La matinale d’ALTERS du 30 mars 2021 est l’occasion de parler de malware et de vulnérabilité dans les contrats BtoB en 2020/2021 : quelle pratique contractuelle aujourd’hui pour lutter contre le fléau des cyber attaques ?
Car voila effectivement l’équation gagnante pour les cyber attaquants qui utilisent des vulnérabilités pour installer des malware dans le système d’information des entreprises « cibles » attaquées que les attaquants « exploitent ».
Evidemment, en 15 minutes seulement, les quelques slides de cette présentation seront une synthèse du problème et de ses « solutions » contractuelles.
Pour creuser l’analyse juridique de ce que sont les cyber attaques en faisant un peu d’histoire, cliquez sur ce lien.
Si ce sont les malware et les vulnérabilités qui vous intéressent, cliquez sur ce lien ci.
malware et vulnérabilité : qu'est-ce qu'un malware dans un contrat BtoB en 2021 ?
Comme il n’existe aucune définition légale de ce que sont les « malware » (virus, trojan, ver, etc.), les professionnels, coté client ou coté prestataire de service numérique, sont contraints de faire preuve d’imagination dans les contrats qu’ils signent.
Un fait acquis dans la pratique contractuelle en 2021 : les éditeurs de logiciel / prestataires de service SaaS ont l’obligation de « faire leurs meilleurs efforts » afin de détecter les malware connus/non répertoriés. Juridiquement, il s’agira alors d’une simple obligation de moyens.
Pour ce qui est des malware « non répertoriés »…
Quelle définition pour les vulnérabilités dans les contrats BtoB en 2021 ?
Ah ! Tiens ! Une loi en France qui utilise le terme « vulnérabilité » !
Il faut s’intéresser à la Loi de Programmation Militaire 2018 (ou « LPM » pour les intimes) pour découvrir que certains « opérateurs » peuvent être tenus de prévenir leurs « abonnés » en cas de « vulnérabilité » ou de compromission de leur système d’information (leur téléphone en l’occurence).
Le problème ? Cette LPM 2018 ne définit pas ce que sont les « vulnérabilités » en question…
Alors ? Et bien, comme pour les malware, les professionnels en sont réduits à poser des définitions – plus ou moins heureuses – dans leurs contrats BtoB.
la jurisprudence française sur les malware et les vulnérabilité ???
Depuis 2017, plusieurs décisions de condamnations de la CNIL utilisent expressément les notions de cyber attaque et de vulnérabilité.
Pourquoi la CNIL ? Parce que l’article 32 du RGPD impose depuis 2018 aux professionnels de sécuriser techniquement leurs systèmes d’information lorsqu’ils traitent des « données à caractère personnel ».
Vous pourrez lire avec intérêt les décisions suivantes :
- délibération CNIL n° SAN 2017-10 du 18 juillet 2017 (vulnérabilité d’un site web)
- délibération CNIL n° SAN 2018-008 du 24 juillet 2018 (cyber attaque)
- délibération CNIL n° SAN 2018-011 du 19 décembre 2018 (cyber attaque)
- délibération CNIL n° SAN 2019-005 du 28 mai 2019 (vulnérabilité d’un site web)
- délibération CNIL n° SAN 2020-008 du 18 novembre 2020 (vulnérabilité et cyber attaque)
malware et vulnérabilités dans les contrats BtoB en 2021 : quelle conclusion ?
La conclusion – pour que les contrats de licence de logiciel ou les contrats de service dits « SaaS » puissent se signer – est que les clients professionnels utilisateurs doivent aujourd’hui accepter certains risques…
Ces risques sont de devoir faire face à des malware et/ou à des vulnérabilités non répertorié(e)s qui pourraient infecter leur système d’information.
L’autre conclusion est que les professionnels éditeurs ou prestataires SaaS ne peuvent – en l’état de l’art – pas tout détecter…
Voici quelques images des BD ayant servi d'illustration pour cette présentation (merci aux éditions Delcourt / Soleil !!!)
![Ordre des Avocats de Paris PSSI et analyse des risques ISO 27001 [11 avril 2024]](https://technique-et-droit-du-numerique.fr/wp-content/uploads/2025/04/547-Ordre-des-Avocats-de-Paris-PSSI-et-analyse-des-risques-ISO-27001-11-avril-2024-©-Ledieu-Avocats-2024.001.jpeg)
