Quel est le rapport entre les abonnements aux logiciels et NIS2 ou la loi sur la cyber-résilience ?

Pour éviter tout malentendu : Cet article n’a pas la prétention d’expliquer les lignes directrices susmentionnées – bien des gens s’efforcent déjà de le faire. Cet article traite des services d’abonnement et des raisons pour lesquelles il sera bientôt impossible de les contourner. Mais pourquoi ? Qu’est-ce qui a changé depuis que Windows 2.0 a été acheté, utilisé pendant des décennies et installé sur le premier ordinateur de la nouvelle génération ?

L’avidité des fabricants ?

Il est loin le temps où les logiciels nécessaires aux ordinateurs étaient encore fournis sur des disquettes (vous vous souvenez ?) ou des CD. Même à cette époque, une série de mises à jour était généralement nécessaire avant que le système puisse être mis en service, car toutes sortes de corrections étaient publiées beaucoup plus fréquemment que les boîtes de données ne pouvaient être produites et distribuées au commerce. Même à l’époque, les clients se plaignaient parfois d’avoir à subir des heures de mises à jour avant de pouvoir enfin commencer à utiliser le nouveau programme. L’amélioration des possibilités de transfert de logiciels a permis de résoudre ce problème dans une certaine mesure, mais les nouvelles versions majeures n’étaient souvent disponibles que moyennant paiement, de sorte que les consommateurs continuaient à se plaindre de temps à autre de ce que l’on appelait la mise à jour forcée.

Les services d’abonnement sont depuis longtemps devenus un modèle commercial courant. Apple en fait la démonstration aux consommateurs depuis de nombreuses années : « L’offre Apple pour vous et votre famille ». Il en va de même pour les services de diffusion en continu. D’autres secteurs ont été beaucoup plus timides. Dans le secteur automobile, par exemple, les expériences de fonctions à la demande n’ont commencé qu’au début des années 2020. À l’époque, BMW a attiré beaucoup d’attention – et pas seulement souhaitée – avec son abonnement pour le « warm bum » (2022, pour 17 euros par mois), alors que le groupe Tesla avait déjà été un pionnier plus tôt et proposait des boosters d’accélération via l’achat in-app – pour 1800 euros supplémentaires de 0 à 100 km/h en 4,4 au lieu de 5 secondes ! De cette manière, le fabricant peut installer de série des fonctions que le consommateur ne peut utiliser que moyennant un paiement spécial correspondant.

Ce qui, au départ, n’était pas familier et était parfois considéré comme une escroquerie par les critiques, présente en fait ses avantages, et pas seulement pour le fabricant. Par exemple, le client n’a pas à se préoccuper outre mesure des options lors de l’achat de la voiture, comme c’est le cas pour les logiciels modulaires. Les fonctionnalités requises ultérieurement peuvent être ajoutées si nécessaire. La jeune génération de consommateurs utilise depuis longtemps les abonnements comme une évidence, et cette avancée triomphale se poursuit avec encore plus d’élan dans l’environnement des entreprises. L’objectif est souvent d’externaliser le plus possible les tâches non essentielles, ce qui, outre les logiciels et/ou les services informatiques, implique de plus en plus souvent des questions de sécurité et de responsabilité.

La transformation numérique de la criminalité

Ce qui se passe aujourd’hui en matière de cybercriminalité pourrait être appelé le revers de la médaille numérique. Comme nous étions euphoriques à la fin des années 90 : plus d’annuaire téléphonique, plus de dossiers épais avec beaucoup de papier, une communication rapide et de plus en plus illimitée avec les collègues, les amis et la famille. Travailler où l’on veut, et si possible sans fil, voilà comment nous imaginions le meilleur des mondes.

Et aujourd’hui ? Dans l’ensemble, tout cela s’est réalisé, mais les cyber-vilains en ont profité au moins autant que le consommateur moyen. Les exploits sont des codes d’attaque malveillants que les criminels utilisent pour exploiter les vulnérabilités des systèmes d’exploitation, des applications et des navigateurs. Tous ceux qui s’y connaissent savent que ces exploits circulent librement sur le darknet, notamment sous forme de kits complets, de services et pour une somme modique.

Selon la distribution du logiciel concerné, la surface d’attaque et le potentiel de dommages sont considérables, les cibles des attaquants couvrant tout le spectre du spam au vol de données ou d’identité, en passant par les attaques par ransomware, l’espionnage, la fraude ou le chantage. En 2022, Microsoft, par exemple, a enregistré environ 24 billions de menaces par jour dans ses systèmes à travers le monde, et le BSI allemand (Office fédéral de la sécurité de l’information) a enregistré une augmentation d’environ 25 % par rapport à l’année précédente, avec environ 70 nouvelles vulnérabilités dans les produits logiciels chaque jour. Et ce n’est pas tout : les effets potentiellement dommageables de ces vulnérabilités sont eux aussi en nette augmentation.

La politisation de la diligence entrepreneuriale

Tôt ou tard, cette évolution devait entraîner l’apparition d’une législation. Il existe désormais des définitions des délits de cybercriminalité en droit pénal, des équipes d’enquêteurs spécialisés dans la cybercriminalité, des centres de compétence, des bureaux de signalement et des rapports réguliers. Le travail de relations publiques visant à éduquer le public est tout aussi important que l’implication des fournisseurs de services ou de produits numériques.

Qui doit être responsable de ces risques ? Après tout, votre compagnie d’assurance exige également que vous fermiez votre voiture à clé pour éviter les vols. La cybersécurité est régie par des directives européennes telles que NIS (Network and Information Security, 2016), puis NIS-2 (2022). Elles s’appliquent aux entreprises d’une certaine taille qui offrent des services essentiels ou importants. Elles sont constamment développées et améliorées.

Le CRA (Cyber Resilience Act, 2023) impose des obligations aux fabricants de produits numériques, dont toutes les PME. Pour mieux résister à la menace générale qui pèse sur l’économie et la société, il est logique que le plus grand nombre possible d’acteurs, y compris les utilisateurs, collaborent. Les plaintes concernant la frénésie réglementaire ne nous protégeront pas des cybercriminels, et même la diligence raisonnable la plus stricte de la part des fabricants ne servira à rien tant que nous n’utiliserons pas tous systématiquement des logiciels dignes de confiance, entretenus en permanence et mis à jour régulièrement.

En conséquence, les fabricants doivent disposer d’équipes d’experts pour assurer la maintenance et l’assistance à long terme de leurs produits : Des employés pour lesquels ils assument également une responsabilité sociale et sont obligés de fournir des soins et une protection. Les paiements uniques qui incluent le coût de ces ressources sont presque impossibles à calculer. Il faudrait qu’ils soient très élevés ou, à tout le moins, que les mises à jour fassent l’objet d’un prix distinct. Les utilisateurs devraient assumer ces dépenses : Qui veut être victime de pirates informatiques et être responsable des dommages causés par des tiers en raison d’un manque de diligence de la part de l’entreprise ?

L’abonnement résout ce problème de manière beaucoup plus élégante, en particulier lorsqu’il est associé à un logiciel modulaire. La tarification peut être établie de telle sorte qu’elle ne couvre pas plus, mais aussi pas moins que les dépenses nécessaires.

En fin de compte, tout le monde en profite : le fabricant peut s’acquitter de son devoir de diligence et entretenir correctement son produit. Le développeur de logiciels employé peut développer son expertise grâce à un emploi sûr et intéressant. Les clients et les utilisateurs peuvent compter sur une correction rapide des failles de sécurité. En outre, les abonnements à des produits logiciels complexes offrent souvent l’avantage d’une sécurité continuellement mise à jour, mais aussi de toutes les améliorations et innovations disponibles.

Depuis deux décennies, la philosophie d’entreprise d’IACBOX consiste à fournir à tous les utilisateurs le produit le plus récent, avec toutes les améliorations et les nouvelles fonctionnalités. Le modèle d’abonnement garantit que ce service pourra être maintenu à l’avenir et qu’il sera conforme à toutes les nouvelles directives.