HS 24 : (1/2) Le CRA (Cyber Resilience Act) avec Marc-Antoine LEDIEU | La cybersécurité expliquée à ma grand-mère

Description

Line vers la présentation de Marc-Antoine LEDIEU : https://technique-et-droit-du-numerique.fr/podcast-le-cra-explique-a-ma-grand-mere-episode-1-2-quoi-qui-quand-sanctions-ledieu-avocats/

Description de cet épisode :

Première partie pour comprendre le nouveau règlement européen qui impose des règles de cybersécurité à tous les produits numériques connectés, depuis les objets IoT jusqu’aux services SaaS.
Adopté le 23 octobre 2024, il s’appliquera pleinement le 11  décembre 2027, avec des notifications obligatoires de vulnérabilités dès septembre 2026.
Le texte prévoit 13 exigences techniques et 8 exigences de gestion des vulnérabilités : SBOM obligatoire, correctifs rapides pour les failles activement exploitées, documentation et reporting stricts.
Responsabilité partagée entre fabricant, importateur et distributeur ; tout distributeur qui modifie le produit devient lui‑même fabricant.
Sanctions possibles : amendes jusqu’à 2,5 % du chiffre d’affaires mondial, retrait ou rappel des produits, et actions collectives des utilisateurs pour obtenir réparation.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Bonjour mamie, j'ai ramené un copain. Bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à ceux qui n'y comprennent rien. Petit avertissement en préambule, c'est qu'à l'origine cet enregistrement dure très longtemps, il dure plus d'une heure et demie. Et pour que ce soit plus agréable pour vous et pour que vous puissiez vraiment vous concentrer sur toutes les discussions, j'ai décidé de partager cet épisode en deux parties. Et donc on va entendre la première partie avec Marc-Antoine. Alors vous le savez, on vit tous avec des objets connectés depuis des années. Il y a pas mal de cas dans l'histoire de la cyber. qui ont montré que souvent il y avait des failles de sécurité. Et dans la vie de tous les jours, on vit de plus en plus avec ces objets. Et la vraie question est de savoir si un jour, quelqu'un va s'occuper de savoir si tout ça s'est bien sécurisé. Et pour ça, on a justement les régulateurs européens qui ont eu la bonne idée de lancer un nouveau règlement qui s'appelle le CRA. Et j'accueille ce soir quelqu'un que vous connaissez déjà. Alors ma grand-mère est déjà toute folle de savoir qu'il est là ce soir. Elle lui a préparé un petit café, une tarte à la mirabelle. J'accueille évidemment Marc-Antoine Ledieu. Alors Marc-Antoine, pour ceux qui ne te connaissent pas, est-ce que tu veux bien te présenter ?
Speaker #1
Oui, bien sûr. Bonsoir Nicolas. Alors je précise tout de suite que ta grand-mère m'a déjà téléphoné deux fois la semaine dernière pour me demander des détails sur le CERA parce qu'elle n'était pas sûre que tu comprennes tout. Donc elle te demande de rester patient pour cet épisode.
Speaker #0
J'en connais bien là.
Speaker #1
Oui, charmante, vraiment. Très vieille France, charmante. Marc-Antoine Ledieu, je suis avocat au Barreau de... de Paris, très spécialisé en matière de cybersécurité, ce qui fait qu'après avoir eu le plaisir d'expliquer à ta grand-mère dans l'ordre, on avait fait Dora, ensuite on avait vu Nice 2, je crois, et maintenant le troisième tremblement de terre, c'est le CERA, Cyber Resilience Act, pour lequel le cabinet et le Dieu avocat ont embauché une nouvelle collaboratrice qui est dédiée à la compréhension. du CRA et nous commençons à répondre à des RFI où on nous demande d'expliquer le CRA et de savoir à quelle sauce on va être mangé. Donc, on a une approche qui a été très longue parce qu'il a fallu comprendre le texte qui est vraiment extrêmement détaillé, très technique. C'est ce qu'on va voir. Et derrière, être capable d'expliquer ce qu'il va falloir faire. Qu'on soit le fabricant, l'importateur ou le distributeur d'un produit CRA et on va se pencher pour voir ce que c'est. Je crois que ce n'est pas monté au cerveau de tout le monde.
Speaker #0
D'accord. Super. Écoute, rentrons directement dans le vif du sujet. Quel est le problème que le CRA tente de régler ?
Speaker #1
Alors, en fait, on voit bien toutes et tous, surtout nous dans le milieu de la cyber quand même, on suit un peu la presse et tout ce qui sort. En fait, on peut résumer le problème du CRA de la manière suivante. Un peu comme pour Nice 2 et pour Dora, les mesures techniques de sécurité, il n'y en a jamais eu en matière informatique. logiciels, réseaux, systèmes d'information. Alors, on a eu un début, en tout cas pour les entreprises concernées, on a eu Nice 2 et Dora, mais ça, c'est pour des entreprises qui sont utilisatrices, entreprises, administrations, qui sont utilisatrices d'infrastructures numériques. Donc là, on va les forcer à se blinder. Et puis là, le deuxième volet, c'est le CRA, c'est les règles de sécurité obligatoires pour les logiciels connectés, avec ou sans matériel. Et c'est ce qu'on va voir, c'est là où ce... où ce règlement a beaucoup évolué entre son premier projet, qui était de 2021, et la version finale qui a été adoptée, 2022 d'ailleurs, pardon, et version finale adoptée, publiée au JO, il est du 23 octobre 2024. Donc, c'est tout frais.
Speaker #0
Très bien. Et alors, justement, pour quand ça va s'appliquer ? Parce que là, on parle du texte, mais avec quelques dates. Mais est-ce qu'on est déjà en retard ?
Speaker #1
Alors, on n'est pas encore en retard. Bien sûr, je suis incapable de te répondre tant que je n'ai pas toutes mes slides sous les yeux parce que c'est vraiment assez technique. Pour moi, avec combien de temps de retard ? Le principe est le suivant. La date d'entrée effective en application, c'est le 11 décembre 2027. Donc, on part du 23 octobre 2024 pour aller au 11 décembre 2027. Donc, ça fait à peu près trois ans. Mais... Car il y a toujours un mais. Il y a une première exception qui est la désignation par les États membres, des autorités nationales, autorités pas au sens Annecy, mais des entreprises qui vont avoir le pouvoir d'eux. certifier ou de contrôler les certifications. Septembre 2026, obligation en matière de communication d'informations incombant aux fabricants, c'est-à-dire la notification des vues obligatoires à partir du 11 septembre 2026. Donc plus d'un an avant l'entrée effective de tout le dispositif. Et on ne sait pas très bien ce qu'on va faire de ça, parce que... c'est bien de notifier les vulnes, mais toujours faut-il qu'on sache si on est bien CRA, produit CRA, le fabricant, le distributeur ou le machin.
Speaker #0
Alors justement, juste pour revenir un petit peu au fond du texte, la raison pour laquelle le régulateur a mis en place ce texte, parce que tu viens de parler de vulnérabilité, donc dans le texte, il y a une obligation justement de communiquer auprès des vulnérabilités. Enfin, voilà, je fabrique un produit, je le teste, et j'ai vu qu'il y avait une vulnérabilité, je vais être obligé de le communiquer, de la communiquer auprès de mes clients. Sur le fond, c'est ça l'idée. Mais il y a d'autres choses dans le texte qui vont justement dans le sens de la cybersécurité. Si tu peux aller un tout petit peu plus dans le détail sur le contexte.
Speaker #1
Alors en fait, le contexte de fond, la problématique principale, c'est les vulnes. Puisqu'on voit que, si on veut le caricaturer, c'est l'exemple des caméras connectées chinoises qui, depuis des années, permettent soit de constituer des bottes nettes, et les botnets Mirai et compagnie qui ont permis d'infecter des centaines de milliers de machines alors pas que les caméras vidéo connectées chinoises il y a des tas de PC il y a Asus il me semble qui a été très très doué à une époque et en fait une fois que les botnets sont constitués par des gens qui vont exploiter ces vulnes, ensuite on va avoir soit le phénomène du DDoS massif qui pose quand même un problème certain j'avais été repéré deux, trois exemples, dont un tout récent. Et ensuite, c'est le problème des leaks. Puisque quand on est capable d'exploiter une vulnérabilité dans un logiciel connecté, avec ou sans matériel, j'insiste, on va aller récupérer de la data de malade. Et après, ce sont tous les scandales auxquels on assiste tout le temps. Il y a plein d'affaires en ce moment qui sont publiques. Là, on est en 2025, l'affaire Harvest, qui est un éditeur de solutions. de solutions pour les professionnels de la finance, ils se sont fait trouver dans des proportions absolument gigantesques et les données ont liqué partout, partout, partout. Et c'est pour que tout ça s'arrête. Parce qu'on voit bien que dans le contexte en plus géopolitique d'aujourd'hui, on voit qu'il y a une montée du phénomène militaire menaçant l'Europe, au sens propre du terme. Si la menace est cyber militaire, elle peut être cyber civile. Donc c'est toutes nos industries au sens large. col blanc, col bleu, qui sont potentiellement en risque et aujourd'hui gravement en risque parce qu'on a laissé faire, on a toléré l'intolérable depuis qu'on a l'Internet, depuis qu'on a des logiciels et depuis qu'on a des matériels avec du logiciel dedans qui sont connectés à l'Internet. Et c'est une manière de l'Union Européenne parce que c'est dans ses compétences, comme d'habitude, blablabla, et que les pays membres, par pays membres, on ne fait rien, c'est le bazar, on uniformise, et là on prend le CA, donc qui Merci. part vraiment de ce constat-là. Et on dit, à partir de très bientôt, le premier comprend et qui n'aura pas bien fait le job. Alors, le job, pour le caricature, là aussi, c'est 13 exigences essentielles cybersécurité et 8 exigences essentielles gestion des vulnérabilités. Donc, voilà, c'est catalogue. Et déjà, vous verrez ça. Après, il faut faire de la documentation interne, externe. Il faut faire son reporting. Et puis, avec des sanctions d'une qualité tout à fait inédite, puisqu'on parle de produit. Vraiment, c'est le logiciel connecté qui est pris comme un produit, qui soit commercialisé à part, mais dont les fonctions sont essentielles, blablabla. Et puis, dès qu'il y a un truc qui ne marche pas, le produit est non conforme. Et s'il est non conforme, ça se constate assez vite, surtout pour des trucs qui sont connectés. Et si ce n'est pas conforme, gros risque. Et puis après, il y a les problèmes de responsabilité et l'action de groupe qui est en train d'arriver en Europe à peu près simultanément. On a eu le même jour, il faudrait que je vérifie, la directive sur les produits défectués et une directive action de groupe. Enfin, l'Union européenne est en train de siffler la fin, généraliser de la récré sur toute la partie cyber de tout, qu'on soit utilisateur, Nice 2 Dora, ou qu'on soit le fabricant, l'importateur, le distributeur, deux logiciels qui vont se connecter, B2B. et B2C. Ça peut difficilement être plus large.
Speaker #0
Effectivement. Donc pas mal de boulot en perspective. Par quoi tu veux commencer ?
Speaker #1
En fait, c'est vraiment un truc qui est difficile à appréhender parce qu'il y en a tellement qu'au bout d'un moment, on risque de se noyer sous le détail et c'est un truc qui pose un vrai problème. Alors, moi, ce que je te propose pour commencer, c'est quoi le produit serre ? Donc, produit, c'est vraiment… Il y a 51 définitions légales dans le serre. Déjà, ça part bien. Alors, la toute première, la plus essentielle à retenir, c'est produit comportant des éléments numériques. Alors là, il y a un moment, il faut lire. Puis ensuite, moi, j'ai mon interprétation et je vais essayer de vous guider un peu. Donc, un produit comportant des éléments numériques, c'est un produit CERA, un produit logiciel ou matériel. Et ces solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément. Donc nous, on a résumé ça. Dans un premier temps, on disait les produits connectés avec logiciels. Maintenant, on dit franchement, logiciels connectés avec ou sans matériel. Le cœur du truc, c'est cette notion de traitement de données à distance. Et là, on a encore une définition légale. On ne va pas toutes les faire parce que ma grand-mère va se noyer dans la camomille, dans laquelle elle aura mis probablement un peu de Mirabelle. De provenance inconnue. Donc, un traitement de données à distance, c'est tout traitement de données à distance pour lequel le logiciel est conçu et développé par le fabricant ou sous sa responsabilité. Donc, à chaque fois, on va dire le fabricant. Et puis, si le fabricant ne le fait pas, c'est l'importateur qui va devoir faire la même chose. Et sinon, ça va être le distributeur sur au moins un pays de l'Union européenne. Après, il les fait tous, il ne les fait pas tous. Ce n'est pas le problème. Mais c'est forcément un des trois. Donc, il n'y a pas un acteur économique. C'est comme ça que c'est appelé dans le serre. Il n'y a pas un acteur économique qui peut y échapper. Sauf que si je vais être l'importateur, je vais demander à ce que le fabricant fasse le job. Et si je ne suis que le distributeur dans un pays de l'importateur, je vais demander que l'importateur fasse le job. Et lui, il va demander que ce soit le fabricant qui fasse le job. Sinon, on n'y arrivera jamais. Donc, chacun, ça va donner lieu à de la responsabilité. Mais celui qui va mettre sur le marché, en clair, qui va commercialiser, Vous allez voir, il y a un critère à titre gratuit, ou monnayé, ou à titre onéreux. En fait, ils ont pensé à presque tout pour être sûr qu'il n'y ait rien qui échappe à l'épuisette. Vu la taille de l'épuisette, elle est grande. Ça semble plutôt à de la pêche industrielle. Ce qui est intéressant dans le critère, c'est les traitements de données à distance. J'en reviens aux traitements de données à distance. Donc, blablabla, tout traitement dont l'absence empêcherait le produit. d'exécuter une de ces fonctions. Donc, quand on parlait de DORA, on parlait de fonctions critiques ou importantes pour les métiers. Là, ce n'est pas la même chose. J'ai conçu un logiciel connecté, soit dans du matériel, soit à part. Et si je l'ai conçu avec une fonction qui est prévue pour être connectée, si cette fonction-là ne marche pas, qu'elle soit critique ou importante, ne compte pas. Il suffit qu'une des fonctions prévues ne marche pas. Et là, on a un problème. Le produit n'est plus conforme.
Speaker #0
Ok.
Speaker #1
Donc ça, comment dire ? Voilà, ça va occuper beaucoup de monde. Alors, je passe sur les exceptions. Il y a quand même des logiciels connectés ou des trucs qui échappent à tout ça. Il y a tout le médical qui est déjà réglementé. Les véhicules à moteur, je cite, ça c'est déjà réglementé par ailleurs. L'aviation civile, les équipements marins, c'est comme ça que c'est appelé aussi, c'est des directives à part, machin. Et puis tout ce qui est... Alors... sécurité, défense nationale qui bénéficient de traitements spéciaux, mais je n'en parle pas. Je reviens à cette notion de traitement de données à distance. Je cite, parce qu'une fois qu'on a lu le CRA, donc les articles, là, il faut aller voir les considérants, où il y en a 152, c'est un truc de malade, où il y a du vrai détail, qui est vraiment utile. Là, ils ont vraiment posé, alors je le refais, le considérant, c'est quoi les considérants de tous ces textes ? C'est si un juge... doit interpréter les articles 1 à 79, 92, je ne sais même plus là, du CERA, il va chercher des indices d'interprétation dans les considérants. Mais si on sait que ça génère un conflit judiciaire, donc le juge, il va aller voir les considérants, mais ça veut dire qu'il faut aller les voir aussi quand on est le fabricant, l'importateur ou le distributeur, parce qu'on sait que, par exemple, qu'est-ce que ça veut dire traitement de données à distance ? Exemple dans un considérant. Que les données soient traitées ou stockées localement sur l'appareil de l'utilisateur ou à distance par le fabricant. Donc en fait, ça ne veut pas dire que c'est online en permanence. Il suffit d'avoir du stockage local et ensuite, dès qu'on passe en phase de connexion ou appel d'un serveur qui va aller chercher la data pour l'agréger, pour faire je ne sais pas quoi, on est bien toujours dans un produit CER. Et ensuite, il y a des exemples. Alors, je vais encore en citer un. Le traitement ou le stockage de données à distance, ce qui fait qu'on est produit CER, comprend le cas où une application mobile a besoin d'accéder à une API ou à une base de données fournie par l'intermédiaire d'un service développé par le fabricant. Une base de données météo, j'ai mon app sur mon téléphone qui va aller chercher de la data météo, c'est conçu pour être connecté sur la base de données d'un tiers fournie par l'intermédiaire d'un service. Ça ne veut pas dire que c'est ma base de données à moi, il suffit que mon service soit conçu pour aller chercher des datas un peu par là, des datas un peu par là. que ce soit par une API ou que ce soit par un client lourd, un client léger, que j'ai très bien compris, mais je ne rentrerai pas dans le détail, bien sûr. Quand je dis ça, en général, c'est que je mens comme un salaud, mais je crois que ma grand-mère le sait. Ensuite, on a des précisions qui vont assez loin. On vous dit, un site Internet qui supporte la fonctionnalité d'un produit. Donc, on va rentrer dans le détail en concevant le mode SaaS, pas comme étant que du… de l'accès par le web, mais vraiment le site. Alors, c'est marqué site internet, nous sommes dans le considérant 12. Ça veut vraiment dire, genre, le site web tel qu'on le conçoit. Je vais sur un site web via mon navigateur et si ça supporte une fonctionnalité d'un logiciel connecté avec ou sans matériel, boum, je suis CR. Et là où, en fait, on a eu du mal à comprendre et j'ai fini par obtenir des explications de professionnels qui sont en train de digérer le texte et qui, eux, dialoguent avec les NISA. Je peux frimer en disant que je consulte les NISA, mais ce n'est pas vrai. Je le sais de manière indirecte. C'est que les services en nuages qui sont conçus et développés sous la responsabilité du fabricant sont des produits CER. Et au départ, vraiment, c'était de l'IoT, la première version. Donc, tout le monde disait, bon, c'est de la IoT, il faut qu'il y ait du matériel. Et s'il y a du logiciel dedans, ça ne va être que ça. Donc, tous les professionnels se sont sentis bien tranquilles, à part quelques capteurs industriels et des trucs comme ça. Et puis, en fait, il y a eu un renversement complet. Vraiment, c'est une réécriture et une nouvelle compréhension du CERA. C'est que tous les services SaaS, B2B, B2C, parce que le logiciel a été conçu et développé pour servir de service en nuage, c'est un produit CER.
Speaker #0
L'impact est quand même assez... Tu l'as dit, c'était vu pour les IoT, donc les IoT, juste pour les moins familiers, c'est tous les équipements connectés, donc ça va du fond connecté à votre ventilateur connecté, toutes ces choses-là. Et alors là, par contre, ce que tu expliques, c'est qu'un logiciel, par exemple, un logiciel bancaire ou de paiement, qui va devoir se connecter au travers d'Internet pour accéder à un service en ligne quelque part, va être dans le CR1.
Speaker #1
Oui, ça,
Speaker #0
c'est quelque chose d'assez nouveau par rapport au paradigme premier, entre guillemets.
Speaker #1
Voilà, donc ça a été vraiment conçu au départ pour être l'objet domestique qui va se connecter. frigo, dentifrice enfin brosse à dents dentifrice connectée c'est pas gagné et puis en fait bien inverse du moment que c'est du logiciel connecté conçu et développé pour service en nuage ben en avant quoi donc ça change et alors ce qui est marrant c'est que en fait c'est tourné à la négative c'est les services en nuage qui ne sont pas conçus et développés sous la responsabilité du fabricant ne relèvent pas du champ d'application du CA donc ça c'est dans un considérant c'est à la... Double négation. Si on enlève la négation, les services en nuages qui sont conçus et développés sous la responsabilité du fabricant, importateur, distributeur, blablabla, relèvent du champ d'application du CERA. Point.
Speaker #0
Est-ce que ce n'est pas une certaine manière aussi de vouloir un peu contrôler ce qui se passe au niveau du cloud ?
Speaker #1
Là, le cloud n'est qu'un vecteur de tous ces services. Alors, les infrastructures cloud, elles sont réglementées, prestataires critiques, Dora, ou tout simplement services essentiels avec tout l'infogérance et les services de sécurité ça c'est NIS 2 ok donc ça ça va être vraiment la partie infra donc la partie infra elle devrait être conforme NIS 2 machin pour les gros et puis tous les objets tous les professionnels qui vont renvoyer de la data dans ces data centers, eux en plus, ils seront tenus d'appliquer les 13 exigences essentielles cyber et les 8 exigences essentielles vulnérabilité. En fait, c'est nous qui les avons appelées 13 et 8, c'est pour arriver à les retenir. Parce que si on dit, il y a des exigences cyber et puis il y a des exigences vulnes, ça parle à personne. Quand on commence à mettre des nombres, de même lorsque nous allons attaquer les produits importants classe 1, il y en a 19. Donc là, à un moment, il faut aller voir la liste. Et puis, quand on va attaquer les produits critiques, parce qu'il y a aussi les produits importants en classe 2, eux, il n'y en a que 4, mais les produits critiques, là, il y en a 3. Nous, on finit par retenir ça avec des systèmes de picto et en mettant des chiffres. Quand on va faire la notice utilisateur, il y a 9 exigences. Et puis, quand on va faire la documentation technique, il y a 8 exigences. Et en les comptant comme ça, on arrive à essayer de faire un... magma à peu près compréhensible. Je reviens encore sur les logiciels connectés avec ou sans matériel. Alors ça, je le tiens indirectement à Denisa, il faut être très clair. Ce n'est pas « je suis connecté via une infrastructure publique vers un tiers » , c'est un logiciel connecté au réseau interne d'une entreprise, c'est un produit CERA aussi. Donc le logiciel « on-prem » , mais qui est installé dans un SI où il y a tout qui communique, il va devenir CERA aussi, sinon ça ne sert à rien. Et oui, voilà. Donc, dès qu'il va y avoir une notion de réseau interne, et ça, c'est un gros tremblement de terre, surtout pour l'outil, pour toutes les infrastructures numériques industrielles, tous les robots, entre guillemets, c'est que dès que le robot va être connecté, le logiciel va être prévu pour être connecté. Et on est dans la notion de réseau interne, eh bien, produit CERA. Tu continues ou ma grand-mère a décidé d'arrêter la camomille pour ne mettre que de la prune ?
Speaker #0
Non, c'est bon. Tu peux continuer. Je crois qu'on a planté le décor.
Speaker #1
Après, il y a des définitions de partout. Alors juste, ce qu'on a essayé de faire, parce qu'après, on va y revenir sur certains détails, mais en clair, aujourd'hui, il y a des notions qui sont clés à retenir, qui sont par exemple les OS. Dès qu'il va y avoir un matériel avec un OS, boum, c'est un produit CERA. C'est-à-dire que l'OS en lui-même est SRA, donc le matériel qui va embarquer l'OS, tous les OS, bien sûr, qu'ils soient open source ou qu'ils soient propriétaires. Après ça, se posera le problème de la responsabilité de celui qui gère l'open source ou pas. Mais on ne va même pas rentrer dans ce débat-là. Ils sont prévus, alors des exemples comme ça, les téléphones intelligents. En fait, c'est facile parce que c'est du matériel avec de l'OS déjà au départ. Et c'est connecté par nature. Un téléphone qui n'est pas connecté aujourd'hui... à moins que ce soit les téléphones de campagne modèle 1917 où on tirait des câbles dès 1915. Bon, c'est rare. Après, il y a les serrures intelligentes. Je vous donnerai… Alors, attendez, si je les ai trouvées là. Voilà. Alors, c'est bien prévu. Système d'exploitation, ça, c'est cité dans les considérants. Ensuite, on a matériel intelligent, un produit matériel tel qu'un téléphone intelligent. Bon, donc ça, c'est bien prévu. Et les serrures connectées. Ça, ils insistent beaucoup, c'est-à-dire… tous les produits domestiques intelligents comportant des fonctionnalités de sécurité, y compris les serrures intelligentes. Et là, on voit bien les systèmes de cartes magnétiques dans les hôtels, notamment, on est bon comme la Romaine. Donc, juste pour finir sur ce point-là, pour bien comprendre, dès qu'on va être une entreprise et qu'on va avoir une infrastructure numérique, c'est-à-dire un système d'information et des réseaux, l'ensemble, ce ne sera pas CERA. L'ensemble sera peut-être NIS 2, essentiel, important, peut-être DORA, mais ce ne sera pas CERA. Par contre, les éléments qui vont composer ces systèmes d'information, l'OS, je ne sais pas, les logiciels qui pilotent les serveurs et compagnie, eux, ils seront individuellement CERA, mais sous la responsabilité de celui qui le fournira, à moins qu'on soit soi-même celui qui le fabrique et qui le produise, mais il faut le commercialiser derrière. La grosse différence, c'est ça. Et c'est dit dans le CERA, il y a attention à tout ce qu'on appelle les infrastructures et réseaux critiques, qui est cette catégorie à part de NIS 2, qui est très particulière. Alors là, ils insistent beaucoup, il faut qu'ils soient équipés avec des trucs qui sont CERA, c'est-à-dire qu'ils sont déjà un minimum blindés au niveau de leur logiciel et des matériels sur lesquels on les installe, qu'on évite les fuites généralisées pour éviter les DDoS au niveau de l'infra individuel. Donc quand on va être le fabricant, le distributeur ou l'importateur, je vais beaucoup me répéter que ma grand-mère ne m'en veuille pas, il va falloir qu'il y ait quelqu'un qui assume toutes ses responsabilités et ce n'est pas gagné. Alors, une petite définition. Je vais vous passer plein de détails parce qu'il faut vraiment lire l'ensemble pour arriver à faire un truc. Moi, j'ai une définition maintenant d'un produit CRA. Enfin, une définition, c'est est soumis au CRA, 1. tout logiciel connecté et 2. tout matériel avec logiciel connecté destiné à être utilisé sur le territoire de l'UE par des professionnels ou par des particuliers. Voilà, et qu'on soit le fabricant, l'importateur ou le distributeur, il faudra qu'il y ait quelqu'un qui fasse le job. Alors, moi je propose qu'on passe à justement cette notion rapide peut-être, mais qui est le fabricant, qui est l'importateur, qui est le distributeur ? On les appelle les opérateurs économiques dans le CERA. Alors, en clair, dans cette chaîne de responsabilité, en fait il y en a un qui va prendre la tête de pont, et puis ils vont se débrouiller entre eux tous. C'est le dernier qui va... un portateur pour l'Europe ou pour un pays de l'UE, machin. Donc, c'est eux qui devront faire en sorte que toutes les obligations du CRA soient respectées. Sinon, il va prendre des sanctions, lui, et on y vient juste après. Donc, c'est lui qui va devoir faire les documentations techniques, les instructions utilisateurs, parce qu'on finit par s'y perdre. Bref, qui est le fabricant du produit ? Alors, le fabricant du produit, c'est, je cite, Article 3.13. La personne physique ou morale qui développe ou fabrique les fameux produits Sera ou fait concevoir, développer ou fabriquer le machin et les commercialise sous son propre nom ou sa propre marque à titre gratuit, monétisé ou onéreux. Alors, on n'a pas bien compris la différence entre monétisé et onéreux. Ce qu'on pressent, c'est qu'onéreux, c'est... Tu veux une licence ou un droit d'utilisation de mon service SaaS, machin, donc tu payes. C'est license fee ou service fee fees. Et monétiser, on pense que si c'est gratos et que c'est en ligne et qu'il y a de la pub, c'est qu'il y a quand même de l'oseille qui part pour quelqu'un. Donc pour nous, pour l'instant, ce serait ça le monétiser, c'est-à-dire qu'il m'apporte quelque chose. Ce n'est pas de l'open source.
Speaker #0
De manière directe.
Speaker #1
Oui, exactement. Parce qu'on voit bien qu'il y a des tas business model qui se développe là-dessus. Et que dès que l'Europe fait des lois, il y a toujours un Américain ou un Chinois pour essayer, un industriel, un Américain ou un Chinois, on ne parle pas du gouvernement bien sûr, qui va essayer de contourner ça. Donc c'est prévu de manière extrêmement large. Et je passe le régime dérogatoire de l'open source qui est très compliqué à gérer. Bref, donc de là-dessus, il y a bien sûr un régime dérogatoire pour les petites et les micro-entreprises, pour les moyennes entreprises dont je ne parle même pas. et on va voir qui est l'importateur alors donc c'est donc c'est forcément un des trois sur la chaîne qui va prendre donc il y a le fabricant on l'a bien vu son nom ça marque le pognon l'importateur ben c'est ben c'est celui qui met sur le marché un produit lequel porte le nom ou la marque d'une personne physique ou morale établie en dehors de l'UE ben c'est le truc chinois faut bien que quelqu'un le fasse venir donc soit il y a 27 importateurs 27 états membres soit il y en a un qui importe machin voilà Donc ça, c'est l'importateur. Donc là, on n'apprend pas grand-chose. Ce qu'il faut juste, c'est que... Ah oui, ensuite, il y a le distributeur. Donc, hors UE, intra-UE, importateur. Facile. Très bien. Ensuite, il y a le distributeur. Donc, c'est la personne physique ou morale faisant partie de la chaîne d'approvisionnement. Donc, la personne physique ou morale, autre que le fabricant ou l'importateur, qui met le produit à disposition sur le marché de l'UE sans altérer ses propriétés. Parce que si on est distributeur, soit on prend le truc... on prend la boîte, entre guillemets, le CD-ROM, entre guillemets, l'exécutable à télécharger, on ne le touche pas, là, on est juste distributeur. Mais si on l'a modifié, on en a altéré les propriétés, on devient fabricant, et là, on va devoir faire le travail.
Speaker #0
C'est logique, puisque si on modifie un logiciel, on peut créer des failles de sécurité, donc des vulnérabilités.
Speaker #1
Et donc, on recommence tout le travail. Absolument. Donc ça c'est les opérateurs économiques, alors en plus il y a le mandataire et toute personne qui machin. Vous êtes de la maison non ? MLN ? Mouvement Libération Noir ? Non, ils doivent être du MLS. Mouvement Libération Sud c'est nous, on les connait très idiot. Ah mais c'est nous le MLS, on n'est pas Fifi ? Si, mais on est tous Fifi, ça regroupe le MLS, le MLN, la S et le FTP. Le FTP c'est l'FFL. Non, c'est l'OCM. Non mais OCM c'est comme CDLR, OS ou CDLL, c'est FFL. Pareil. Il y a encore plein d'explications. chacun.
Speaker #0
Alors, fabricant, importateur, distributeur, chacun ayant son lot de sanctions, pécuniaires ou autres, on va voir, qui sont dimensionnées en fonction de ce qu'il fait. Parce que ce serait tellement simple d'avoir un seul régime de sanctions. Donc, voilà. Et puis, il y a bien sûr, si l'importateur ou le distributeur apporte une modification substantielle à un produit déjà commercialisé, ben, same player, shoot again. C'est l'un ou l'autre, ben, ils deviennent fabricants et il faut tout faire. Et on recommence. Et puis, il y a le régime spécial de prévenir pour les vulnérabilités activement exploitées ou les incidents de sécurité, je cite, « graves à répercussion, blablabla » . Donc, en plus, on a deux critères tout à fait particuliers. On essaiera d'y jeter un coup d'œil tout à l'heure.
Speaker #1
Juste un point, parce que là, tu as balancé un truc qui n'a l'air de rien comme ça. Ce sont les vulnérabilités activement exploitées.
Speaker #0
Oui.
Speaker #1
Parce que, par définition, une vérité, elle peut exister. On peut la connaître ou pas. C'est le problème des 0D. Mais souvent, on s'aperçoit trop tard qu'elle est exploitée. Parce qu'une fois qu'on commence vraiment à voir l'exploitation, généralement, quand on regarde un petit peu dans le passé avec les logs, etc., on s'aperçoit qu'elle a été exploitée dans le passé avant qu'on le sache.
Speaker #0
Mais avant qu'on le sache. Et bien, l'Union européenne te remercie de poser la question. D'ailleurs, ta grand-mère... vient de m'envoyer un message sur LinkedIn, elle te remercie aussi de cette question. L'UE a pensé à tout. Donc, il y a trois définitions de vulnérabilité. Vulnérabilité, il y a les définitions dans NIS 2, qui n'est pas la même que dans Dora, qui n'est pas la même que dans le CERA. Bien sûr. Ça,
Speaker #1
c'est trop simple.
Speaker #0
Des fois, on s'ennuie. Des fois, ma grand-mère a envie de reprendre de la camomille. Non, vulnérabilité, c'est vulnérabilité. D'accord ? Tout ce qui a une vulnérabilité, Bon, ça, c'est vulnérabilité. Ensuite, nous avons les vulnérabilités exploitables. Donc, il y a une définition légale. Bon, elle est exploitable, oui, elle doit être exploitable. Mais, bon, on s'en fout un peu. Mais la vulnérabilité activement exploitée, c'est celle dont on a des preuves qu'elle est exploitée. À partir du moment où, tout d'un coup, elle est découverte, qu'elle est documentée, qu'elle est connue et qu'on commence à communiquer vis-à-vis des autorités de contrôle, que ce soit en vertu de Nice 2, d'Ora ou du CERA, plouf, la vulne, elle est connue. Et ensuite, on voit si elle est activement exploitée. pour de vrai. Et si elle est activement exploitée, dans le CRR, il est écrit qu'il ne faut pas mettre en vente des logiciels connectés dont on sait qu'ils contiennent des vulnérabilités activement exploitées. C'est quand même, je crois, la première des 13 exigences de la cyber-sécurité. Donc, c'est quand même d'un très haut niveau. C'est important quand même. Donc, si tu es fabricant, distributeur, importateur d'un logiciel connecté avec ou sans matériel. Avant de le mettre en vente, il faut bien regarder que tu n'as pas déjà une grosse pourriture bien moisie que tout le monde connaît, qui est activement exploitée. À un moment, on peut voir la définition légale, mais activement exploitée, je veux dire pour les hommes de l'art dont tu fais partie, je pense que c'est parlant quand même, activement exploitée. Il n'y a pas besoin forcément de définition. Bon, on en a une dont on va se passer, mais c'est ça.
Speaker #1
Généralement, on est au courant. Quand ça se passe comme ça,
Speaker #0
on est pas informé. Les mauvaises nouvelles, on les apprend souvent assez vite. Ah bah tiens, voilà. Activement exploité, des lords qui participent. Je suis en train d'essayer de retrouver la définition. Bon, je ne l'ai pas parce qu'il y a des compléments dans les considérants, mais activement exploité, bon, c'est activement exploité, j'insiste pas.
Speaker #1
On a compris.
Speaker #0
Alors maintenant, tout de suite, pour rendre la chose très concrète, moi je propose qu'on passe au système de sanctions et responsabilités. Et ensuite, on va prendre les aspects vraiment cyber, donc les 13 exigences, les 8 exigences. On va voir ce que c'est que la nomenclature des logiciels, parce que là, il y a un truc qui est très cyber, qui intéresse tout le monde. Et puis, ça va être tout ce qu'il y a dans tous les appels de librairie, tout ça. Voilà, la documentation technique, il y a des points qui sont... Et puis, les produits, les produits importants et les produits critiques, parce que ça, c'est vraiment le truc de base. Donc, le régime des sanctions pour être sûr que ça intéresse tout le monde. Je viens de voir en vidéo, ta grand-mère est tombée de sa chaise, si tu pouvais... L'aider à se relever. Alors, je vais vous le faire en même temps de manière progressive. Il y a d'un côté, si le produit est commercialisé ou tout d'un coup, il n'est pas corrigé, parce que c'est ça l'idée, il va falloir corriger tout le temps, les procédures de correction, c'est rien. Si à un moment, le produit n'est pas conforme, il ne respecte pas ce qu'on a mis dans la doc et puis, il ne fonctionne plus ou il y a un truc qui ne marche pas. Alors, il y a... un premier régime qui sont des sanctions pécuniaires, c'est assez classique, à base de 1% de chiffre d'affaires, premier niveau, 2% du chiffre d'affaires, deuxième niveau, 2,5%. sur le troisième niveau. Donc, moi, j'ai un système de picto, donc c'est gris, 5 millions, 1% maximum. 10 millions, là, c'est orange, 2%. Et puis, 15 millions, 2,5% du chiffre d'affaires. En fonction de, t'as pas fait ci, ça c'est grave, ça c'est moins grave, on rentrera pas dans les... Mais surtout, mais surtout, pardon, c'est une législation produit. Donc, qui dit produit, dit aujourd'hui... Ce dont on commence à entendre parler assez régulièrement, par exemple sur les airbags des voitures. Des voitures qui sont équipées d'airbags qui sont défectueux. On a deux choses. Soit on fait un rappel du produit. C'est-à-dire que les voitures repartent chez le constructeur, garagiste, réparateur, on l'appelle comme on veut, pour changement de la pièce défectueuse. Donc ça, c'est le rappel du produit. Donc il y a une procédure de rappel du produit dans le CRA. Quand c'est du logiciel connecté... tout court, mis à disposition dans un cloud, ça va B2B, B2C, très bien. Mais il y a encore mieux qui est le retrait du marché. Non, pardon. Il y a le rappel du produit et le retrait du marché. Le retrait du marché, c'est l'interdiction de vente. Ça se comprend bien, le retrait du marché, quand on va dans un supermarché, il y a un rayonnage avec des brosses à dents connectées. Ce soir, moi, c'est les brosses à dents, je ne sais pas. On pourrait prendre des tas de trucs. Donc, je décide du retrait du marché. Ça veut dire que le supermarché, d'abord, ses stocks, il se les garde. Et puis, tout ce qui est en rayon, il les sort des rayons. Alors, ça, c'est le retrait du marché. Mais le rappel du marché, en fait, ça fait moins peur. Mais c'est pire. Parce que qui va payer le retrait ? Et puis, comment on sait à qui on a vendu ? Parce que c'est du B2B, du B2C. Donc, quand on est un distributeur de produits logiciels, connectés, téléchargeable propriétaire, basique, téléchargeable, qu'on peut installer machin. Ça veut dire qu'il faut la liste exhaustive de tous ceux à qui on a mis à disposition sur le marché, commercialisé à titre monnayé, onéreux, gratuit, machin. Il faut avoir la liste à jour tout le temps. Il faut être capable de leur dire, ah, nous avons un problème avec la version 3.8 qui est non conforme, eh bien, il va falloir nous arrêter d'exploiter le produit parce qu'on va vous mettre une... une 4.0, je ne sais pas, ou une 4.1.3,
Speaker #1
je... Oui ? Alors, ce truc-là, je pense que ça va donner des trucs assez rigolos. Un peu à la log4j, du jour au lendemain, pardon, il a fallu trouver où dans le système d'information ces composants étaient utilisés, les identifier, les traiter, et ainsi de suite. Parce qu'effectivement, si on se retrouve dans ce genre de situation, il va falloir savoir exactement où sont utilisés les logiciels qui vont être... soumis à cette restriction. Et ça va être effectivement assez compliqué.
Speaker #0
Ça va être d'autant plus compliqué qu'on va le voir dans un instant, il y a une obligation pour l'éditeur, on va quand même l'appeler l'éditeur, le fabricant, importateur, distributeur, c'est bon, je vais arrêter de le dire, je pense qu'on a bien compris, qui va être de faire cette liste, ça s'appelle la nomenclature des logiciels. C'est obligatoire pour tout le monde. Et puis ce n'est pas un logiciel, ce n'est pas rang 1, rang 2, rang 3, c'est... nomenclature des logiciels qui ne sera pas publique, parce que sinon ça posait un vrai problème et là, l'UE a fait un truc assez intelligent c'est un truc qui devrait être fait de manière obligatoire et contrôlable que par les autorités de contrôle.
Speaker #1
Alors, une petite question est-ce que ça, ça a rapport avec ce qu'on appelle le build of material c'est-à-dire la nomenclature de tous les composants techniques qui sont utilisés dans le cadre de la création d'un logiciel donc on va utiliser des composants XYZ et puis voilà, comme on a Merci. construit finalement tout ça. Est-ce que c'est le même concept que l'UE nous demande ?
Speaker #0
C'est ça.
Speaker #1
D'accord, ok.
Speaker #0
C'est ça. En fait, on voit que l'UE, quand même, maintenant, ils ont bien compris la manière dont tout ça fonctionnait, et ils rentrent dans des considérations très techniques, et tous ces concepts... J'ai intéressé au Zero Trust récemment, c'est gratiné, bon, là, c'est pas le problème, mais globalement, ils font leur... L'UE fait sienne. les concepts techniques et puis les créer à sa manière. Nomenclature des logiciels, ben voilà, build of material, qu'est-ce qu'il y a dedans ? Merci. Ce n'est pas public, sauf si le fabricant décide de le rendre public. Ça, j'aimerais voir, le jour où il y a un fabricant qui rend public la liste de tous ces modules, machin, quand on verra qu'il y en a plein qui sont des open source qui sont vendus très cher alors qu'en fait, c'est juste de l'open source avec trois lignes rajoutées ou deux API ou une interface, quand même. Voilà. Ça, c'était là où on a parlé des sanctions. Donc, moi, régulateur, je suis capable d'aller contrôler, je sanctionne. Mais il y a un truc qui est plus grave et qui est un mouvement de fond aujourd'hui dans l'Union européenne, ça c'est mon métier qui permet de l'affirmer, c'est la responsabilité. Et ça, la responsabilité, c'est dommage et intérêt. Ce n'est pas amende. Mais ça peut être l'un et l'autre, ou ça peut être que l'un et pas l'autre. Mais si en général, il y a des sanctions derrière, tout le monde va dire « Ah, il y a des sanctions, c'est la preuve qu'il y a eu un manquement. » Manquement, faute, faute, responsabilité. Responsabilité, dommage et intérêt. Donc, nous avons très explicitement prévu dans le CRA, le fabricant d'un produit est responsable des dommages causés par un défaut de sécurité de son produit. indépendamment de la faute. Ça veut dire qu'à partir du moment où le produit n'est non conforme, ça cause un dommage, le fabricant est responsable. Il ne peut pas dire « Ah ben non, c'est pas ma faute » . Non, il est présumé en faute. C'est à lui de faire le job. Et le cas de force majeure, ça va être difficile à plaider. Donc ça, c'est le premier étage de la fusée. Donc il faudra juste prouver un préjudice en disant « Le truc, ce machin, il devait faire ça » . il ne l'a pas fait, il est défectueux. C'est un produit défectueux. C'est conçu quand même comme un produit, même si c'est que du logiciel connecté. Et si ça m'a causé un préjudice, je prouve mon préjudice, je demande des dommages et intérêts devant un tribunal. Ça, c'est le premier étage de la fusée. Et le même jour que le CRA, pour que tout le monde comprenne bien ce qui se passe, directive numéro... Je cite le numéro, je l'ai sous les yeux bien sûr, mais sinon on ne me croit pas. Directive 2024, slash 28-53 du 23 octobre 2024, responsabilité du fait des produits défectueux. Donc, comme c'est un truc qui est assez sensible, c'est la police, justice et le pouvoir de chaque état. L'Union européenne nous a pendu un beau grand truc. Et maintenant, vous avez, je ne sais plus, un an, deux ans ou trois ans pour transposer la directive produits défectueux et prévoir qui va pouvoir agir comme si, qui va pouvoir faire comme ça. Et ça va être magnifique. Et je rappelle que nous avons depuis une directive du 25 novembre 2020, on a surnommé entre nous la classe action à l'européenne. Parce que faire un procès contre le produit défectueux, si j'ai juste une prise électrique qui a sauté, une ampoule ou un halogène, je ne vais pas aller faire un procès à un fabricant. Ça va me coûter 15 000 euros de faire le procès pour apporter 300 euros de dommages d'intérêt. Ça ne marche pas. Donc, l'Union européenne avait anticipé, et les États membres freinent à mort, cette directive relative aux actions représentatives visant à protéger les intérêts collectifs des consommateurs. La France ne l'a pas transposée. On a vérifié récemment, la France freine à mort. Ça veut dire que leak, dédoss, blablabla, B2B, B2C, boum ! Action en responsabilité, d'une part, et éventuellement action collective. C'est-à-dire que si j'ai vendu 120 000 caméras... qui ont fait des fuites de données. Des fuites de données, c'est un dommage. Ça vaut combien ? Ça vaut 10 euros par personne ? Ça vaut 30 000 par personne ? 30 000 dollars ? 30 000 euros ? 30 000 roubles ? 30 000 roubles, on est assez tranquille. Vu le cours du rouble, ce ne sera pas cher. Puis, on ne va pas faire de procès en Russie. Mais globalement, la mécanique intellectuelle combinée de tous ces textes, c'est systématiquement maintenant, on vous rend responsable. Potentielle sanction. Il faudra contrôler ça, on a un problème, on ne sait pas qui va contrôler encore. Et surtout, c'est le volet responsabilité. Parce que dans des dossiers aujourd'hui qu'on voit sortir dans la presse, des histoires qui sortent dans la presse, comme Harvest, c'est un exemple. Il est tellement emblématique, parce que quand même, c'est une profession à 85% équipée des logiciels Harvest qui a posé l'ordinateur pendant trois semaines, ils étaient au crayon et au papier. Il y a la calculatrice à la mano. Donc derrière... Tout le monde attend de savoir s'il y aura des procès en responsabilité pour « j'ai pas pu bosser pendant trois semaines » ou « j'ai été obligé de prendre tel service complémentaire, pourquoi c'est encore moi qui paye alors que toi, professionnel, et je n'en veux pas particulièrement à Harvest, mais comme tout le monde en parle, c'est l'époque où il y a Dora, le truc est sorti après l'entrée en application de Dora, évidemment tout le monde s'interroge. Mais ce n'est pas qu'en matière financière, ça va être pour tout le monde. et on va en arriver à un système... Alors, est-ce que ça va marcher ou pas ? Je ne suis pas Madame Soleil, encore. Je suis désolé pour ta grand-mère. J'aimerais bien, d'ailleurs. Mais aujourd'hui, toutes ces législations nous poussent vers une responsabilisation vis-à-vis des autorités de contrôle qui vont être dotées de pouvoir. Le retrait du marché ou le rappel du produit, c'est sévère, quand même, comme sanction. C'est quand même gratiné. Mais si après, il y a procès en responsabilité parce qu'on voit qu'il y a une autorité de contrôle qui a dit que ça, c'était défectueux ou que ça, ce n'est pas conforme. Parce que défectueux égale non conforme. Après, il faut juste un dommage. Mais si on a causé un dommage à 143 000 personnes, une bonne action de groupe, et on va finir par y arriver. objectivement, et j'en veux pas à FRI non plus, mais enfin FRI qui se sont fait poutrer comme des malades, il y a aujourd'hui, en France, c'est quasiment impossible de faire une action en responsabilité. Or pourtant, il y a des millions de personnes dont les IBAN sont dans la nature et qui vont prendre des usurpations d'identité, des faux virements, des arnaques au président ou au consommateur, blablabla. Aujourd'hui, je suis ravi pour eux, je ne suis pas leur avocat, FRI sont bien contents qu'il ne se soit rien passé. Mais le jour où ils prennent une action en responsabilité collective, on va voir combien vaut le dommage individuel d'un truc qui est quand même grave.
Speaker #1
Ça, je pense que c'est un peu une espèce de monétisation du risque. Ce que je veux dire par là, c'est que tant qu'on n'avait pas d'impact financier des risques cyber, et surtout de leur impact dans la vie de tous les jours, ça restait entre guillemets un risque cyber avec... éventuellement une interruption de service, au pire des cas, peut-être éventuellement un petit problème de réputation, mais généralement ça s'arrêtait là. Et là j'ai l'impression que plus le temps passe, et plus la réglementation va dans le sens du consommateur, et dans la protection du consommateur, parce que là on parle de CRA dans ce cas-là, mais il y a d'autres réglementations européennes, PSD3 par exemple, qui sont en train d'arriver, et qui vont un peu aussi dans ce sens-là. et à terme, ça commence à devenir une vraie problématique de société où on valorise vraiment l'impact d'un problème cyber dans la société. Alors que ça n'était pas le cas avant et tout doucement, c'est en train d'alourdir le poids du coût de la cybersécurité. Enfin, pas du coût de la cybersécurité, mais ce que coûte finalement un problème de cybersécurité.
Speaker #0
Si je paye pour un service et qu'en échange, le service ne m'est plus rendu Merci. Et que, comme c'était très classique, je le sais, c'est en partie mon métier, dans les clauses de responsabilité des contrats de service B2B, pour des logiciels en mode SaaS, on disait, alors, une heure d'interruption de service, je te donne deux queues de cerises. Deux heures d'interruption de service, tu auras une cerise avec le noyau. Quatre heures d'interruption de service, tu auras un panier de cerises. Et au-delà de huit heures, donc que ce soit dix heures ou trois semaines, je t'offre un mois d'abonnement gratuit. Mais c'était le terme super standard de tous les professionnels dont tu fais partie qui ont lu ces contrats. C'était toujours comme ça. Au-delà de 8 heures de service, on t'offre un mois. Mais quand tu n'as pas bossé pendant 3 semaines, parce que ton logiciel, qui est le cœur de ton activité, est planté, tu fais quoi ? Avec directive produit défectueux, directive action de groupe. Alors action de groupe, C'est vraiment les consommateurs qui se réunissent, les entreprises qui se réunissent pour faire ça, ça ne marchera pas. On va présumer que les entreprises peuvent s'offrir le coût d'un procès. Mais au fond, c'est pour qu'on finisse par dire que ce n'est pas possible que tu as quatre heures d'interruption de service, tu as un chewing-gum, tu as trois semaines d'interruption de service, tu as un paquet de chewing-gum. Il y a un moment, si on est tributaire dans son métier, dans son activité professionnelle de logiciel qu'on paye, il faut que derrière, il y ait une vraie responsabilité. Et là, il y a les lignes qui vont bouger d'une manière ou d'une autre. Pour l'instant, ça ne bouge que de manière, je dirais, sectorielle, puisqu'on a vu apparaître, c'était l'affaire Coaxis en 2022, où il y avait plus de 300 000 salariés d'experts comptables qui n'ont pas bossé pendant un mois. 300 000 personnes sur un pays qui utilisent le même logiciel, qui ne bossent pas, ça commence à faire beaucoup quand même. Là, on le voit avec Harvest, c'était les conseillers en gestion de patrimoine. à 85% en France équipés des outils d'Harvest qui ne pouvaient plus bosser on sent bien qu'à un moment il y a quelqu'un qui va demander des comptes sur tu m'as dit que ton outil il est génial, d'accord je ne sais pas comment ça s'est passé chez Harvest, il n'y a pas d'informations là-dessus mais si j'ai pris de l'oseille d'un côté si je suis responsable il faut peut-être que j'en rende à un moment quoi
Speaker #1
Autre temps, autre mœurs maintenant ce genre de choses ça se paye
Speaker #0
Voilà, c'est le mouvement inéluctable. Voilà, donc ça c'est la partie essentielle pour comprendre qui, quand et les sanctions éventuelles.

Description

Line vers la présentation de Marc-Antoine LEDIEU : https://technique-et-droit-du-numerique.fr/podcast-le-cra-explique-a-ma-grand-mere-episode-1-2-quoi-qui-quand-sanctions-ledieu-avocats/

Description de cet épisode :

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Bonjour mamie, j'ai ramené un copain. Bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à ceux qui n'y comprennent rien. Petit avertissement en préambule, c'est qu'à l'origine cet enregistrement dure très longtemps, il dure plus d'une heure et demie. Et pour que ce soit plus agréable pour vous et pour que vous puissiez vraiment vous concentrer sur toutes les discussions, j'ai décidé de partager cet épisode en deux parties. Et donc on va entendre la première partie avec Marc-Antoine. Alors vous le savez, on vit tous avec des objets connectés depuis des années. Il y a pas mal de cas dans l'histoire de la cyber. qui ont montré que souvent il y avait des failles de sécurité. Et dans la vie de tous les jours, on vit de plus en plus avec ces objets. Et la vraie question est de savoir si un jour, quelqu'un va s'occuper de savoir si tout ça s'est bien sécurisé. Et pour ça, on a justement les régulateurs européens qui ont eu la bonne idée de lancer un nouveau règlement qui s'appelle le CRA. Et j'accueille ce soir quelqu'un que vous connaissez déjà. Alors ma grand-mère est déjà toute folle de savoir qu'il est là ce soir. Elle lui a préparé un petit café, une tarte à la mirabelle. J'accueille évidemment Marc-Antoine Ledieu. Alors Marc-Antoine, pour ceux qui ne te connaissent pas, est-ce que tu veux bien te présenter ?
Speaker #1
Oui, bien sûr. Bonsoir Nicolas. Alors je précise tout de suite que ta grand-mère m'a déjà téléphoné deux fois la semaine dernière pour me demander des détails sur le CERA parce qu'elle n'était pas sûre que tu comprennes tout. Donc elle te demande de rester patient pour cet épisode.
Speaker #0
J'en connais bien là.
Speaker #1
Oui, charmante, vraiment. Très vieille France, charmante. Marc-Antoine Ledieu, je suis avocat au Barreau de... de Paris, très spécialisé en matière de cybersécurité, ce qui fait qu'après avoir eu le plaisir d'expliquer à ta grand-mère dans l'ordre, on avait fait Dora, ensuite on avait vu Nice 2, je crois, et maintenant le troisième tremblement de terre, c'est le CERA, Cyber Resilience Act, pour lequel le cabinet et le Dieu avocat ont embauché une nouvelle collaboratrice qui est dédiée à la compréhension. du CRA et nous commençons à répondre à des RFI où on nous demande d'expliquer le CRA et de savoir à quelle sauce on va être mangé. Donc, on a une approche qui a été très longue parce qu'il a fallu comprendre le texte qui est vraiment extrêmement détaillé, très technique. C'est ce qu'on va voir. Et derrière, être capable d'expliquer ce qu'il va falloir faire. Qu'on soit le fabricant, l'importateur ou le distributeur d'un produit CRA et on va se pencher pour voir ce que c'est. Je crois que ce n'est pas monté au cerveau de tout le monde.
Speaker #0
D'accord. Super. Écoute, rentrons directement dans le vif du sujet. Quel est le problème que le CRA tente de régler ?
Speaker #1
Alors, en fait, on voit bien toutes et tous, surtout nous dans le milieu de la cyber quand même, on suit un peu la presse et tout ce qui sort. En fait, on peut résumer le problème du CRA de la manière suivante. Un peu comme pour Nice 2 et pour Dora, les mesures techniques de sécurité, il n'y en a jamais eu en matière informatique. logiciels, réseaux, systèmes d'information. Alors, on a eu un début, en tout cas pour les entreprises concernées, on a eu Nice 2 et Dora, mais ça, c'est pour des entreprises qui sont utilisatrices, entreprises, administrations, qui sont utilisatrices d'infrastructures numériques. Donc là, on va les forcer à se blinder. Et puis là, le deuxième volet, c'est le CRA, c'est les règles de sécurité obligatoires pour les logiciels connectés, avec ou sans matériel. Et c'est ce qu'on va voir, c'est là où ce... où ce règlement a beaucoup évolué entre son premier projet, qui était de 2021, et la version finale qui a été adoptée, 2022 d'ailleurs, pardon, et version finale adoptée, publiée au JO, il est du 23 octobre 2024. Donc, c'est tout frais.
Speaker #0
Très bien. Et alors, justement, pour quand ça va s'appliquer ? Parce que là, on parle du texte, mais avec quelques dates. Mais est-ce qu'on est déjà en retard ?
Speaker #1
Alors, on n'est pas encore en retard. Bien sûr, je suis incapable de te répondre tant que je n'ai pas toutes mes slides sous les yeux parce que c'est vraiment assez technique. Pour moi, avec combien de temps de retard ? Le principe est le suivant. La date d'entrée effective en application, c'est le 11 décembre 2027. Donc, on part du 23 octobre 2024 pour aller au 11 décembre 2027. Donc, ça fait à peu près trois ans. Mais... Car il y a toujours un mais. Il y a une première exception qui est la désignation par les États membres, des autorités nationales, autorités pas au sens Annecy, mais des entreprises qui vont avoir le pouvoir d'eux. certifier ou de contrôler les certifications. Septembre 2026, obligation en matière de communication d'informations incombant aux fabricants, c'est-à-dire la notification des vues obligatoires à partir du 11 septembre 2026. Donc plus d'un an avant l'entrée effective de tout le dispositif. Et on ne sait pas très bien ce qu'on va faire de ça, parce que... c'est bien de notifier les vulnes, mais toujours faut-il qu'on sache si on est bien CRA, produit CRA, le fabricant, le distributeur ou le machin.
Speaker #0
Alors justement, juste pour revenir un petit peu au fond du texte, la raison pour laquelle le régulateur a mis en place ce texte, parce que tu viens de parler de vulnérabilité, donc dans le texte, il y a une obligation justement de communiquer auprès des vulnérabilités. Enfin, voilà, je fabrique un produit, je le teste, et j'ai vu qu'il y avait une vulnérabilité, je vais être obligé de le communiquer, de la communiquer auprès de mes clients. Sur le fond, c'est ça l'idée. Mais il y a d'autres choses dans le texte qui vont justement dans le sens de la cybersécurité. Si tu peux aller un tout petit peu plus dans le détail sur le contexte.
Speaker #1
Alors en fait, le contexte de fond, la problématique principale, c'est les vulnes. Puisqu'on voit que, si on veut le caricaturer, c'est l'exemple des caméras connectées chinoises qui, depuis des années, permettent soit de constituer des bottes nettes, et les botnets Mirai et compagnie qui ont permis d'infecter des centaines de milliers de machines alors pas que les caméras vidéo connectées chinoises il y a des tas de PC il y a Asus il me semble qui a été très très doué à une époque et en fait une fois que les botnets sont constitués par des gens qui vont exploiter ces vulnes, ensuite on va avoir soit le phénomène du DDoS massif qui pose quand même un problème certain j'avais été repéré deux, trois exemples, dont un tout récent. Et ensuite, c'est le problème des leaks. Puisque quand on est capable d'exploiter une vulnérabilité dans un logiciel connecté, avec ou sans matériel, j'insiste, on va aller récupérer de la data de malade. Et après, ce sont tous les scandales auxquels on assiste tout le temps. Il y a plein d'affaires en ce moment qui sont publiques. Là, on est en 2025, l'affaire Harvest, qui est un éditeur de solutions. de solutions pour les professionnels de la finance, ils se sont fait trouver dans des proportions absolument gigantesques et les données ont liqué partout, partout, partout. Et c'est pour que tout ça s'arrête. Parce qu'on voit bien que dans le contexte en plus géopolitique d'aujourd'hui, on voit qu'il y a une montée du phénomène militaire menaçant l'Europe, au sens propre du terme. Si la menace est cyber militaire, elle peut être cyber civile. Donc c'est toutes nos industries au sens large. col blanc, col bleu, qui sont potentiellement en risque et aujourd'hui gravement en risque parce qu'on a laissé faire, on a toléré l'intolérable depuis qu'on a l'Internet, depuis qu'on a des logiciels et depuis qu'on a des matériels avec du logiciel dedans qui sont connectés à l'Internet. Et c'est une manière de l'Union Européenne parce que c'est dans ses compétences, comme d'habitude, blablabla, et que les pays membres, par pays membres, on ne fait rien, c'est le bazar, on uniformise, et là on prend le CA, donc qui Merci. part vraiment de ce constat-là. Et on dit, à partir de très bientôt, le premier comprend et qui n'aura pas bien fait le job. Alors, le job, pour le caricature, là aussi, c'est 13 exigences essentielles cybersécurité et 8 exigences essentielles gestion des vulnérabilités. Donc, voilà, c'est catalogue. Et déjà, vous verrez ça. Après, il faut faire de la documentation interne, externe. Il faut faire son reporting. Et puis, avec des sanctions d'une qualité tout à fait inédite, puisqu'on parle de produit. Vraiment, c'est le logiciel connecté qui est pris comme un produit, qui soit commercialisé à part, mais dont les fonctions sont essentielles, blablabla. Et puis, dès qu'il y a un truc qui ne marche pas, le produit est non conforme. Et s'il est non conforme, ça se constate assez vite, surtout pour des trucs qui sont connectés. Et si ce n'est pas conforme, gros risque. Et puis après, il y a les problèmes de responsabilité et l'action de groupe qui est en train d'arriver en Europe à peu près simultanément. On a eu le même jour, il faudrait que je vérifie, la directive sur les produits défectués et une directive action de groupe. Enfin, l'Union européenne est en train de siffler la fin, généraliser de la récré sur toute la partie cyber de tout, qu'on soit utilisateur, Nice 2 Dora, ou qu'on soit le fabricant, l'importateur, le distributeur, deux logiciels qui vont se connecter, B2B. et B2C. Ça peut difficilement être plus large.
Speaker #0
Effectivement. Donc pas mal de boulot en perspective. Par quoi tu veux commencer ?
Speaker #1
En fait, c'est vraiment un truc qui est difficile à appréhender parce qu'il y en a tellement qu'au bout d'un moment, on risque de se noyer sous le détail et c'est un truc qui pose un vrai problème. Alors, moi, ce que je te propose pour commencer, c'est quoi le produit serre ? Donc, produit, c'est vraiment… Il y a 51 définitions légales dans le serre. Déjà, ça part bien. Alors, la toute première, la plus essentielle à retenir, c'est produit comportant des éléments numériques. Alors là, il y a un moment, il faut lire. Puis ensuite, moi, j'ai mon interprétation et je vais essayer de vous guider un peu. Donc, un produit comportant des éléments numériques, c'est un produit CERA, un produit logiciel ou matériel. Et ces solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément. Donc nous, on a résumé ça. Dans un premier temps, on disait les produits connectés avec logiciels. Maintenant, on dit franchement, logiciels connectés avec ou sans matériel. Le cœur du truc, c'est cette notion de traitement de données à distance. Et là, on a encore une définition légale. On ne va pas toutes les faire parce que ma grand-mère va se noyer dans la camomille, dans laquelle elle aura mis probablement un peu de Mirabelle. De provenance inconnue. Donc, un traitement de données à distance, c'est tout traitement de données à distance pour lequel le logiciel est conçu et développé par le fabricant ou sous sa responsabilité. Donc, à chaque fois, on va dire le fabricant. Et puis, si le fabricant ne le fait pas, c'est l'importateur qui va devoir faire la même chose. Et sinon, ça va être le distributeur sur au moins un pays de l'Union européenne. Après, il les fait tous, il ne les fait pas tous. Ce n'est pas le problème. Mais c'est forcément un des trois. Donc, il n'y a pas un acteur économique. C'est comme ça que c'est appelé dans le serre. Il n'y a pas un acteur économique qui peut y échapper. Sauf que si je vais être l'importateur, je vais demander à ce que le fabricant fasse le job. Et si je ne suis que le distributeur dans un pays de l'importateur, je vais demander que l'importateur fasse le job. Et lui, il va demander que ce soit le fabricant qui fasse le job. Sinon, on n'y arrivera jamais. Donc, chacun, ça va donner lieu à de la responsabilité. Mais celui qui va mettre sur le marché, en clair, qui va commercialiser, Vous allez voir, il y a un critère à titre gratuit, ou monnayé, ou à titre onéreux. En fait, ils ont pensé à presque tout pour être sûr qu'il n'y ait rien qui échappe à l'épuisette. Vu la taille de l'épuisette, elle est grande. Ça semble plutôt à de la pêche industrielle. Ce qui est intéressant dans le critère, c'est les traitements de données à distance. J'en reviens aux traitements de données à distance. Donc, blablabla, tout traitement dont l'absence empêcherait le produit. d'exécuter une de ces fonctions. Donc, quand on parlait de DORA, on parlait de fonctions critiques ou importantes pour les métiers. Là, ce n'est pas la même chose. J'ai conçu un logiciel connecté, soit dans du matériel, soit à part. Et si je l'ai conçu avec une fonction qui est prévue pour être connectée, si cette fonction-là ne marche pas, qu'elle soit critique ou importante, ne compte pas. Il suffit qu'une des fonctions prévues ne marche pas. Et là, on a un problème. Le produit n'est plus conforme.
Speaker #0
Ok.
Speaker #1
Donc ça, comment dire ? Voilà, ça va occuper beaucoup de monde. Alors, je passe sur les exceptions. Il y a quand même des logiciels connectés ou des trucs qui échappent à tout ça. Il y a tout le médical qui est déjà réglementé. Les véhicules à moteur, je cite, ça c'est déjà réglementé par ailleurs. L'aviation civile, les équipements marins, c'est comme ça que c'est appelé aussi, c'est des directives à part, machin. Et puis tout ce qui est... Alors... sécurité, défense nationale qui bénéficient de traitements spéciaux, mais je n'en parle pas. Je reviens à cette notion de traitement de données à distance. Je cite, parce qu'une fois qu'on a lu le CRA, donc les articles, là, il faut aller voir les considérants, où il y en a 152, c'est un truc de malade, où il y a du vrai détail, qui est vraiment utile. Là, ils ont vraiment posé, alors je le refais, le considérant, c'est quoi les considérants de tous ces textes ? C'est si un juge... doit interpréter les articles 1 à 79, 92, je ne sais même plus là, du CERA, il va chercher des indices d'interprétation dans les considérants. Mais si on sait que ça génère un conflit judiciaire, donc le juge, il va aller voir les considérants, mais ça veut dire qu'il faut aller les voir aussi quand on est le fabricant, l'importateur ou le distributeur, parce qu'on sait que, par exemple, qu'est-ce que ça veut dire traitement de données à distance ? Exemple dans un considérant. Que les données soient traitées ou stockées localement sur l'appareil de l'utilisateur ou à distance par le fabricant. Donc en fait, ça ne veut pas dire que c'est online en permanence. Il suffit d'avoir du stockage local et ensuite, dès qu'on passe en phase de connexion ou appel d'un serveur qui va aller chercher la data pour l'agréger, pour faire je ne sais pas quoi, on est bien toujours dans un produit CER. Et ensuite, il y a des exemples. Alors, je vais encore en citer un. Le traitement ou le stockage de données à distance, ce qui fait qu'on est produit CER, comprend le cas où une application mobile a besoin d'accéder à une API ou à une base de données fournie par l'intermédiaire d'un service développé par le fabricant. Une base de données météo, j'ai mon app sur mon téléphone qui va aller chercher de la data météo, c'est conçu pour être connecté sur la base de données d'un tiers fournie par l'intermédiaire d'un service. Ça ne veut pas dire que c'est ma base de données à moi, il suffit que mon service soit conçu pour aller chercher des datas un peu par là, des datas un peu par là. que ce soit par une API ou que ce soit par un client lourd, un client léger, que j'ai très bien compris, mais je ne rentrerai pas dans le détail, bien sûr. Quand je dis ça, en général, c'est que je mens comme un salaud, mais je crois que ma grand-mère le sait. Ensuite, on a des précisions qui vont assez loin. On vous dit, un site Internet qui supporte la fonctionnalité d'un produit. Donc, on va rentrer dans le détail en concevant le mode SaaS, pas comme étant que du… de l'accès par le web, mais vraiment le site. Alors, c'est marqué site internet, nous sommes dans le considérant 12. Ça veut vraiment dire, genre, le site web tel qu'on le conçoit. Je vais sur un site web via mon navigateur et si ça supporte une fonctionnalité d'un logiciel connecté avec ou sans matériel, boum, je suis CR. Et là où, en fait, on a eu du mal à comprendre et j'ai fini par obtenir des explications de professionnels qui sont en train de digérer le texte et qui, eux, dialoguent avec les NISA. Je peux frimer en disant que je consulte les NISA, mais ce n'est pas vrai. Je le sais de manière indirecte. C'est que les services en nuages qui sont conçus et développés sous la responsabilité du fabricant sont des produits CER. Et au départ, vraiment, c'était de l'IoT, la première version. Donc, tout le monde disait, bon, c'est de la IoT, il faut qu'il y ait du matériel. Et s'il y a du logiciel dedans, ça ne va être que ça. Donc, tous les professionnels se sont sentis bien tranquilles, à part quelques capteurs industriels et des trucs comme ça. Et puis, en fait, il y a eu un renversement complet. Vraiment, c'est une réécriture et une nouvelle compréhension du CERA. C'est que tous les services SaaS, B2B, B2C, parce que le logiciel a été conçu et développé pour servir de service en nuage, c'est un produit CER.
Speaker #0
L'impact est quand même assez... Tu l'as dit, c'était vu pour les IoT, donc les IoT, juste pour les moins familiers, c'est tous les équipements connectés, donc ça va du fond connecté à votre ventilateur connecté, toutes ces choses-là. Et alors là, par contre, ce que tu expliques, c'est qu'un logiciel, par exemple, un logiciel bancaire ou de paiement, qui va devoir se connecter au travers d'Internet pour accéder à un service en ligne quelque part, va être dans le CR1.
Speaker #1
Oui, ça,
Speaker #0
c'est quelque chose d'assez nouveau par rapport au paradigme premier, entre guillemets.
Speaker #1
Voilà, donc ça a été vraiment conçu au départ pour être l'objet domestique qui va se connecter. frigo, dentifrice enfin brosse à dents dentifrice connectée c'est pas gagné et puis en fait bien inverse du moment que c'est du logiciel connecté conçu et développé pour service en nuage ben en avant quoi donc ça change et alors ce qui est marrant c'est que en fait c'est tourné à la négative c'est les services en nuage qui ne sont pas conçus et développés sous la responsabilité du fabricant ne relèvent pas du champ d'application du CA donc ça c'est dans un considérant c'est à la... Double négation. Si on enlève la négation, les services en nuages qui sont conçus et développés sous la responsabilité du fabricant, importateur, distributeur, blablabla, relèvent du champ d'application du CERA. Point.
Speaker #0
Est-ce que ce n'est pas une certaine manière aussi de vouloir un peu contrôler ce qui se passe au niveau du cloud ?
Speaker #1
Là, le cloud n'est qu'un vecteur de tous ces services. Alors, les infrastructures cloud, elles sont réglementées, prestataires critiques, Dora, ou tout simplement services essentiels avec tout l'infogérance et les services de sécurité ça c'est NIS 2 ok donc ça ça va être vraiment la partie infra donc la partie infra elle devrait être conforme NIS 2 machin pour les gros et puis tous les objets tous les professionnels qui vont renvoyer de la data dans ces data centers, eux en plus, ils seront tenus d'appliquer les 13 exigences essentielles cyber et les 8 exigences essentielles vulnérabilité. En fait, c'est nous qui les avons appelées 13 et 8, c'est pour arriver à les retenir. Parce que si on dit, il y a des exigences cyber et puis il y a des exigences vulnes, ça parle à personne. Quand on commence à mettre des nombres, de même lorsque nous allons attaquer les produits importants classe 1, il y en a 19. Donc là, à un moment, il faut aller voir la liste. Et puis, quand on va attaquer les produits critiques, parce qu'il y a aussi les produits importants en classe 2, eux, il n'y en a que 4, mais les produits critiques, là, il y en a 3. Nous, on finit par retenir ça avec des systèmes de picto et en mettant des chiffres. Quand on va faire la notice utilisateur, il y a 9 exigences. Et puis, quand on va faire la documentation technique, il y a 8 exigences. Et en les comptant comme ça, on arrive à essayer de faire un... magma à peu près compréhensible. Je reviens encore sur les logiciels connectés avec ou sans matériel. Alors ça, je le tiens indirectement à Denisa, il faut être très clair. Ce n'est pas « je suis connecté via une infrastructure publique vers un tiers » , c'est un logiciel connecté au réseau interne d'une entreprise, c'est un produit CERA aussi. Donc le logiciel « on-prem » , mais qui est installé dans un SI où il y a tout qui communique, il va devenir CERA aussi, sinon ça ne sert à rien. Et oui, voilà. Donc, dès qu'il va y avoir une notion de réseau interne, et ça, c'est un gros tremblement de terre, surtout pour l'outil, pour toutes les infrastructures numériques industrielles, tous les robots, entre guillemets, c'est que dès que le robot va être connecté, le logiciel va être prévu pour être connecté. Et on est dans la notion de réseau interne, eh bien, produit CERA. Tu continues ou ma grand-mère a décidé d'arrêter la camomille pour ne mettre que de la prune ?
Speaker #0
Non, c'est bon. Tu peux continuer. Je crois qu'on a planté le décor.
Speaker #1
Après, il y a des définitions de partout. Alors juste, ce qu'on a essayé de faire, parce qu'après, on va y revenir sur certains détails, mais en clair, aujourd'hui, il y a des notions qui sont clés à retenir, qui sont par exemple les OS. Dès qu'il va y avoir un matériel avec un OS, boum, c'est un produit CERA. C'est-à-dire que l'OS en lui-même est SRA, donc le matériel qui va embarquer l'OS, tous les OS, bien sûr, qu'ils soient open source ou qu'ils soient propriétaires. Après ça, se posera le problème de la responsabilité de celui qui gère l'open source ou pas. Mais on ne va même pas rentrer dans ce débat-là. Ils sont prévus, alors des exemples comme ça, les téléphones intelligents. En fait, c'est facile parce que c'est du matériel avec de l'OS déjà au départ. Et c'est connecté par nature. Un téléphone qui n'est pas connecté aujourd'hui... à moins que ce soit les téléphones de campagne modèle 1917 où on tirait des câbles dès 1915. Bon, c'est rare. Après, il y a les serrures intelligentes. Je vous donnerai… Alors, attendez, si je les ai trouvées là. Voilà. Alors, c'est bien prévu. Système d'exploitation, ça, c'est cité dans les considérants. Ensuite, on a matériel intelligent, un produit matériel tel qu'un téléphone intelligent. Bon, donc ça, c'est bien prévu. Et les serrures connectées. Ça, ils insistent beaucoup, c'est-à-dire… tous les produits domestiques intelligents comportant des fonctionnalités de sécurité, y compris les serrures intelligentes. Et là, on voit bien les systèmes de cartes magnétiques dans les hôtels, notamment, on est bon comme la Romaine. Donc, juste pour finir sur ce point-là, pour bien comprendre, dès qu'on va être une entreprise et qu'on va avoir une infrastructure numérique, c'est-à-dire un système d'information et des réseaux, l'ensemble, ce ne sera pas CERA. L'ensemble sera peut-être NIS 2, essentiel, important, peut-être DORA, mais ce ne sera pas CERA. Par contre, les éléments qui vont composer ces systèmes d'information, l'OS, je ne sais pas, les logiciels qui pilotent les serveurs et compagnie, eux, ils seront individuellement CERA, mais sous la responsabilité de celui qui le fournira, à moins qu'on soit soi-même celui qui le fabrique et qui le produise, mais il faut le commercialiser derrière. La grosse différence, c'est ça. Et c'est dit dans le CERA, il y a attention à tout ce qu'on appelle les infrastructures et réseaux critiques, qui est cette catégorie à part de NIS 2, qui est très particulière. Alors là, ils insistent beaucoup, il faut qu'ils soient équipés avec des trucs qui sont CERA, c'est-à-dire qu'ils sont déjà un minimum blindés au niveau de leur logiciel et des matériels sur lesquels on les installe, qu'on évite les fuites généralisées pour éviter les DDoS au niveau de l'infra individuel. Donc quand on va être le fabricant, le distributeur ou l'importateur, je vais beaucoup me répéter que ma grand-mère ne m'en veuille pas, il va falloir qu'il y ait quelqu'un qui assume toutes ses responsabilités et ce n'est pas gagné. Alors, une petite définition. Je vais vous passer plein de détails parce qu'il faut vraiment lire l'ensemble pour arriver à faire un truc. Moi, j'ai une définition maintenant d'un produit CRA. Enfin, une définition, c'est est soumis au CRA, 1. tout logiciel connecté et 2. tout matériel avec logiciel connecté destiné à être utilisé sur le territoire de l'UE par des professionnels ou par des particuliers. Voilà, et qu'on soit le fabricant, l'importateur ou le distributeur, il faudra qu'il y ait quelqu'un qui fasse le job. Alors, moi je propose qu'on passe à justement cette notion rapide peut-être, mais qui est le fabricant, qui est l'importateur, qui est le distributeur ? On les appelle les opérateurs économiques dans le CERA. Alors, en clair, dans cette chaîne de responsabilité, en fait il y en a un qui va prendre la tête de pont, et puis ils vont se débrouiller entre eux tous. C'est le dernier qui va... un portateur pour l'Europe ou pour un pays de l'UE, machin. Donc, c'est eux qui devront faire en sorte que toutes les obligations du CRA soient respectées. Sinon, il va prendre des sanctions, lui, et on y vient juste après. Donc, c'est lui qui va devoir faire les documentations techniques, les instructions utilisateurs, parce qu'on finit par s'y perdre. Bref, qui est le fabricant du produit ? Alors, le fabricant du produit, c'est, je cite, Article 3.13. La personne physique ou morale qui développe ou fabrique les fameux produits Sera ou fait concevoir, développer ou fabriquer le machin et les commercialise sous son propre nom ou sa propre marque à titre gratuit, monétisé ou onéreux. Alors, on n'a pas bien compris la différence entre monétisé et onéreux. Ce qu'on pressent, c'est qu'onéreux, c'est... Tu veux une licence ou un droit d'utilisation de mon service SaaS, machin, donc tu payes. C'est license fee ou service fee fees. Et monétiser, on pense que si c'est gratos et que c'est en ligne et qu'il y a de la pub, c'est qu'il y a quand même de l'oseille qui part pour quelqu'un. Donc pour nous, pour l'instant, ce serait ça le monétiser, c'est-à-dire qu'il m'apporte quelque chose. Ce n'est pas de l'open source.
Speaker #0
De manière directe.
Speaker #1
Oui, exactement. Parce qu'on voit bien qu'il y a des tas business model qui se développe là-dessus. Et que dès que l'Europe fait des lois, il y a toujours un Américain ou un Chinois pour essayer, un industriel, un Américain ou un Chinois, on ne parle pas du gouvernement bien sûr, qui va essayer de contourner ça. Donc c'est prévu de manière extrêmement large. Et je passe le régime dérogatoire de l'open source qui est très compliqué à gérer. Bref, donc de là-dessus, il y a bien sûr un régime dérogatoire pour les petites et les micro-entreprises, pour les moyennes entreprises dont je ne parle même pas. et on va voir qui est l'importateur alors donc c'est donc c'est forcément un des trois sur la chaîne qui va prendre donc il y a le fabricant on l'a bien vu son nom ça marque le pognon l'importateur ben c'est ben c'est celui qui met sur le marché un produit lequel porte le nom ou la marque d'une personne physique ou morale établie en dehors de l'UE ben c'est le truc chinois faut bien que quelqu'un le fasse venir donc soit il y a 27 importateurs 27 états membres soit il y en a un qui importe machin voilà Donc ça, c'est l'importateur. Donc là, on n'apprend pas grand-chose. Ce qu'il faut juste, c'est que... Ah oui, ensuite, il y a le distributeur. Donc, hors UE, intra-UE, importateur. Facile. Très bien. Ensuite, il y a le distributeur. Donc, c'est la personne physique ou morale faisant partie de la chaîne d'approvisionnement. Donc, la personne physique ou morale, autre que le fabricant ou l'importateur, qui met le produit à disposition sur le marché de l'UE sans altérer ses propriétés. Parce que si on est distributeur, soit on prend le truc... on prend la boîte, entre guillemets, le CD-ROM, entre guillemets, l'exécutable à télécharger, on ne le touche pas, là, on est juste distributeur. Mais si on l'a modifié, on en a altéré les propriétés, on devient fabricant, et là, on va devoir faire le travail.
Speaker #0
C'est logique, puisque si on modifie un logiciel, on peut créer des failles de sécurité, donc des vulnérabilités.
Speaker #1
Et donc, on recommence tout le travail. Absolument. Donc ça c'est les opérateurs économiques, alors en plus il y a le mandataire et toute personne qui machin. Vous êtes de la maison non ? MLN ? Mouvement Libération Noir ? Non, ils doivent être du MLS. Mouvement Libération Sud c'est nous, on les connait très idiot. Ah mais c'est nous le MLS, on n'est pas Fifi ? Si, mais on est tous Fifi, ça regroupe le MLS, le MLN, la S et le FTP. Le FTP c'est l'FFL. Non, c'est l'OCM. Non mais OCM c'est comme CDLR, OS ou CDLL, c'est FFL. Pareil. Il y a encore plein d'explications. chacun.
Speaker #0
Alors, fabricant, importateur, distributeur, chacun ayant son lot de sanctions, pécuniaires ou autres, on va voir, qui sont dimensionnées en fonction de ce qu'il fait. Parce que ce serait tellement simple d'avoir un seul régime de sanctions. Donc, voilà. Et puis, il y a bien sûr, si l'importateur ou le distributeur apporte une modification substantielle à un produit déjà commercialisé, ben, same player, shoot again. C'est l'un ou l'autre, ben, ils deviennent fabricants et il faut tout faire. Et on recommence. Et puis, il y a le régime spécial de prévenir pour les vulnérabilités activement exploitées ou les incidents de sécurité, je cite, « graves à répercussion, blablabla » . Donc, en plus, on a deux critères tout à fait particuliers. On essaiera d'y jeter un coup d'œil tout à l'heure.
Speaker #1
Juste un point, parce que là, tu as balancé un truc qui n'a l'air de rien comme ça. Ce sont les vulnérabilités activement exploitées.
Speaker #0
Oui.
Speaker #1
Parce que, par définition, une vérité, elle peut exister. On peut la connaître ou pas. C'est le problème des 0D. Mais souvent, on s'aperçoit trop tard qu'elle est exploitée. Parce qu'une fois qu'on commence vraiment à voir l'exploitation, généralement, quand on regarde un petit peu dans le passé avec les logs, etc., on s'aperçoit qu'elle a été exploitée dans le passé avant qu'on le sache.
Speaker #0
Mais avant qu'on le sache. Et bien, l'Union européenne te remercie de poser la question. D'ailleurs, ta grand-mère... vient de m'envoyer un message sur LinkedIn, elle te remercie aussi de cette question. L'UE a pensé à tout. Donc, il y a trois définitions de vulnérabilité. Vulnérabilité, il y a les définitions dans NIS 2, qui n'est pas la même que dans Dora, qui n'est pas la même que dans le CERA. Bien sûr. Ça,
Speaker #1
c'est trop simple.
Speaker #0
Des fois, on s'ennuie. Des fois, ma grand-mère a envie de reprendre de la camomille. Non, vulnérabilité, c'est vulnérabilité. D'accord ? Tout ce qui a une vulnérabilité, Bon, ça, c'est vulnérabilité. Ensuite, nous avons les vulnérabilités exploitables. Donc, il y a une définition légale. Bon, elle est exploitable, oui, elle doit être exploitable. Mais, bon, on s'en fout un peu. Mais la vulnérabilité activement exploitée, c'est celle dont on a des preuves qu'elle est exploitée. À partir du moment où, tout d'un coup, elle est découverte, qu'elle est documentée, qu'elle est connue et qu'on commence à communiquer vis-à-vis des autorités de contrôle, que ce soit en vertu de Nice 2, d'Ora ou du CERA, plouf, la vulne, elle est connue. Et ensuite, on voit si elle est activement exploitée. pour de vrai. Et si elle est activement exploitée, dans le CRR, il est écrit qu'il ne faut pas mettre en vente des logiciels connectés dont on sait qu'ils contiennent des vulnérabilités activement exploitées. C'est quand même, je crois, la première des 13 exigences de la cyber-sécurité. Donc, c'est quand même d'un très haut niveau. C'est important quand même. Donc, si tu es fabricant, distributeur, importateur d'un logiciel connecté avec ou sans matériel. Avant de le mettre en vente, il faut bien regarder que tu n'as pas déjà une grosse pourriture bien moisie que tout le monde connaît, qui est activement exploitée. À un moment, on peut voir la définition légale, mais activement exploitée, je veux dire pour les hommes de l'art dont tu fais partie, je pense que c'est parlant quand même, activement exploitée. Il n'y a pas besoin forcément de définition. Bon, on en a une dont on va se passer, mais c'est ça.
Speaker #1
Généralement, on est au courant. Quand ça se passe comme ça,
Speaker #0
on est pas informé. Les mauvaises nouvelles, on les apprend souvent assez vite. Ah bah tiens, voilà. Activement exploité, des lords qui participent. Je suis en train d'essayer de retrouver la définition. Bon, je ne l'ai pas parce qu'il y a des compléments dans les considérants, mais activement exploité, bon, c'est activement exploité, j'insiste pas.
Speaker #1
On a compris.
Speaker #0
Alors maintenant, tout de suite, pour rendre la chose très concrète, moi je propose qu'on passe au système de sanctions et responsabilités. Et ensuite, on va prendre les aspects vraiment cyber, donc les 13 exigences, les 8 exigences. On va voir ce que c'est que la nomenclature des logiciels, parce que là, il y a un truc qui est très cyber, qui intéresse tout le monde. Et puis, ça va être tout ce qu'il y a dans tous les appels de librairie, tout ça. Voilà, la documentation technique, il y a des points qui sont... Et puis, les produits, les produits importants et les produits critiques, parce que ça, c'est vraiment le truc de base. Donc, le régime des sanctions pour être sûr que ça intéresse tout le monde. Je viens de voir en vidéo, ta grand-mère est tombée de sa chaise, si tu pouvais... L'aider à se relever. Alors, je vais vous le faire en même temps de manière progressive. Il y a d'un côté, si le produit est commercialisé ou tout d'un coup, il n'est pas corrigé, parce que c'est ça l'idée, il va falloir corriger tout le temps, les procédures de correction, c'est rien. Si à un moment, le produit n'est pas conforme, il ne respecte pas ce qu'on a mis dans la doc et puis, il ne fonctionne plus ou il y a un truc qui ne marche pas. Alors, il y a... un premier régime qui sont des sanctions pécuniaires, c'est assez classique, à base de 1% de chiffre d'affaires, premier niveau, 2% du chiffre d'affaires, deuxième niveau, 2,5%. sur le troisième niveau. Donc, moi, j'ai un système de picto, donc c'est gris, 5 millions, 1% maximum. 10 millions, là, c'est orange, 2%. Et puis, 15 millions, 2,5% du chiffre d'affaires. En fonction de, t'as pas fait ci, ça c'est grave, ça c'est moins grave, on rentrera pas dans les... Mais surtout, mais surtout, pardon, c'est une législation produit. Donc, qui dit produit, dit aujourd'hui... Ce dont on commence à entendre parler assez régulièrement, par exemple sur les airbags des voitures. Des voitures qui sont équipées d'airbags qui sont défectueux. On a deux choses. Soit on fait un rappel du produit. C'est-à-dire que les voitures repartent chez le constructeur, garagiste, réparateur, on l'appelle comme on veut, pour changement de la pièce défectueuse. Donc ça, c'est le rappel du produit. Donc il y a une procédure de rappel du produit dans le CRA. Quand c'est du logiciel connecté... tout court, mis à disposition dans un cloud, ça va B2B, B2C, très bien. Mais il y a encore mieux qui est le retrait du marché. Non, pardon. Il y a le rappel du produit et le retrait du marché. Le retrait du marché, c'est l'interdiction de vente. Ça se comprend bien, le retrait du marché, quand on va dans un supermarché, il y a un rayonnage avec des brosses à dents connectées. Ce soir, moi, c'est les brosses à dents, je ne sais pas. On pourrait prendre des tas de trucs. Donc, je décide du retrait du marché. Ça veut dire que le supermarché, d'abord, ses stocks, il se les garde. Et puis, tout ce qui est en rayon, il les sort des rayons. Alors, ça, c'est le retrait du marché. Mais le rappel du marché, en fait, ça fait moins peur. Mais c'est pire. Parce que qui va payer le retrait ? Et puis, comment on sait à qui on a vendu ? Parce que c'est du B2B, du B2C. Donc, quand on est un distributeur de produits logiciels, connectés, téléchargeable propriétaire, basique, téléchargeable, qu'on peut installer machin. Ça veut dire qu'il faut la liste exhaustive de tous ceux à qui on a mis à disposition sur le marché, commercialisé à titre monnayé, onéreux, gratuit, machin. Il faut avoir la liste à jour tout le temps. Il faut être capable de leur dire, ah, nous avons un problème avec la version 3.8 qui est non conforme, eh bien, il va falloir nous arrêter d'exploiter le produit parce qu'on va vous mettre une... une 4.0, je ne sais pas, ou une 4.1.3,
Speaker #1
je... Oui ? Alors, ce truc-là, je pense que ça va donner des trucs assez rigolos. Un peu à la log4j, du jour au lendemain, pardon, il a fallu trouver où dans le système d'information ces composants étaient utilisés, les identifier, les traiter, et ainsi de suite. Parce qu'effectivement, si on se retrouve dans ce genre de situation, il va falloir savoir exactement où sont utilisés les logiciels qui vont être... soumis à cette restriction. Et ça va être effectivement assez compliqué.
Speaker #0
Ça va être d'autant plus compliqué qu'on va le voir dans un instant, il y a une obligation pour l'éditeur, on va quand même l'appeler l'éditeur, le fabricant, importateur, distributeur, c'est bon, je vais arrêter de le dire, je pense qu'on a bien compris, qui va être de faire cette liste, ça s'appelle la nomenclature des logiciels. C'est obligatoire pour tout le monde. Et puis ce n'est pas un logiciel, ce n'est pas rang 1, rang 2, rang 3, c'est... nomenclature des logiciels qui ne sera pas publique, parce que sinon ça posait un vrai problème et là, l'UE a fait un truc assez intelligent c'est un truc qui devrait être fait de manière obligatoire et contrôlable que par les autorités de contrôle.
Speaker #1
Alors, une petite question est-ce que ça, ça a rapport avec ce qu'on appelle le build of material c'est-à-dire la nomenclature de tous les composants techniques qui sont utilisés dans le cadre de la création d'un logiciel donc on va utiliser des composants XYZ et puis voilà, comme on a Merci. construit finalement tout ça. Est-ce que c'est le même concept que l'UE nous demande ?
Speaker #0
C'est ça.
Speaker #1
D'accord, ok.
Speaker #0
C'est ça. En fait, on voit que l'UE, quand même, maintenant, ils ont bien compris la manière dont tout ça fonctionnait, et ils rentrent dans des considérations très techniques, et tous ces concepts... J'ai intéressé au Zero Trust récemment, c'est gratiné, bon, là, c'est pas le problème, mais globalement, ils font leur... L'UE fait sienne. les concepts techniques et puis les créer à sa manière. Nomenclature des logiciels, ben voilà, build of material, qu'est-ce qu'il y a dedans ? Merci. Ce n'est pas public, sauf si le fabricant décide de le rendre public. Ça, j'aimerais voir, le jour où il y a un fabricant qui rend public la liste de tous ces modules, machin, quand on verra qu'il y en a plein qui sont des open source qui sont vendus très cher alors qu'en fait, c'est juste de l'open source avec trois lignes rajoutées ou deux API ou une interface, quand même. Voilà. Ça, c'était là où on a parlé des sanctions. Donc, moi, régulateur, je suis capable d'aller contrôler, je sanctionne. Mais il y a un truc qui est plus grave et qui est un mouvement de fond aujourd'hui dans l'Union européenne, ça c'est mon métier qui permet de l'affirmer, c'est la responsabilité. Et ça, la responsabilité, c'est dommage et intérêt. Ce n'est pas amende. Mais ça peut être l'un et l'autre, ou ça peut être que l'un et pas l'autre. Mais si en général, il y a des sanctions derrière, tout le monde va dire « Ah, il y a des sanctions, c'est la preuve qu'il y a eu un manquement. » Manquement, faute, faute, responsabilité. Responsabilité, dommage et intérêt. Donc, nous avons très explicitement prévu dans le CRA, le fabricant d'un produit est responsable des dommages causés par un défaut de sécurité de son produit. indépendamment de la faute. Ça veut dire qu'à partir du moment où le produit n'est non conforme, ça cause un dommage, le fabricant est responsable. Il ne peut pas dire « Ah ben non, c'est pas ma faute » . Non, il est présumé en faute. C'est à lui de faire le job. Et le cas de force majeure, ça va être difficile à plaider. Donc ça, c'est le premier étage de la fusée. Donc il faudra juste prouver un préjudice en disant « Le truc, ce machin, il devait faire ça » . il ne l'a pas fait, il est défectueux. C'est un produit défectueux. C'est conçu quand même comme un produit, même si c'est que du logiciel connecté. Et si ça m'a causé un préjudice, je prouve mon préjudice, je demande des dommages et intérêts devant un tribunal. Ça, c'est le premier étage de la fusée. Et le même jour que le CRA, pour que tout le monde comprenne bien ce qui se passe, directive numéro... Je cite le numéro, je l'ai sous les yeux bien sûr, mais sinon on ne me croit pas. Directive 2024, slash 28-53 du 23 octobre 2024, responsabilité du fait des produits défectueux. Donc, comme c'est un truc qui est assez sensible, c'est la police, justice et le pouvoir de chaque état. L'Union européenne nous a pendu un beau grand truc. Et maintenant, vous avez, je ne sais plus, un an, deux ans ou trois ans pour transposer la directive produits défectueux et prévoir qui va pouvoir agir comme si, qui va pouvoir faire comme ça. Et ça va être magnifique. Et je rappelle que nous avons depuis une directive du 25 novembre 2020, on a surnommé entre nous la classe action à l'européenne. Parce que faire un procès contre le produit défectueux, si j'ai juste une prise électrique qui a sauté, une ampoule ou un halogène, je ne vais pas aller faire un procès à un fabricant. Ça va me coûter 15 000 euros de faire le procès pour apporter 300 euros de dommages d'intérêt. Ça ne marche pas. Donc, l'Union européenne avait anticipé, et les États membres freinent à mort, cette directive relative aux actions représentatives visant à protéger les intérêts collectifs des consommateurs. La France ne l'a pas transposée. On a vérifié récemment, la France freine à mort. Ça veut dire que leak, dédoss, blablabla, B2B, B2C, boum ! Action en responsabilité, d'une part, et éventuellement action collective. C'est-à-dire que si j'ai vendu 120 000 caméras... qui ont fait des fuites de données. Des fuites de données, c'est un dommage. Ça vaut combien ? Ça vaut 10 euros par personne ? Ça vaut 30 000 par personne ? 30 000 dollars ? 30 000 euros ? 30 000 roubles ? 30 000 roubles, on est assez tranquille. Vu le cours du rouble, ce ne sera pas cher. Puis, on ne va pas faire de procès en Russie. Mais globalement, la mécanique intellectuelle combinée de tous ces textes, c'est systématiquement maintenant, on vous rend responsable. Potentielle sanction. Il faudra contrôler ça, on a un problème, on ne sait pas qui va contrôler encore. Et surtout, c'est le volet responsabilité. Parce que dans des dossiers aujourd'hui qu'on voit sortir dans la presse, des histoires qui sortent dans la presse, comme Harvest, c'est un exemple. Il est tellement emblématique, parce que quand même, c'est une profession à 85% équipée des logiciels Harvest qui a posé l'ordinateur pendant trois semaines, ils étaient au crayon et au papier. Il y a la calculatrice à la mano. Donc derrière... Tout le monde attend de savoir s'il y aura des procès en responsabilité pour « j'ai pas pu bosser pendant trois semaines » ou « j'ai été obligé de prendre tel service complémentaire, pourquoi c'est encore moi qui paye alors que toi, professionnel, et je n'en veux pas particulièrement à Harvest, mais comme tout le monde en parle, c'est l'époque où il y a Dora, le truc est sorti après l'entrée en application de Dora, évidemment tout le monde s'interroge. Mais ce n'est pas qu'en matière financière, ça va être pour tout le monde. et on va en arriver à un système... Alors, est-ce que ça va marcher ou pas ? Je ne suis pas Madame Soleil, encore. Je suis désolé pour ta grand-mère. J'aimerais bien, d'ailleurs. Mais aujourd'hui, toutes ces législations nous poussent vers une responsabilisation vis-à-vis des autorités de contrôle qui vont être dotées de pouvoir. Le retrait du marché ou le rappel du produit, c'est sévère, quand même, comme sanction. C'est quand même gratiné. Mais si après, il y a procès en responsabilité parce qu'on voit qu'il y a une autorité de contrôle qui a dit que ça, c'était défectueux ou que ça, ce n'est pas conforme. Parce que défectueux égale non conforme. Après, il faut juste un dommage. Mais si on a causé un dommage à 143 000 personnes, une bonne action de groupe, et on va finir par y arriver. objectivement, et j'en veux pas à FRI non plus, mais enfin FRI qui se sont fait poutrer comme des malades, il y a aujourd'hui, en France, c'est quasiment impossible de faire une action en responsabilité. Or pourtant, il y a des millions de personnes dont les IBAN sont dans la nature et qui vont prendre des usurpations d'identité, des faux virements, des arnaques au président ou au consommateur, blablabla. Aujourd'hui, je suis ravi pour eux, je ne suis pas leur avocat, FRI sont bien contents qu'il ne se soit rien passé. Mais le jour où ils prennent une action en responsabilité collective, on va voir combien vaut le dommage individuel d'un truc qui est quand même grave.
Speaker #1
Ça, je pense que c'est un peu une espèce de monétisation du risque. Ce que je veux dire par là, c'est que tant qu'on n'avait pas d'impact financier des risques cyber, et surtout de leur impact dans la vie de tous les jours, ça restait entre guillemets un risque cyber avec... éventuellement une interruption de service, au pire des cas, peut-être éventuellement un petit problème de réputation, mais généralement ça s'arrêtait là. Et là j'ai l'impression que plus le temps passe, et plus la réglementation va dans le sens du consommateur, et dans la protection du consommateur, parce que là on parle de CRA dans ce cas-là, mais il y a d'autres réglementations européennes, PSD3 par exemple, qui sont en train d'arriver, et qui vont un peu aussi dans ce sens-là. et à terme, ça commence à devenir une vraie problématique de société où on valorise vraiment l'impact d'un problème cyber dans la société. Alors que ça n'était pas le cas avant et tout doucement, c'est en train d'alourdir le poids du coût de la cybersécurité. Enfin, pas du coût de la cybersécurité, mais ce que coûte finalement un problème de cybersécurité.
Speaker #0
Si je paye pour un service et qu'en échange, le service ne m'est plus rendu Merci. Et que, comme c'était très classique, je le sais, c'est en partie mon métier, dans les clauses de responsabilité des contrats de service B2B, pour des logiciels en mode SaaS, on disait, alors, une heure d'interruption de service, je te donne deux queues de cerises. Deux heures d'interruption de service, tu auras une cerise avec le noyau. Quatre heures d'interruption de service, tu auras un panier de cerises. Et au-delà de huit heures, donc que ce soit dix heures ou trois semaines, je t'offre un mois d'abonnement gratuit. Mais c'était le terme super standard de tous les professionnels dont tu fais partie qui ont lu ces contrats. C'était toujours comme ça. Au-delà de 8 heures de service, on t'offre un mois. Mais quand tu n'as pas bossé pendant 3 semaines, parce que ton logiciel, qui est le cœur de ton activité, est planté, tu fais quoi ? Avec directive produit défectueux, directive action de groupe. Alors action de groupe, C'est vraiment les consommateurs qui se réunissent, les entreprises qui se réunissent pour faire ça, ça ne marchera pas. On va présumer que les entreprises peuvent s'offrir le coût d'un procès. Mais au fond, c'est pour qu'on finisse par dire que ce n'est pas possible que tu as quatre heures d'interruption de service, tu as un chewing-gum, tu as trois semaines d'interruption de service, tu as un paquet de chewing-gum. Il y a un moment, si on est tributaire dans son métier, dans son activité professionnelle de logiciel qu'on paye, il faut que derrière, il y ait une vraie responsabilité. Et là, il y a les lignes qui vont bouger d'une manière ou d'une autre. Pour l'instant, ça ne bouge que de manière, je dirais, sectorielle, puisqu'on a vu apparaître, c'était l'affaire Coaxis en 2022, où il y avait plus de 300 000 salariés d'experts comptables qui n'ont pas bossé pendant un mois. 300 000 personnes sur un pays qui utilisent le même logiciel, qui ne bossent pas, ça commence à faire beaucoup quand même. Là, on le voit avec Harvest, c'était les conseillers en gestion de patrimoine. à 85% en France équipés des outils d'Harvest qui ne pouvaient plus bosser on sent bien qu'à un moment il y a quelqu'un qui va demander des comptes sur tu m'as dit que ton outil il est génial, d'accord je ne sais pas comment ça s'est passé chez Harvest, il n'y a pas d'informations là-dessus mais si j'ai pris de l'oseille d'un côté si je suis responsable il faut peut-être que j'en rende à un moment quoi
Speaker #1
Autre temps, autre mœurs maintenant ce genre de choses ça se paye
Speaker #0
Voilà, c'est le mouvement inéluctable. Voilà, donc ça c'est la partie essentielle pour comprendre qui, quand et les sanctions éventuelles.

Embed