Troisième rail de la cybersécurité : responsabilité des logiciels
Eh bien, ils l’ont fait. Les administrations Biden nouvelles Stratégie nationale de cybersécurité prend en charge le troisième rail de la politique de cybersécurité : la responsabilité logicielle. Depuis des décennies, savants et plaideurs ont parlé de imposer une responsabilité légale sur les fabricants de logiciels non sécurisés. Mais les objections des fabricants étaient trop fortes, les craintes d’entraver l’innovation étaient trop fortes et les difficultés conceptuelles de la question étaient tout simplement trop complexes. Ainsi, aujourd’hui, les licences logicielles et les accords d’utilisation continuent d’exclure toute responsabilité, que l’utilisateur final soit un consommateur ou un opérateur d’infrastructures critiques. Avec cette nouvelle stratégie, l’administration propose de changer cela.
La discussion sur les stratégies de la question commence par un point incontestable : [M]Les forces du marché à elles seules n’ont pas suffi à favoriser l’adoption généralisée des meilleures pratiques en matière de cybersécurité et de résilience. En effet, poursuit la stratégie, les forces du marché récompensent souvent les entités qui se précipitent pour introduire des produits ou services vulnérables dans notre écosystème numérique. Les problèmes incluent l’expédition de produits avec des configurations par défaut non sécurisées ou des vulnérabilités connues et l’intégration de logiciels tiers avec des fonctionnalités non vérifiées ou inconnues. Les utilisateurs finaux sont laissés pour compte et l’ensemble de l’écosystème en souffre, les citoyens américains en supportant finalement le coût.
Nous devons commencer, dit l’administration, à rejeter la responsabilité sur ceux qui devraient prendre des précautions raisonnables pour sécuriser leur logiciel. Cela nécessitera trois éléments, selon la stratégie : empêcher les fabricants et les fournisseurs de services de décliner toute responsabilité par contrat, établir une norme de diligence et fournir une sphère de sécurité pour protéger de toute responsabilité les entreprises qui prennent des mesures raisonnables et mesurables pour sécuriser leurs produits et prestations de service. Ensemble, ces trois points reposent sur la reconnaissance que l’objectif n’est pas une sécurité parfaite mais plutôt une sécurité raisonnable.
Certains éditeurs de logiciels s’y opposeront probablement. Mais en demandant instamment que la responsabilité incombe à ceux qui sont les mieux placés pour réduire les risques, l’administration ne fait qu’appliquer un vieux principe au secteur des logiciels désormais arrivé à maturité. Au début du 20e siècle, l’industrie automobile était à peu près là où l’industrie des logiciels informatiques en est aujourd’hui. Les constructeurs automobiles, comme le font maintenant les développeurs de logiciels, déclinaient toute responsabilité pour les défauts de leurs produits. Nous vendons aux revendeurs, pas aux consommateurs, ont-ils soutenu, afin que les utilisateurs finaux n’aient pas le lien contractuel avec nous nécessaire pour intenter une action en justice. Et de toute façon, nous n’étions pas responsables des pneus ou des freins ou de l’un des autres composants, puisque nous ne les avons pas fabriqués. Nous venons de monter la voiture.
En 1916, le juge du tribunal d’État de l’époque, Benjamin Cardozo, qui a ensuite siégé à la Cour suprême des États-Unis, a rejeté les arguments des constructeurs automobiles. dans un avis qui a déclenché une chaîne de réformes législatives dans tout le pays. Il a statué que la défenderesse, Buick Motor Company, était responsable du produit fini. Ses paroles sont remarquablement pertinentes aujourd’hui. Comme constructeur d’automobiles, Buick n’était pas libre de mettre le produit fini sur le marché sans soumettre les composants à des tests ordinaires et simples. L’obligation de contrôle, reconnaît Cardozo, doit varier selon la nature de la chose à contrôler. Plus le danger est probable, plus la prudence s’impose. Comme Tom Wheeler et David Simpson l’ont soutenu dans un récent papier sur la responsabilité dans le secteur des télécommunications, les leçons de l’affaire sont claires : ni le consommateur ni le concessionnaire local n’avaient une vision significative ou un contrôle sur le processus de fabrication ou la chaîne d’approvisionnement des matériaux, mais Buick l’avait. La décision de Cardozos a fermement placé la responsabilité de l’évaluation et de l’atténuation des risques à la société la mieux placée pour connaître les détails concernant les sous-systèmes assemblés et pour contrôler les processus qui traiteraient les facteurs de risque.
En appelant à la responsabilité de ceux qui, dans la chaîne d’approvisionnement des logiciels, sont les mieux placés pour connaître leur produit et contrôler les processus qui traiteraient les facteurs de risque, l’administration affirme qu’il est temps que le développement de logiciels et les services rattrapent le reste du marché juridique et économique. cadre. Les leçons d’autres secteurs sur la façon de définir une norme de soins et de mesurer la conformité à cette norme pourraient bien éclairer les prochaines étapes.