Vulnérabilités logicielles : à qui la faute ?
En cas de vulnérabilité, qui doit porter le chapeau ? La question n'est pas innocente au vu des nombreuses fuites de données et attaques informatiques qui font les gros titres de la presse et le malheur des entreprises touchées. Doit-on blâmer les entreprises affectées, accusées de ne pas appliquer suffisamment vite les correctifs fournis par les éditeurs, ou les éditeurs de ces logiciels qui négligent la sécurisation de leurs produits ?
Nouvelle donne, nouvelles règles
Au 1er juin 2024, la loi française prévoit que les éditeurs logiciels sont obligés de signaler à l'Anssi les incidents de sécurité et les vulnérabilités jugées "significatives." Ce nouveau dispositif prévu dans le cadre de la dernière loi de programmation militaire s'applique à l'ensemble des éditeurs logiciels basés en France ou proposant leurs produits sur le sol français, "logiciel libres compris" précise l'Agence.
Ce texte offre à l'Anssi un droit de regard sur les vulnérabilités les plus critiques, et impose aux éditeurs une vigilance accrue sur ces sujets. L'éditeur sera chargée d'évaluer la sévérité d'une vulnérabilité affectant ses produits au regard de différents critères, et dans le cas où celle-ci est jugée "significative", devra alors la signaler à l'agence. Après analyse du cas, l'Anssi fixe en accord avec l'éditeur un délai pour informer ses utilisateurs de l'incident ou de la vulnérabilité en question.
Le texte offre également à l'agence un pouvoir de sanction pour les éditeurs qui décideraient de ne pas jouer le jeu : en dernier recours, l'Anssi peut en effet décider de signaler le fait qu'un éditeur ne respecte pas ses obligations légales. "Ce non-respect de la loi indique au passage que l'éditeur ne remplit pas ses obligations vis-à-vis de ses clients. Cette information permettra à ces derniers d'interroger l'éditeur sur la situation", explique l'Anssi à ce sujet, précisant au passage qu'elle ne compte pas publier de détails sur les vulnérabilités ou incidents concernés mais uniquement signaler que l'éditeur n'obéit pas aux injonctions.
La question de la fiabilité des produits des éditeurs est également prise en compte au niveau européen, notamment dans le cadre du règlement européen sur la cyber-résilience. Ce texte entré en vigueur au début de l'année et qui sera applicable en fin d'année 2025 prévoit que les concepteurs d'objets connectés et les éditeurs logiciels devront mettre en œuvre des bonnes pratiques de sécurisation dès la conception, assurer la maintenance et la correction des vulnérabilités durant toute la durée de vie du produit et faire preuve de transparence sur la sécurité du produit. Le non respect de ces obligations pourra donner lieu à des amendes pouvant monter jusqu'à 15 millions d'euros ou 2,5 % du chiffre d'affaires mondial de l'organisation
Un débat qui n'a rien de neuf
Pour les RSSI du Cesin, club d'experts de la sécurité informatique des grandes entreprises françaises, le débat sur la responsabilité des éditeurs est ouvert depuis plusieurs années déjà. Comme le résume Alain Bouillé, délégué général du club, "le paradoxe, c'est que l'industrie du logiciel est une des rares industries qui ne soit pas responsabilisée et régulée sur des sujets de sécurité. Si vous achetez une voiture, ou n'importe quel produit alimentaire, il y a des réglementations extrêmement fortes qui s'appliquent. Mais ce n'est pas le cas des logiciels."
Ce paradoxe s'accroît encore à mesure que la société toute entière et les entreprises basculent massivement vers les outils numériques. Et pour les responsables de la sécurité informatique, le temps passé à corriger les failles des logiciels utilisés par l'entreprise va croissant : "Nous faisons face à une avalanche de vulnérabilités à gérer qui se développe de manière exponentielle. Et nous nous retrouvons obligés de mettre en œuvre des processus et des outils de gestion de ces vulnérabilités, c'est devenu une véritable industrie à part entière aujourd'hui", explique Alain Bouillé.
De plus en plus d'acteurs se positionnent en effet sur ce créneau, en proposant des outils et des services de tri de vulnérabilités, de gestion des correctifs et des outils permettant de revenir en arrière en cas de patch provoquant des conséquences inattendues. Car là aussi, gare à ceux qui voudraient patcher trop vite : mieux vaut soigneusement tester les mises à jour les plus sensibles avant de les déployer afin de s'éviter les mauvaises surprises. "C'est presque ce qui prend le plus de temps. Quand vous appliquez le correctif, on ne sait jamais quel va être le résultat final en fonction des environnements", regrette Alain Bouillé. Les erreurs des éditeurs se répercutent donc bien souvent sur les utilisateurs.
Les arbres cachent parfois la forêt
Si dans les faits, la plupart des grands éditeurs comme Microsoft accordent une attention toute particulière au sujet en publiant de manière hebdomadaire leur traditionnel "patch tuesday", cela n'a pourtant rien d'une obligation, mais plutôt une question de bon sens : "Ce serait de l'inconscience de ne pas le faire. Et la plupart des acteurs majeurs sont assez exemplaires en la matière, mais cela nous aveugle un peu sur le niveau global. Il y a des éditeurs moins connus qui ne se préoccupent absolument pas de la sécurité de leurs produits", critique Alain Bouillé. Mais aucune obligation contractuelle ou légale n'obligeait jusqu'alors un éditeur de logiciel à signaler ses vulnérabilités, voire même à les corriger.
Dans ce contexte, l'arrivée de nouvelles réglementations imposant des obligations aux éditeurs sur ce sujet apparaît comme une évolution naturelle voire un mal nécessaire, comme le reconnaît Alain Bouillé : "Bien évidemment il faut s'assurer de la cohérence des différents textes entre eux et si on peut se passer de la législation, c'est mieux. Mais à un moment, on a besoin de légiférer."