Failles et responsabilité — Carnet de Nicolas

Le premier vise à rendre les éditeurs de logiciels légalement responsables de la commercialisation de produits non sécurisés, et faire supporter le coût de l’insécurité à ceux qui en sont à l’origine. Le fait que le secteur ait normalisé un « Patch Tuesday » mensuel, en traitant les défauts courants des produits comme un coût acceptable, témoigne du fait que nous avons intériorisé l’idée que les logiciels défectueux seraient la norme.

« Au cours des 150 dernières années, aucun secteur n’a amélioré la sécurité sans y avoir été contraint par les pouvoirs publics. Que ce soit l’aviation, l’automobile, l’industrie pharmaceutique ou la sécurité alimentaire, tous ont suivi cette voie », rappelle Bruce Schneier.

La cybersécurité est une « priorité géopolitique », pas un « problème technique »

Quand je vois le nombre de nouvelles fuites de données personnelles qui sont découvertes chaque jour, y compris lorsqu’il s’agit d’organismes gouvernementaux, ça me semble une bonne idée : il faut sévir plus et mettre les éditeurs face à leurs responsabilités.

Réactions

Matoo 23 avr. 2026 à 18 h

Il faudrait aussi que les entreprises acceptent et intègrent le fait que la robustesse globale de leur parc logiciel soit dans leurs objectifs, au même titre que leurs feuilles de route fonctionnelles. On oppose souvent les évolutions fonctionnelles à des dépenses en cybersec et résilience vues comme “sans ROI”, et qui par conséquent se retrouvent parfois repoussées aux calendes grecques.

1 Matoo 23 avr. 2026 à 18 h: Il faudrait aussi que les entreprises acceptent et intègrent le fait que la robustesse globale de leur parc logiciel soit dans leurs objectifs, au même titre que leurs feuilles de route fonctionnelles. On oppose souvent les évolutions fonctionnelles à des dépenses en cybersec et résilience vues comme “sans ROI”, et qui par conséquent se retrouvent parfois repoussées aux calendes grecques.