La commission Européenne étudie une directive sur la sécurité des logiciels. Face à la hausse des cyber attaques, la commission considère que la cause racine se situe sur la conception même des logiciels qui ne prennent pas en compte le risque cyber.

La commission Européenne étudie une directive sur la sécurité des logiciels. Face à la hausse des cyber attaques, la commission considère que la cause racine se situe sur la conception même des logiciels qui ne prennent pas en compte le risque cyber.

Le contexte de l’industrie logiciels

Cette industrie génère un business du cyber crime qui est alimenté par l’argent des détournements et rançons. en 2021 ces activités criminelle représente 5.5 trillions d’euro (Source libre à lire)

Comment en sommes nous arrivés là ? Les concepteurs de logiciels ne prennent pas en compte les aspects sécurité considérant que c’est à l’utilisateur de le prendre en charge.

  • Résultat, un niveau de sécurité très bas avec de nombreuses vulnérabilités.
  • Trop peu de prise en compte de l’accès aux données par les utilisateurs qui disposent souvent de trop de privilèges

La commission Européenne étudie une directive sur la sécurité des logiciels

Cette directive se nomme Cyber Resilence Act. Elle poursuit quatre objectifs :

  • S’assurer que les éditeurs opérant en Europe intègrent le cyber risque dans leur conception à toutes les étapes
  • Permettre aux utilisateurs de les utiliser avec sureté et de maitriser cet aspect
  • Harmoniser les pratiques et le référentiel de sécurité
  • Assurer la transparence des dispositifs

Le CRA un outil de protection pour les utilisateurs et éditeurs européens

Depuis plusieurs années la commission européenne poursuit un objectif de protection du marché européen. Ce texte peut-il contribuer à cet objectif ?

Coté utilisateurs, c’est un élément de plus pour la confiance même si ces enjeux de cyber sécurité ne sont pas toujours bien appréhendés par les utilisateurs.

Coté industriels, par contre ces nouvelles règles vont avoir pour effet d’augmenter les barrières à l’entrée. Pour mettre un logiciel sur le marché. C’est une norme de plus. Sur un marché européen dominé par les acteurs Américain et asiatiques.

Un développeur indépendant ou une PME ne pourra pas soutenir le montant des investissements nécessaires. Cela va encore concentrer les acteurs présents. Mais surtout cela favorise des acteurs installés depuis 30 ans comme les GAFAM pour qui ces couts sont une goute d’eau dans le montant de leurs profits et de leur investissements.

La commission mets des barrières à l’entrée sur le marché, mais à l’intérieur il n’y a personne à défendre. Qui est le Google, le Salesforce, le Amazon en Europe ?

Comment vont-il émerger si ils sont soumis aux mêmes règles couteuses que les géants ?

Le cas des logiciels open source

Ce texte européen concerne aussi les logiciels sous licence open source commerciaux (open source ne veut pas dire gratuit). C’est normal qu’un logiciel commercialisé quel que soit son mode de licence soit concernés. Les logiciels open source non commerciaux sont exclus. C’est bien.

Si l’objectif recherché est de permettre au marché européen de protéger ses éditeurs domestiques, ce n’est pas la bonne démarche.

Pour permettre la naissance d’acteurs européens, il faut faciliter la croissance d’alternatives aux acteurs étrangers en place. Cette règle devrait aussi s’appliquer à tous les logiciels en dessous d’un certains seuil afin de faire émerger des startup européennes avant de les soumettre à ces règles quant elle seront matures. Le CRA devrait prévoir des seuils pour se durcir avec les parts de marché acquises . Très dur avec les grands du numériques, plus doux avec les émergeants.

Mon opinion est que le cadre de ce texte va , au final, favoriser les gros éditeurs et les GAFAM et rater l’objectif de protéger les éditeurs européen dont la taille est trop petite pour lutter sur le terrain des normes. Il faut assurer la confiance, mais il faut le faire par seuils. Que cela soit couteux pour les gros et plus facile pour les émergeants.

Il reste encore du travail sur ce texte. J’ai déjà publié sur le cyber crime et les moyens en oeuvre pour le combattre. C’est une arme de plus.

Sources :

European cyber resilience act

Commission européenne

Régis BAUDOUIN

voir tous les articles

Ajouter commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Publicité




Publicité