La loi de programmation militaire 2024-2030 (LPM) promulguée le 1^er août 2023, comporte de nouvelles dispositions relatives à la défense, dont l’obligation pour les éditeurs de logiciels de notifier à l’autorité nationale de sécurité des systèmes d’information (ANSSI) toutes vulnérabilités ou incidents ainsi que les causes et conséquences de celles-ci.

Ces dernières années la menace cybercriminelle est apparue plus forte que jamais, on se souvient notamment des nombreuses attaques par rançongiciels dont les établissements de santé ont été victimes. Ces attaques à répétition reproduisant sans cesse le même schéma ont eu de lourdes conséquences, provoquant la paralysie du système informatique, la fermeture des services hospitaliers ainsi que la divulgation des données personnelles et de santé des patients. À cela, s’ajoute des tensions géopolitiques toujours plus vives où les conflits ne se limitent plus au sol et où certains Etats n’hésitent pas à utiliser les cyberattaques comme armes de guerre. Ainsi, l’attaque par la Russie du réseau satellitaire ViaSat en février 2022 a engendré une interruption d’internet en Ukraine ainsi que dans plusieurs pays d’Europe. L’ANSSI déclare également une hausse croissante des menaces d’espionnage informatique pour 2022, mobilisant près de la moitié des services de l’agence. Néanmoins, il est nécessaire de rappeler que ces cyberattaques, qu’elles soient réalisées par des individus isolés ou par des états, sont le résultat de faiblesses de sécurité pouvant être corrigées. Parmi ces faiblesses, l’une des plus exploitées par les hackers est la vulnérabilité logiciel non corrigée à temps par l’éditeur. C’est pourquoi, la menace cybercriminelle étant devenu un sujet de défense nationale, il n’apparait pas surprenant que la loi pour la programmation militaire s’empare du sujet en instaurant de nouvelles dispositions en matière de cybersécurité dont certaines à l’égard des éditeurs de logiciel.

 

Une notification des vulnérabilités obligatoire

L’article 66 de la LPM, introduisant le nouvel article L 2321-4-1 du Code de la défense, dispose que tout éditeur fournissant un logiciel sur le territoire français, à des sociétés ayant leur siège social en France ou à des sociétés contrôlées par ces dernières, se doit de déclarer auprès de l’ANSSI toute vulnérabilité significative ou tout incident informatique susceptible de porter atteinte à leurs produits. Le présent texte de loi précise que la notion d’éditeur doit être entendu au sens large par « toute personne physique ou morale qui conçoit ou développe un produit logiciel ou fait concevoir ou développer un produit logiciel et qui le met à la disposition d’utilisateurs, à titre onéreux ou gratuit ». Ainsi, depuis l’entrée en vigueur du présent article, le 1^er aout dernier, tout éditeur de logiciel ayant une présence sur le territoire français se doit de déclarer toute vulnérabilité ou incident significatif.

De plus, cette déclaration à l’ANSSI doit être accompagnée d’un examen des vulnérabilités et incidents détectés ainsi que des conséquences pouvant en résulter. Il n’y a pour le moment pas d’indication en ce qui concerne le délai dans lequel l’éditeur de logiciel doit déclarer les vulnérabilités auprès de l’ANSSI. Un décret en Conseil d’Etat doit prochainement éclaircir ce point en précisant les modalités d’application.

Par ailleurs, la présente obligation des éditeurs de logiciels ne s’arrête pas là, puisque l’éditeur a en réalité une double obligation d’information. En effet, le nouvel article 66 de la LPM précise, que les éditeurs doivent également notifier aux utilisateurs du logiciel tout incident ou vulnérabilités significatif, dans un délai fixé par l’ANSSI. Ce délai est notamment déterminé en fonction des risques encourus et des délais nécessaires à la mise en place de mesures correctives. À défaut de notification des utilisateurs dans le délai fixé, l’ANSSI se réserve le droit : d’enjoindre l’éditeur d’informer les utilisateurs, d’informer elle-même les utilisateurs de la vulnérabilité ou de rendre public les vulnérabilités logiciels ainsi que l’injonction émise.

Ainsi, même si le présent article ne le mentionne pas, il est légitime de penser que le but premier de ces nouvelles obligations est la mise en place rapide de correctifs de sécurité sur les vulnérabilités détectées par l’éditeur.

 

Un correctif des vulnérabilités essentiel

Ces nouvelles obligations d’information et les sanctions qui les accompagnent sont susceptibles d’avoir de lourdes répercussions sur les éditeurs de logiciels, notamment si l’ANSSI rend public leur défaut de notification. Il s’avère ainsi  primordial que ces derniers soient en mesure d’identifier en amont l’ensemble des failles de sécurité de leur logiciel. Pour se faire, il est conseillé de réaliser des audits réguliers, offrant deux avantages non négligeables.

Le premier, est  la mise en place de correctifs de sécurité adaptés aux faiblesses identifiées dans le cadre d’une démarche dite de divulgation responsable. Cette méthode bien connue du domaine de la cybersécurité consiste à mettre en œuvre un correctif de sécurité sur une vulnérabilité identifiée avant d’en informer les utilisateurs du logiciel.  Cette pratique sécurise les utilisateurs de logiciels qui seront informés que des correctifs ont été mis en œuvre ou qu’ils le seront dans les meilleurs délais.

Le deuxième, dans le cadre d’un audit, est le fait d’empêcher toute exploitation du logiciel par un hacker, ce qui pourrait avoir des conséquences désastreuses pour l’éditeur de logiciel.

Enfin, il apparait clairement par ces nouvelles dispositions et le contexte actuel que les éditeurs de logiciels sont au centre de l’attention, l’Agence pour la Protection des Programmes (APP) propose à ces derniers des outils leurs permettant d’adopter de nouvelles pratiques sécuritaires, et éviter ainsi qu’ils ne subissent un coût réputationnel important.

L’APP un acteur précieux d’aide au respect des exigences de la LPM 2024-2030

Il peut être difficile, pour de nombreux éditeurs de logiciels, de mettre en œuvre les exigences parfois complexes de la LPM 2024-2030. Néanmoins, le service d’audit de propriété intellectuelle de l’APP, axé sur la détection des vulnérabilités des logiciels libres est là pour vous aider. Cet audit permet grâce à un examen approfondi des logiciels, y compris des logiciels libres, d’identifier et de signaler les vulnérabilités potentielles. L’audit de l’APP comprend un scan du code qui s’appuie sur une technologie de pointe dont un balayage méticuleux des composants des logiciels libres permettant de découvrir les vulnérabilités cachées. Au-delà de la simple identification des vulnérabilités potentielles, l’ APP s’assure que les résultats sont contextualisés pour correspondre au profil et aux besoins uniques de chaque client et offrir des recommandations pertinentes. Ce faisant, les éditeurs de logiciels bénéficient d’une vision globale en ce qui concerne l’impact de ces vulnérabilités sur leur propriété intellectuelle ainsi que sur les bonnes pratiques à mettre en place afin de les atténuer de manière stratégique. Pour conclure, l’APP apparait comme un partenaire indispensable en ce qui concerne la mise en œuvre de la LPM 2024-2030. L’impact dévastateur des vulnérabilités des logiciels libres, comme l’illustre le cas Heartbleed qui a rendu public de nombreuses données personnelles, rappelle plus que jamais la nécessité de procéder à des analyses robustes du code des logiciels libres dans le cadre d’audits de la propriété intellectuelle. Grâce aux services spécialisés de l’APP, les éditeurs de logiciels peuvent non seulement identifier leurs vulnérabilités, mais aussi mettre en place les correctifs nécessaires et se prémunir ainsi de nouvelles menaces informatiques.