L’obsolescence des équipements professionnels, à qui la faute ?

Si vous avez acheté un appareil électronique en ce début d’année, vous avez peut-être remarqué un petit logo en couleur avec une note sur dix. Il s’agit de l’indice de réparabilité. Adopté dans le cadre de la loi anti-gaspillage pour une économie circulaire (AGEC), entrée en vigueur ce 1^er janvier 2022, ce score sera calculé selon cinq critères : la qualité de la documentation fournie par le vendeur, la démontabilité, l’accès et les outils, la disponibilité des pièces détachées, leur prix et le type de produit en lui-même. Il sera contrôlé par la Direction générale de la Concurrence, de la Consommation et de la Répression des fraudes (DGCCRF).

Cet indice de réparabilité s’inscrit dans une tendance de fonds prise à bras le corps par le régulateur français, entre autres : la lutte contre l’obsolescence programmée. Cette pratique, qui consiste, pour un fabricant ou un éditeur, à concevoir un appareil ou un logiciel de façon à ce que son utilisateur doive le remplacer régulièrement, est interdite sur le marché français de la grande consommation depuis 2015. Mais sur les marchés professionnels, les entreprises doivent encore composer avec des actifs vieillissants. C’était le sujet du petit-déjeuner inCyber du 30 novembre 2021, à l’occasion duquel étaient invités Christophe Leray, directeur des systèmes d’information (DSI) du groupe Les Mousquetaires, Anthony di Prima, responsable de la cybersécurité industrielle chez Sanofi et Maxime Molkhou, avocat à la Cour et fondateur du cabinet Nemrod Avocat.

« Je ne connais pas d’obsolescence programmée aussi bien réussie que dans le secteur des technologies », a lâché Christophe Leray dès le début de ce débat. Et pour cause, on revient de loin : le concept d’obsolescence programmée date de la Grande Dépression, quand, après le krach boursier de 1929, un agent immobilier américain, Bernard London, propose de « mettre fin à la crise au moyen de l’obsolescence programmée » dans son ouvrage The New Prosperity, publié en 1932. Ce concept a donc commencé comme une stratégie économique volontaire.

Le principe de responsabilité pour l’éditeur inscrit dans la loi française

Aujourd’hui, à l’heure où l’Accord de Paris ambitionne la neutralité carbone d’ici 2050, l’obsolescence programmée n’a plus la cote. L’année 2015 « a été le marqueur de ce changement de braquet en France », est venu rappeler Maxime Molkhou, avec la loi du 17 août sur la transition énergétique qui interdit tout bonnement la pratique et inflige des sanctions pénales assez fortes – 300 000 euros d’amende ou 5% du chiffre d’affaires et deux ans de prison – à qui s’y adonne. Elle sera renforcée par l’ordonnance du 14 mars 2016.

Plus récemment, l’ordonnance du 29 sept 2021 sur les mises à jour des biens comportant des éléments numériques au titre de la garantie légale de conformité est un nouveau coup, porté cette fois à l’obsolescence logicielle, puisqu’elle « inscrit la sécurité dans le panel des mises à jour nécessaires » et « introduit un devoir d’information et un principe de responsabilité pour l’éditeur », a poursuivi l’avocat.

Deux mois plus tard, la loi du 15 novembre 2021 visant à réduire l’empreinte environnementale du numérique en France élabore une définition de la sobriété numérique. Aujourd’hui, après l’entrée en vigueur de l’indice de réparabilité, Maxime Molkhou a remarqué que de nouveaux projets de loi contre l’obsolescence étaient en discussion, comme « l’amendement visant à ajouter au code de la consommation le principe d’obligation d’ouverture du code source aux éditeurs qui ne maintiendraient pas à jour la sécurité de leurs logiciels ».

En entreprise, « obsolescence d’un côté, course à la mise à jourisation permanente de l’autre »

Pour autant, toutes ces régulations visent principalement le marché de la grande consommation. Si « on peut augurer que cette lutte contre l’obsolescence va passer du B2C au B2B », comme l’assurait l’avocat, toujours est-il qu’à l’heure actuelle, les industriels doivent « faire cohabiter des technologies nouvelles et des appareils obsolètes », a constaté Anthony di Prima. Un état de fait dû à ce que « l’industrie sait mieux faire durer du matériel que l’informatique de gestion, soumis au diktat du renouvellement permanent ». Une bonne chose, pourrait-on penser. Sauf que, bien qu’efficient pour les tâches qu’on lui demande, le matériel, et surtout les logiciels qui vont avec, ne sont pas toujours à jour, ce qui les rend parfois incompatibles aux équipements plus modernes et, surtout, vulnérables aux dysfonctionnements (pannes matérielles et bugs logiciels) et aux cyberattaques.

D’après le Global Network Insights Report 2020 de l’éditeur NTT, 48% des équipements dans les organisations européennes sont aujourd’hui vieillissants ou obsolètes et présentent par conséquent des failles non corrigées et des vulnérabilités logicielles. Dans le même temps, « les DSI et RSSI sont aujourd’hui contraints à des rythmes de correctifs logiciels effrénés, qui les mettent dans une situation intenable », a ajouté Christophe Leray.

« Obsolescence d’un côté, course à la mise à jourisation permanente de l’autre », résumait Maxime Molkhou pour expliquer que les responsables des réseaux industriels sont pris en étau. Heureusement, des méthodes de minimisation des risques existent, « comme la mise en place d’outils de supervision, de segmentation du réseau et de microsegmentation pour isoler les actifs les plus vulnérables », a détaillé Anthony di Prima, qui a également suggéré que l’Industrie 4.0, avec des usines plus modulables, pourrait aider à régler en partie ces problèmes.

Vers des certifications de sécurité

Mais c’est loin d’être suffisant, d’autant plus que, de plus en plus, l’obsolescence logicielle et la cyber-vulnérabilité apportent de nouveaux risques liés à la non-conformité des règles de sécurité de plus en plus strictes ou encore des risques réputationnels – qui peuvent peser lourd lors d’une acquisition, par exemple. Le véritable enjeu de l’obsolescence des équipements professionnels réside dans une question simple à la réponse complexe : qui est responsable de l’obsolescence d’un produit en cas de problème ? Est-ce le client, qui aurait dû mettre à jour son équipement ou le changer ? Le fabricant ou l’éditeur de logiciel ? L’auteur de la brique que cet éditeur a utilisé et qui s’est avérée vulnérable ?

Une chose est sûre, selon Christophe Leray : « Aujourd’hui, l’informatique est un Far West dans lequel un client achète un produit à ses risques et périls, sans aucune garantie de quoi que ce soit. » Pour mettre de l’ordre dans ce Far West, les trois intervenants se sont rejoints sur le besoin de concevoir des certifications de sécurité pour les équipements et les logiciels professionnels et des procédures de maintenance de sécurité reconnues par les États, « qui pourraient s’appuyer sur le framework NVD CVE du gouvernement américain », que l’ensemble de la filière cybersécurité a désormais largement adopté, proposait Maxime Molkhou.

« Il faudrait aussi s’inspirer de ce qu’a déjà mis en place le secteur automobile, très en avance dans ce domaine », a complété Anthony di Prima. Quant à Christophe Leray, il a profité de son rôle de vice-président du Club informatique des grandes entreprises françaises (Cigref) pour renvoyer au rapport publié par celui-ci en octobre 2021, dans lequel sont proposées « des recommandations sur l’élaboration d’un cahier des charges » pour concevoir de telles certifications. L’avenir nous dira si la Commission européenne, qui travaille à l’élaboration d’une réglementation européenne sur le sujet, s’inspirera de l’une de ces pistes.