Par Gérard Haas et Claire Lefebvre
Les erreurs humaines dans l’usage des outils numériques sont souvent visées comme des causes fréquentes de piratage : par exemple, les escroqueries sur Internet ou l’introduction de ransomware en cliquant sur des liens frauduleux.
Mais toute faiblesse dans la conception d’un système d’information ou d’un logiciel peut aussi constituer une porte d’entrée pour des cyber-attaques.
Ces vulnérabilités d’un code informatique représentent un enjeu majeur pour les entreprises, surtout si elles exposent des données critiques.
La présence de clefs d’accès dans le code : une menace pour les entreprises
Au titre des données critiques qui peuvent se retrouver exposées par une erreur de code, on compte notamment les identifiants, mots de passe, certificats d’authentification, ou toute autre clef d’accès aux systèmes.
Ces « erreurs » dans l’écriture du code ne mènent pas toujours à des cyber-attaques : dans de nombreux cas, la vulnérabilité est identifiée, rendue publique et corrigée rapidement par les développeurs.
Toutefois, lorsque ce type de vulnérabilité est découvert par un acteur mal intentionné, les conséquences peuvent être désastreuses.
Dans le cas de l’attaque dite « SolarWinds », révélée en décembre 2020, les pirates auraient récupéré une clef d’accès présente par erreur dans le code, ce qui leur a permis de cibler directement l’éditeur de logiciels, dont les produits étaient utilisés par certains départements de l’administration américaine et de grandes entreprises.
À partir de là, ils ont pu infiltrer directement les systèmes d’information de ces derniers, par rebond, selon le principe des attaques par la « supply chain ».
Toute erreur d’écriture du code peut donc être fatale et donner accès à des informations normalement protégées.
Ce type de vulnérabilités appelle dès lors des réponses adaptées, techniques, mais aussi juridiques.
Sécuriser le code : un enjeu technique et juridique
Les conséquences d’une cyber-attaque peuvent être variées et entraîner des pertes économiques, dégrader l’image de l’entreprise vis-à-vis de ses clients, paralyser son activité ou encore conduire à des sanctions en cas de violation de données personnelles, en particulier si l’entreprise a manqué à ses obligations de sécurité au titre de l’article 32 du règlement (UE) 2016/679 relatif à la protection des données à caractère personnel (le RGPD).
Certaines entreprises ont bien compris l’importance que peut avoir le code informatique pour protéger leurs informations et recourent à des tiers pour tester leurs solutions numériques ou la détection des fuites.
Elles peuvent ainsi mettre en place des programmes de récompense pour les personnes faisant remonter des bugs (les programmes dits de « bug bounty ») ou solliciter une entreprise comme GitGuardian pour détecter les fuites de données en ligne.
La prévention technique passe aussi par la prise en compte, dès le développement du code informatique, des sujets de sécurité : à ce titre, il existe des techniques dites de « programmation sécurisée ».
L’ANSSI (Autorité Nationale de la Sécurité des Systèmes d’Information) a ainsi publié un guide à destination des équipes des entités publiques ou privées pour les accompagner dans le développement sécurisé des services ou produits informatiques.
Pour réglementer et sanctuariser les bonnes pratiques, les pouvoirs publics s’emparent eux-aussi de plus en plus des sujets de cybersécurité :
- Pour renforcer la cybersécurité du gouvernement fédéral des Etats-Unis, notamment en réaction à l’attaque « Solarwinds » déjà mentionnée, Joe Biden a signé le 12 mai 2021 un « executive order» prescrivant des mesures de sécurité pour les sous-traitants de logiciels, de nouvelles normes de cryptage et d’authentification ou encore la création d’un comité d’examen des cyber-incidents ;
- Au niveau européen, le Cybersecurity Act a notamment été adopté le 12 mars 2019: il prévoit la mise en place d’un dispositif de certification à plusieurs niveaux.
L’intervention juridique dans le pilotage de la cybersécurité d’une entreprise, en particulier par la formalisation des mesures de sécurité ou des protocoles de gestion des incidents, est aujourd’hui nécessaire pour répondre aux obligations légales, notamment de documentation, prévues par le RGPD.
À ce titre, toute entité, privée ou publique, ne doit pas négliger la portée de l’outil contractuel pour maîtriser la sécurité des systèmes qu’elle utilise ou commercialise.
Cela inclut, entre autres, la contractualisation du risque (le recours à des assurances cyber-risques spécialisées se développe ainsi de plus en plus) ; l’encadrement de la réalisation d’audits par le client ; ou la justification des mesures organisationnelles et techniques mises en œuvre par le sous-traitant.
Mais les enjeux de cybersécurité peuvent aussi être anticipés tout en amont d’un projet de développement par la négociation du recours dès la phase de codage, à des outils de programmation spécifiques ou au respect d’exigences particulières, en termes de normes ou de certifications.
Le développeur retirera également profit de la mise en place de bonnes pratiques dans l’écriture du code, que ce soit pour sa propre sécurité tant juridique que technique, ou d’un point de vue commercial, à l’égard de sa clientèle.
***
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt ans en droit des nouvelles technologies.
Le département cybersécurité est dédié à l’accompagnement expert des acteurs privés comme publics confrontés aux cyber-risques.
Vous voulez en savoir plus sur nos missions ? Cliquez ICI.