont avérées, notamment leur légèreté.

Certes, il existe déjà des textes généraux ayant déjà commencé à créer une responsabilité des éditeurs de logiciels. Notamment la transposition en France de directives européennes via la Loi de Programmation Militaire (Article L. 2321-4-1 du Code de la Défense) qui impose aux éditeurs de logiciels à notifier à l’ANSSI et à leurs clients lorsqu’ils sont victimes d’un incident informatique ou qu’ils ont une vulnérabilité critique sur un de leurs produits. De même, le RGPD peut être invoqué lorsque des données sont compromises dans un SaaS. Malgré cela, certains « acteurs n’assurent ni la fourniture de correctifs en temps voulu, ni une assistance technique adaptée lorsque les risques se transforment en attaques » dénonce l’association.

Rendre caduques les clauses limitatives de responsabilité

Mais InterCERT veut aller bien plus loin que ces premières législations en créant « des clauses de responsabilité et de pénalités des fournisseurs et éditeurs lorsque les manquements des produits de cybersécurité sont structurels et récurrents, et que les programmes correctifs sont inexistants, insuffisants ou inopérants. » A l’heure actuelle, les conditions générales de vente des éditeurs écartent justement cette responsabilité pouvant aboutir à dédommager les clients victimes. Mais des conditions générales de vente relèvent du droit contractuel. La hiérarchie des normes rendrait caduques de telles clauses si une disposition législative était prise.

Frédéric Le Bastard, Président d’InterCERT France, juge en effet : « les failles génèrent d’importants préjudices que nous - professionnels de la gestion des incidents cyber - devons résoudre. Nous ne trouvons pas cela normal ni cohérent que les fournisseurs de matériels et de logiciels ne soient pas soumis à un cadre strict et tenus responsables des dommages détériorations qu’ils occasionnent dans le système d’information de leurs clients. (…) La liste des fournisseurs de solutions de sécurité aux technologies obsolètes et souffrant de nombreuses vulnérabilités est longue ! Lorsque surviennent incidents et crises, ils sont souvent aux abonnés absents. Nous sommes mobilisés pour faire évoluer la situation et avons envisagé plusieurs solutions. »

Des solutions qui sont, pour l’heure, des vœux pieux

Ces solutions sont criticables, bien évidemment, et comportent des faiblesses. « la solution parfaite n’existe pas » reconnaît l’association. Pour celle-ci, « La seule manière de faire évoluer l’attitude et les pratiques de fournisseurs commercialisant des produits dépassés et faillibles, et n’assurant pas un service de support digne de ce nom, est de créer un cadre légal. » Définir ce cadre est loin d’être aisé et, au-delà, il faudra trouver un moyen de placer la fixation de ce cadre légal dans une actualité parlementaire compliquée.

InterCERT appelle aussi à faire valider les solutions de sécurité par des instances gouvernementales, telles que l’Agence nationale de la sécurité des systèmes d’information (ANSSI) en France ou l’Office fédéral de la sécurité des technologies de l’information (BSI) en Allemagne. Ces agences, déjà fort occupées, seront sans doute un peu réticentes. Enfin, InterCERT estime qu’il est possible d’utiliser des produits open-sources avec une communauté très active.