Proposer un logiciel truffé de failles de sécurité sans fournir de mises à jour pourrait être un peu plus risqué juridiquement en Europe. Le conseil de l’Union européenne vient en effet d’adopter une nouvelle directive sur les produits défectueux. Le compte à rebours de son entrée en vigueur, 24 mois, commencera une fois sa publication au Journal officiel européen, attendue prochainement.
Cette update de la réglementation européenne – la directive en vigueur date de près de 40 ans – s’accompagne en effet de l’ajout des logiciels et des plateformes en ligne dans les produits visés, y compris ceux intégrant de l’intelligence artificielle.
Avec une exception : les logiciels libres fournis en dehors d’une activité commerciale ne sont pas concernés, “afin de ne pas entraver l’innovation ou la recherche”. Un « texte historique », qui va « favoriser une évolution mondiale vers des pratiques de conception des logiciels plus sûres », a salué sur le réseau professionnel LinkedIn un cadre de Google cloud.
Pertes de fichiers
Concrètement, le nouveau texte doit permettre de mieux protéger les consommateurs – les activités professionnelles ne sont pas dans le périmètre de la directive – en leur facilitant l’accès à une indemnisation en justice en cas de dommages causés par un produit défectueux.
Comme notamment la perte de fichiers corrompus d’un disque dur, par exemple pour indemniser la restauration des données.
Les soixante-trois pages du futur texte détaillent précisément plusieurs cas qui vont parler aux experts en sécurité informatique. Ainsi, un produit, pendant les dix premières années de sa durée de vie – et jusqu’à 25 ans en cas de dommages corporels – , pourrait être considéré comme défectueux en raison de ses vulnérabilités en matière de sécurité informatique.
L’absence de mises à jour, un malus
Même si le produit n’était pas défectueux à son lancement, une absence de mises à jour pour combler des nouvelles failles rentre désormais dans le périmètre de la nouvelle directive. Mais a contrario, ce n’est pas parce que des mises à jour d’un produit sont proposées qu’il faudra en conclure qu’il était auparavant défectueux.
Cet accent sur les mises à jour n’est pas étonnant. Il est en effet tout à fait cohérent avec un autre texte européen en cours d’accouchement, le Cyber Resilience Act.
Un texte qui doit justement inciter les fabricants d’objets connectés à mettre en place des obligations de suivi de gestion des vulnérabilités en signalant les failles et les incidents constatés.