Pourquoi fabricants et prestataires ne corrigent-ils pas toujours les vulnérabilités ?

L’actualité révèle régulièrement que des failles techniques sont constatées au sein de services internet courants. Cependant, les fournisseurs de ces services ne corrigent pas toujours ces failles.

Un environnement où de nombreux contrats de services sont gérés par des entreprises internationales non-étatiques

Encore récemment, les contrats de services courants étaient fournis par des sociétés étatiques, par exemple les télécommunications, le courrier, la télévision, les transports.

Avant la constitution de 1958 et la jurisprudence du Conseil Constitutionnel [l’article 5 de la Constitution de 1958 sur la continuité de l’État, et la décision du Conseil Constitutionnel introduisent la continuité des services publics], les risques associés à l’indisponibilité de ces services étaient assumés par leurs utilisateurs, alors appelés usagers.

La continuité d’un service public est ce que l’on appelle en sécurité la disponibilité ; elle constitue avec la confidentialité et l’intégrité les trois éléments de la sécurité.
Depuis la décision du Conseil Constitutionnel de 1979 , les risques associés sont assumés en partie par les états. Par exemple, un remboursement partiel a lieu en cas de retard de train dû à la SNCF.

La construction de l’union Européenne a entraîné la mise en concurrence des marchés et la fin des monopoles d’états. Aujourd’hui, de nombreux services courants sont désormais fournis par des sociétés privées non-étatiques.

Rapidement, quelques exemples : les mails, Skype (téléphonie sur IP), Youtube (vidéos sur internet), Facebook/Viadéo/LinkedIn (annuaires particuliers et professionnels), BlaBlaCar/Uber/Drivy (transports).

En pratique, l’engagement de qualité est limité

Lors d’un procès où un client a subi un préjudice causé par un fournisseur, le coût de ce préjudice est évalué, ce que l’on appelle des dommages, et est mis à la charge du fournisseur. C’est le but de la justice : celui qui cause le problème supporte les coûts des conséquences.

Néanmoins, le fournisseur ne connaît a priori ni la finalité de l’utilisation de son service, ni les enjeux qui en découlent. Par exemple, prendre un train et être en retard de trois heures n’a pas les mêmes conséquences si le but est un rendez-vous d’affaire ou s’il s’agit d’un rendez-vous chez le médecin généraliste.

C’est pourquoi les sociétés, lorsqu’elles écrivent leurs contrats de services, conçoivent des limitations pour éviter de supporter les conséquences des dysfonctionnements de leurs services.

Différentes solutions sont utilisées.

Un engagement de disponibilité ou de continuité se mesure en pourcentage de réussite : typiquement, un fournisseur de services internet propose des coûts fort différents pour un même service avec des taux de disponibilité de 99,999 %, 99,9999 % ou 99,99999 %.

Une pratique consiste à proposer des tarifs différents pour différents engagements de disponibilité, avec des pénalités en cas de non-respect de l’engagement.

La pratique la plus répandue est de rembourser, éventuellement partiellement, le client insatisfait. Le risque pour le fournisseur est alors limité au prix de son service. En résumé, si le service est correctement réalisé, il est payé ; sinon, il n’est pas payé. L’engagement est commercial, « Satisfait ou remboursé ». Le pourcentage de réussite n’est pas connu par le client, et converge en principe vers une valeur permettant au fournisseur d’obtenir le plus grand bénéfice.

Par exemple, l’Arcep publie les mesures de qualité des différents fournisseurs de télécommunications de France. Pour le 4ème trimestre 2014, le pourcentage de défaillances réparées dans un délai fixé à 48 heures varie selon les opérateurs entre 71 % (Orange) et 89 % (Bouygues).

La qualité d’un service dépend des rapports de force des acteurs en présence

Les outils de mesure de la qualité ne sont pas demandés

Dans le cadre de la fourniture de biens ou de prestations de service entre deux organisations, ce que l’on appelle une relation « Business to Business », les outils de mesure de la qualité du service (disponibilité, intégrité, confidentialité) ne sont souvent pas inclus dans le cahier des charges.

Seul le fournisseur du bien ou du service dispose des concepts à la base de la création de ces outils. Les organisations clientes n’en disposent pas et donc ne peuvent ni l’inclure dans leur cahier des charges, ni envisager faire une pré-étude pour déterminer les axes de mesure de qualité d’accomplissement du contrat.

Le rapport coût/offre dépend entre autres de la disponibilité. Chaque organisation doit définir le sens de la disponibilité pour son propre service/projet.

Par exemple, lorsqu’une société fournissant un service d’enregistrement (bientôt légalement obligatoire) aux banques de trader a un problème, le coût financier est important pour client qui ne peut légalement pas travailler sans enregistrer les conversations des trader et doit donc arrêter son service pendant le temps de non enregistrement.

L’organisation actuelle de la passation de commande entraîne le choix du moins disant

À cela, il faut ajouter la prise en compte de l’organisation de la passation de commande de prestations de service ou de livraison de biens.

Depuis plusieurs années, les moyennes et grandes organisations se sont dotées d’un service achat. Ce dernier n’est pas conçu pour être agile ou flexible, mais pour faire baisser les coûts des commandes des organisations en les centralisant.

En imposant un minimum de qualité, ce service permet de protéger l’organisation de nombreux abus ou manquements. Cependant, les clauses par défaut fournies par le service achat conduisent à retenir le fournisseur qui vend le moins cher et propose une qualité considérée comme « acceptable » par le service achat. Celui-ci n’a pas la connaissance des bonnes pratiques du secteur du fournisseur, et ne pousse pas à la mise en place de mesures de qualités, ne les connaissant pas.

Avec la généralisation de tels services, les prestations de services réalisés ou de biens livrés aux organisations sont celles de sociétés qui fournissent la pire qualité au prix le plus bas.

Dans tous les cas, en raison d’une telle conception du service achat, il n’y a plus de place à la phase de négociation.

L’habitude d’accepter des services au prix le plus bas

Les organisations, qui ont adapté ce fonctionnement, se retrouvent dans la même situation que le consommateur : ils ont pris l’habitude d’accepter des services au prix le plus bas sans prendre en compte les conséquences d’un tel service pour l’activité de l’organisation.

Par exemple, un fabricant de voitures qui accepte d’inclure un objet connecté/logiciel pour fournir un meilleur service à ses clients ne pense pas au rapport service/sécurité apporté en termes de confidentialité, disponibilité et d’intégrité pour le client et ses proches.

Il en est de même pour la société qui accepte d’inclure dans son offre d’applications accessibles aux utilisateurs de son logiciel, une application permettant d’acheter facilement de la drogue ou de diffuser des rumeurs. Il ne pense pas au rapport service/sécurité pour les clients qui ont des enfants.
On construit ainsi un écosystème de fournisseurs « moins-disants ».

Rapports de force

Si le fournisseur est en position de force, par exemple il est celui qui fournit le service au prix le plus bas et a une trésorerie suffisante pour n’être pas influencé par un seul client, alors le client n’a pas d’autre choix que d’accepter ses conditions. Dans ce cas, la qualité en pâtit.

Si le client est en position de force, par exemple capable de commander pour un montant important par rapport au chiffre d’affaire du fournisseur, le fournisseur ne peut qu’accepter les conditions de son service achat.

Dans ce cas, le fournisseur peut dicter une qualité supérieure, éventuellement limitée par sa propre ignorance des concepts de qualité du domaine du sous-traitant et par le manque d’habitude du fournisseur de travailler avec les éléments de qualité demandés.

Signaler une faille n’est pas signaler un coût

Lorsqu’une personne signale une faille technique, le coût réel de la faille technique n’est pas connu. Suivant le business modèle de l’organisation qui connaît la faille, il est possible que le client subisse l’ensemble des conséquences et non pas le fournisseur du service.

En revanche, lors du signalement d’une faille contractuelle, la situation est différente : en général, il est possible que ce soit la société qui subisse l’ensemble des risques.

Or, dans les deux cas, les comportements des sociétés sont soit d’ignorer la méthode d’exploitation de la faille signalée, soit d’ignorer et de sanctionner l’auteur du signalement. Cela est arrivé à Chris Roberts qui a identifié une faille dans les systèmes de divertissements d’avions permettant de pénétrer le système de pilotage des avions. Il a été banni des appareils par United Airlines.

Dans le cas d’une faille des boîtiers de perfusion médicaux, le fabricant a décidé d’ignorer le signalement.

Apple également choisi d’ignorer une vulnérabilité découverte en début d’année par Jan Soucek sur son application Mail permettant de capturer l’identifiant et le mot de passe Icloud.

Dans tous ces signalements, aucun coût n’est chiffré. Or, les entreprises ont l’habitude d’agir en fonction des coûts et dans l’intérêt de l’organisation.

Dans un prochain article, j’aborderai plus en détail cette partie concernant la gestion des coûts par les organisations.