L’augmentation constante et la sophistication des cyberattaques conduisent à un renforcement des réglementations nationales et européennes en matière de protection des logiciels. Pascal Agosti, membre du cabinet Caprioli & Associés, s’exprime sur les nouvelles contraintes rencontrées par les développeurs de programmes informatiques.
La sécurité des logiciels n’est plus une option, mais une obligation réglementaire. Le nouveau règlement européen « Cyber Resilience Act » impose ainsi aux éditeurs de renforcer la sécurité de leurs produits dès leur conception. Désormais, ils doivent non seulement garantir l’absence de vulnérabilités, mais aussi informer rapidement les autorités et les utilisateurs en cas de faille critique. Les fabricants qui ne respectent pas ces nouvelles règles s’exposent à des sanctions financières importantes et à des dommages réputationnels.
Les mesures de sécurité s’intensifient
La nouvelle réglementation européenne « The Cyber Resilience Act » exige les éditeurs de logiciels à renforcer les mesures de protection de leurs produits. Ainsi, les logiciels devront désormais être conçus avec la sécurité comme priorité absolue et ne comporter aucune vulnérabilité lors de leur mise sur le marché. Par ailleurs, les développeurs sont tenus de produire un rapport exhaustif sur la sécurité, les menaces potentielles et les actualisations prévues.
Pour les éditeurs ayant recours à des prestataires externes, comme dans le cadre d’une simulation de portage salarial pour des missions de développement, ces obligations s’appliquent également et nécessitent une collaboration étroite entre les parties. De plus, toute faille détectée devra être signalée à l’Agence de l’Union européenne pour la cybersécurité dans les plus brefs délais.
En cas de manquements de ces obligations, les éditeurs s’exposent à des sanctions financières pouvant atteindre 2,5 % de leurs revenus totaux, ainsi qu’au retrait de leurs produits de la vente. Face à ces enjeux, les éditeurs de logiciels sont appelés à réviser leurs contrats et leurs modalités d’information pour s’adapter à ces nouvelles exigences.
Les fabricants doivent signaler les brèches critiques
Le champ d’application de l’obligation de sécurité en matière de logiciels est très large. En effet, elle concerne non seulement les éditeurs français, mais également tous ceux qui proposent leurs produits sur le marché français, directement ou indirectement. Que le logiciel soit commercial ou libre, qu’il soit développé en interne ou externalisé, cette exigence s’impose dès lors qu’il est utilisé par des entreprises ou des particuliers basés en France.
La protection des logiciels consiste à sécuriser les systèmes contre les menaces à tous les stades de leur développement et de leur utilisation. Ainsi, conformément à l’article L. 2321-4-1 du Code de la Défense, les éditeurs de logiciels sont tenus d’informer l’ANSSI et leurs utilisateurs dès lors qu’une brèche de sécurité majeur affectant leurs produits est identifiée. En cas de manquement, l’ANSSI est habilitée à intervenir, allant d’une simple mise en demeure à des mesures plus visibles comme l’information des utilisateurs concernés. Cette nouvelle réglementation restreint la marge de manœuvre des éditeurs en matière de communication sur les menaces informatiques.
En outre, les éditeurs de logiciels doivent effectuer une évaluation précise du niveau de criticité des vulnérabilités de leurs programmes. Ce contrôle, basé sur des critères bien définis tels que la mesure de l’impact et les conséquences techniques, est essentiel pour décider d’une notification à l’ANSSI et aux clients. Le renforcement de l’obligation de transparence concernant les vulnérabilités contraint ainsi les éditeurs à adopter une posture proactive face aux menaces cybernétiques.
Enfin, le fabricant de logiciels peut être tenu responsable en cas de non-respect de l’exigence d’informer les utilisateurs, même en l’absence de pénalités financières précises. Par ailleurs, l’ANSSI a le pouvoir de diffuser publiquement toute décision non exécutée. Cela risque donc de nuire à la réputation de l’éditeur en question. Une nouvelle obligation similaire, assortie d’une sanction pécuniaire, devrait bientôt entrer en vigueur.
Pour renforcer la gestion rigoureuse des failles de sécurité tout au long du processus de développement, les entreprises peuvent recourir à une simulation de portage salarial de spécialistes en cybersécurité.
