Loi cyberrésilience : inquiétudes autour des mesures de transparence sur les failles de sécurité
Dans une lettre ouverte publiée mardi, des experts en cybersécurité ont exhorté l’UE à reconsidérer les obligations d’informer les agences gouvernementales des failles — une partie cruciale de la loi sur la cyberrésilience.
Dans une lettre ouverte publiée mardi (3 octobre), des experts en cybersécurité ont exhorté l’UE à reconsidérer les obligations d’informer les agences gouvernementales des failles — une partie cruciale de la loi sur la cyberrésilience (Cyber Resilience Act).
La Commission européenne a proposé la loi sur la cyberrésilience en septembre 2022 afin d’introduire des exigences européennes en matière de cybersécurité, telles que des correctifs de sécurité obligatoires et le traitement des failles pour les appareils connectés qui peuvent collecter et partager des données, connus sous le nom de produits de l’Internet des objets (IdO).
La loi exigerait que les organisations informent les agences gouvernementales des failles de leurs logiciels dans les 24 heures suivant leur exploitation. Cependant, de telles divulgations « compromettraient la sécurité des produits numériques et des personnes qui les utilisent », affirment les experts dans la lettre ouverte.
« Dans l’ensemble, il s’agit d’un bon texte législatif visant à améliorer la cybersécurité européenne. Mais parfois, les bonnes intentions font de mauvaises lois, et la disposition exigeant la divulgation des failles en est un exemple », a confié à Euractiv Ciaran Martin, professeur et ancien directeur du Centre national de cybersécurité du Royaume-Uni et signataire de la lettre.
La lettre a été envoyée aux décideurs politiques impliqués dans l’élaboration de la législation, à savoir Thierry Breton, commissaire européen au Marché intérieur, Carme Artigas Brugal, secrétaire d’État espagnole à la numérisation et à l’IA, et Nicola Danti, rapporteur du Parlement sur la loi sur la cyberrésilience, lundi.
Obligations d’information concernant les failles
Les exigences en matière de divulgation des failles, définies dans la proposition de législation, obligent les fabricants de logiciels à divulguer les failles « non corrigées » aux autorités dans les 24 heures suivant la découverte de la faille.
« Dans leur empressement à élaborer une politique de cybersécurité, les dirigeants de l’UE ont fondamentalement mal compris le flux d’informations essentiel à la correction des failles. Les gouvernements ne sont pas les mieux placés pour créer eux-mêmes des correctifs pour les failles, et ne devraient donc pas interférer en forçant les organisations à les informer des failles avant que les vendeurs concernés ne puissent créer et tester les correctifs », a indiqué Katie Moussouris, PDG et fondatrice de Luta Security, à Euractiv.
Les agences gouvernementales auraient accès à une base de données logicielle en temps réel contenant les failles non corrigées. Outre l’absence de protection, ces bases de données sont tentantes pour les acteurs malveillants et les pirates informatiques.
C’est particulièrement vrai pour les failles au niveau des chaînes d’approvisionnement, où les vendeurs doivent coordonner plusieurs parties pour résoudre les problèmes en toute sécurité, explique Mme Moussouris. Elle ajoute que la participation prématurée des autorités gouvernementales au processus aurait l’effet inverse de celui escompté et rendrait les infrastructures critiques plus vulnérables si les gouvernements tentaient d’émettre des avertissements avant que les correctifs ne soient disponibles.
Selon les signataires de la lettre, d’autres risques existent, notamment l’utilisation abusive des bases de données par les États à des fins de surveillance et le fait que les chercheurs soient dissuadés de signaler les failles.
« Si la loi est adoptée, elle aura un effet paralysant et contre-productif sur la recherche vitale en matière de cybersécurité et sur les failles technologiques », a ajouté Ciaran Martin.
Mme Moussoris recommande aux gouvernements de suivre les normes internationales relatives aux processus de traitement des failles, telles que définies par l’Organisation internationale de normalisation.
« Nous recommandons que le CRA adopte une approche basée sur le risque pour la divulgation des failles, en prenant en compte des facteurs tels que la gravité de la faille, la disponibilité de mesures d’atténuation, l’impact potentiel sur les utilisateurs et la probabilité d’une exploitation plus large », peut-on lire dans la lettre ouverte.
Des inquiétudes persistantes
En juin, d’autres acteurs de la cybersécurité avaient déjà exprimé des préoccupations similaires concernant les exigences en matière de divulgation.
« Plus ce type d’informations est diffusé, plus il est probable qu’elles soient utilisées à des fins offensives ou de renseignement d’État, ou qu’elles soient exposées par inadvertance à des adversaires avant qu’une mesure d’atténuation ne soit mise en place », peut-on lire dans une lettre ouverte signée par 11 organisations de défense des droits numériques, dont l’Association européenne pour les droits numériques (EDRi).
Une semaine plus tard, 36 acteurs de la cyberindustrie, dont DIGITALEUROPE et EuroISPA, l’association paneuropéenne des fournisseurs de services Internet, ont publié une déclaration commune, considérant également la section de la loi sur les failles comme une exposition des produits aux cyberattaques, sapant ainsi les efforts en matière de cybersécurité.
[Édité par Anne-Sophie Gayet]
