Cybersécurité, quelles bonnes pratiques pour se protéger du vol et de la contrefaçon ?

Les entreprises ne peuvent plus se passer du numérique dans leurs activités quotidiennes. Or les applications et les logiciels qu’elles utilisent, et même développent elles-mêmes, peuvent contenir des vulnérabilités plus ou moins faciles à exploiter par des personnes malveillantes. D’après le Baromètre 2022 de la cybersécurité en entreprise du CESIN, 54% des entreprises françaises ont vécu au moins une cyberattaque au cours de l’année 2021.

 

Lorsqu’une entreprise est victime d’une cyberattaque, sa santé financière peut très vite être mise en péril. Sans compter le coût que revêt le paiement d’une rançon, une simple interruption d’activité voire une détérioration du matériel informatique peuvent à elles seules lui coûter très cher. Plusieurs études convergent pour dire que le coût moyen d’une cyberattaque subie par les 500 plus grandes entreprises mondiales entre 2021 et 2021 s’est élevé à près de 4,35 millions de dollars, soit environ 4,27 millions d’euros.

Du côté du secteur du numérique, les entreprises sont elles aussi confrontées à des risques qui viennent se surajouter aux menaces cyber “classiques” et qui peuvent peser sur la bonne marche de leurs activités telles la contrefaçon de logiciel ou le vol des données. Là encore, les conséquences financières et juridiques peuvent être tout aussi dramatiques que celles liées à une demande de rançon ou une attaque DDos.

 

Toutes sont donc aujourd’hui préoccupées par une même question : comment anticiper ces risques et faire face aux cyberattaques ?

S’agissant d’anticipation et de gestion des risques informatiques, en complément de solutions dédiées à la protection des postes et du SI (ITDR, TI, etc..), il est fondamental de penser au volet de sécurité du logiciel et des données, qui allie des mesures de protection à la fois techniques et juridiques. Car la cybersécurité implique aussi de vrais enjeux juridiques, très souvent ignorés.

 

Les menaces cyber : quels risques pour votre activité ?

Aujourd’hui, 90% des logiciels développés par les entreprises intègrent des briques en Open Source. Pour développer un programme exécutable personnalisé, rien ne sert de tout réinventer alors que le code source existe sur internet et fonctionne parfaitement.

En France, il est souvent fait référence aux « logiciels libres ». Or cela prête à confusion car ces logiciels ne sont en réalité pas libres de droit.  Les logiciels libres sont mis à disposition des développeurs et peuvent être utilisés, étudiés, modifiés, dupliqués et diffusés universellement parfois sans contrepartie. En revanche dans tous les cas, ces briques en Open Source rattachées à des licences. En d’autres termes, le logiciel en open source est couvert par le droit d’auteur.

Avant d’utiliser des briques en Open Source, il faut impérativement vérifier l’existence d’une licence et tenir compte de ses conditions d’utilisation. La licence peut en effet interdire la commercialisation et la distribution d’un logiciel incluant son code source libre ou exiger que l’intégralité du code développé à partir des briques en Open Source soit reversé gratuitement à la communauté.

En matière de cybersécurité, intégrer de l’Open Source à son code peut être avantageux pour une entreprise, mais pas sans danger. Avantageux parce que le code source est ouvert et les listes des vulnérabilités sont accessibles à tous. Elles sont alors plus rapidement décelables et potentiellement corrigées par la communauté des développeurs. Mais cela suppose que l’entreprise utilisatrice de ces composants en Open Source en fasse régulièrement les mises à jour.

Qu’elle utilise du logiciel libre ou non, une entreprise doit protéger son système applicatif de manière à réduire le risque de cyberattaque. Une des priorités consiste à recenser et à répertorier en permanence les codes sources utilisés ou développés dans son système applicatif. Cela permet de corriger plus efficacement les vulnérabilités et d’anticiper les risques de vols ou d’intrusion. D’autres techniques, comme l’obfuscation peuvent être utilisées pour protéger son logiciel, en publiant des informations fausses ou imprécises de manière à cacher les informations pertinentes des potentiels hackers.

Pour une entreprise aujourd’hui, la sécurisation des logiciels et des données qu’elle exploite est primordiale. Le RGPD impose aux entreprises des normes très strictes en matière de sécurisation des données personnelles afin de protéger les utilisateurs européens. La fuite de données à caractère personnel à la suite d’une cyberattaque est sanctionnée par la CNIL et le montant des sanctions pécuniaires en cas de non-respect peut s’élever jusqu’à 20 millions d’euros ou jusqu’à 4 % du chiffre d’affaires annuel mondial d’une entreprise.

 

Les risques de contrefaçon et de vol du code source

Tous les logiciels sont sujets au risque de contrefaçon et de vol de propriété intellectuelle. En France, le logiciel est protégeable par le droit d’auteur sans formalités juridiques, au titre de l’article L. 112-1 et de l’article L. 112-2 13° du code de la propriété intellectuelle. Cette protection juridique est de facto automatique et intervient dès la création de l’œuvre par son auteur. Elle s’applique aux 181 pays signataires de la Convention de Berne (WIPO). Mais, pour agir en contrefaçon, une entreprise doit être en mesure de prouver sa titularité sur le logiciel et l’originalité de ce dernier.

Il est donc conseillé au titulaire de droits d’effectuer un dépôt dit probatoire du logiciel dès les premières étapes du développement afin d’apporter plus facilement la preuve de ses droits en cas de contrefaçon avérée. Il permet de matérialiser le contenu et les évolutions du logiciel, de prouver la date de la création et la paternité sur la création, etc.

Bien qu’il ne soit pas obligatoire, le dépôt du logiciel est recommandé pour anticiper les risques liés au vol de la propriété intellectuelle.

En conclusion, l’utilisation des logiciels comporte une multitude de risques juridiques et cyber qui doivent être anticipés. Différents moyens juridiques et techniques existent pour protéger ses activités dépendantes des logiciels et pour assurer leur pérennité. Une cyberattaque ou un procès en contrefaçon engendrent des coûts importants, que les PME et les start-ups ne peuvent pas supporter.

 

Tribune rédigée par Michele Sartori, Product Manager.

 

<<< A lire également : Cyber Sécurité Et Conseils D’Administration : Vers Un Vrai Pouvoir De Surveillance >>>