Phylapp
Sécurité des développements et applications

Les enjeux de responsabilité liés aux applications développées

La responsabilité liée aux vulnérabilités applicatives engage développeurs, éditeurs et direction. NIS2 et le Cyber Resilience Act formalisent ces obligations. La traçabilité du cycle de développement est l'actif de défense légale essentiel.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 17 lectures

Points clés

  • La responsabilité liée aux vulnérabilités applicatives engage l'organisation qui a développé ou déployé l'application — pas seulement celle qui l'exploite.
  • Les éditeurs de logiciels sont de plus en plus soumis à des obligations de sécurité : NIS2 impose des exigences sur la sécurité des produits mis sur le marché.
  • La notion de "fitness for purpose" en droit des contrats s'étend progressivement à la sécurité : une application vendue comme sécurisée engage la responsabilité de l'éditeur si des vulnérabilités connues n'ont pas été corrigées.
  • La traçabilité du cycle de développement (SBOM, journaux de build, résultats des tests) est un actif de conformité et de responsabilité légale.
Cas US SolarWinds (2020) — La compromission de SolarWinds a déclenché des poursuites d'actionnaires et une action de la SEC (Securities and Exchange Commission) pour informations trompeuses sur les pratiques de sécurité. La SEC a notamment mis en cause le CISO de SolarWinds à titre personnel. L'incident a formalisé la notion de responsabilité personnelle des dirigeants pour les déclarations publiques sur la sécurité des produits.

La responsabilité de l'éditeur et du développeur

La responsabilité liée à une vulnérabilité applicative peut engager plusieurs acteurs selon la nature du développement. Pour une application développée en interne, la responsabilité est partagée entre l'équipe de développement (qui a introduit la vulnérabilité) et la direction (qui a alloué les ressources et défini les priorités). Pour une application achetée ou SaaS, la responsabilité de l'éditeur est engagée selon les termes contractuels (SLA de sécurité, obligations de patch management) et selon les représentations faites sur la sécurité du produit lors de la vente.

La distinction entre "nous n'avons pas pu anticiper cette vulnérabilité" (vulnérabilité zero-day) et "nous avons déployé un produit avec une vulnérabilité connue non corrigée" (CVE publiée, non patchée) est centrale dans l'engagement de responsabilité. La seconde situation est de plus en plus difficile à défendre face aux régulateurs et aux tribunaux.

NIS2 et la sécurité des produits logiciels

La directive NIS2 (Network and Information Security 2), entrée en vigueur en 2023, élargit le périmètre des obligations de cybersécurité à un grand nombre d'entités européennes. Elle impose notamment des exigences sur la sécurité des chaînes d'approvisionnement, ce qui inclut la sécurité des logiciels utilisés. Le Cyber Resilience Act (CRA), adopté par l'UE en 2024, va plus loin en imposant des exigences de sécurité explicites aux éditeurs de logiciels qui mettent des produits sur le marché européen — y compris des obligations de cycle de vie sécurisé, de gestion des vulnérabilités et de reporting.

Ces évolutions réglementaires transforment la sécurité applicative d'une bonne pratique en obligation légale avec des sanctions potentielles pour non-conformité. Elles impactent aussi bien les éditeurs qui vendent des logiciels que les organisations qui développent des applications à usage interne dans des secteurs couverts par NIS2.

La traçabilité du cycle de développement

La traçabilité du cycle de développement — résultats des scans SAST/DAST, SBOM (Software Bill of Materials), journaux des revues de code, rapports de tests d'intrusion, documentation des décisions d'acceptation des risques — constitue un actif de conformité et de responsabilité légale. En cas d'incident, cette traçabilité permet de démontrer que des mesures de sécurité raisonnables ont été prises, que les vulnérabilités connues ont été traitées dans des délais appropriés, et que les choix de sécurité ont fait l'objet de décisions documentées.

L'absence de cette traçabilité crée une présomption défavorable en cas de litige ou d'enquête réglementaire. Un éditeur qui ne peut pas produire les résultats de ses tests de sécurité pour un produit compromis se trouve dans une position de défense significativement plus difficile qu'un éditeur qui peut documenter l'intégralité de son programme de sécurité applicatif.

Cas EU British Airways (2018) — La décision de l'ICO (Information Commissioner's Office) britannique d'infliger une amende de 20 millions de livres à British Airways a explicitement mentionné l'insuffisance des mesures techniques de protection de l'application de réservation. L'absence de documentation sur les décisions de conception de sécurité de cette application a rendu la défense difficile face aux arguments des régulateurs.

La responsabilité personnelle des dirigeants

La tendance réglementaire internationale est à l'extension de la responsabilité personnelle des dirigeants pour les défaillances de cybersécurité. La SEC a mis en cause le CISO de SolarWinds à titre personnel. La CISA américaine promeut l'accountability des dirigeants pour la cybersécurité. La directive NIS2 prévoit des sanctions administratives qui peuvent cibler les instances dirigeantes des entités essentielles. Cette évolution crée une pression spécifique sur les RSSI et les directeurs techniques pour documenter non seulement les mesures prises mais aussi les risques identifiés, les recommandations formulées, et les décisions de priorisation ou de déprioritisation prises par la direction.

Pour les développeurs et architectes, cette évolution impose une documentation rigoureuse des décisions d'architecture de sécurité et des risques résiduels acceptés — avec des signataires identifiés pour chaque décision significative.

Cas Asie SingHealth (2018) — Le rapport de la commission d'enquête a explicitement nommé des responsables individuels pour des défaillances spécifiques dans la chaîne de décision qui avait conduit à l'incident. Cette approche de responsabilisation individuelle documentée a eu un effet significatif sur l'évolution des pratiques de gouvernance de la cybersécurité dans le secteur public singapourien.

Articles similaires

Les applications deviennent la première surface d’exposition des organisations

Les applications web, mobiles et les APIs représentent la première surface d'attaque. La dette technique des applications legacy, la prolifération des APIs et l'absence de sécurité dans le cycle de vie applicatif constituent les vulnérabilités structurelles.

24 mai 2026 7 min

Pourquoi la sécurité doit être intégrée dès la conception des logiciels

Le coût de correction d'une vulnérabilité croît de 1 à 100 entre conception et production. La modélisation des menaces et la formalisation des exigences de sécurité dès la spécification sont les fondements du secure by design.

24 mai 2026 7 min

Les erreurs fréquentes dans le développement des applications internes

Les applications internes sont sous-sécurisées malgré leurs données sensibles. Injection SQL, absence de contrôle au niveau objet, secrets dans le code et shadow development sont les erreurs structurelles les plus fréquentes.

24 mai 2026 7 min
WhatsApp