Face aux dysfonctionnements cyber fréquents, l’association française des CERT plaide pour un renforcement de la régulation du marché de la sécurité numérique. Pour les experts qui composent l’InterCERT France, il existe un déséquilibre chronique anormal dans la relation entre les éditeurs de logiciels et les organisations clientes de ces derniers. C’est pourquoi, ils appellent à un changement du cadre légal qui permettrait de créer des clauses de responsabilité et de pénalités des fournisseurs et éditeurs lorsque les manquements des produits de cyber sécurité sont structurels et récurrents, et que les programmes correctifs sont inexistants, insuffisants ou inopérants.
L’InterCERT France, le collectif des CERTs, réuni en association, dénonce plusieurs points
Lorsque surviennent une faille sécuritaire ou un bug informatique, les éditeurs dont les solutions sont concernées par ces défaillances ne sont jamais redevables ni concernées par la réparation des dommages et dégâts causés. Pourquoi ?
C’est pour dénoncer cet état de fait que l’InterCERT France a décidé de s’exprimer publiquement en faveur d’une régulation.
« Dans le numérique, on parle aisément des menaces cyber associées à des actes malveillants et criminels. On parle en revanche plus rarement des menaces issues des failles provenant des fournisseurs de solutions de sécurité et des vides réglementaires et juridiques associés. Or ces failles génèrent d’importants préjudices que nous – professionnels de la gestion des incidents cyber – devons résoudre. Nous ne trouvons pas cela normal ni cohérent que les fournisseurs de matériels et de logiciels ne soient pas soumis à un cadre strict et tenus responsable des dommages détériorations qu’ils occasionnent dans le système d’information de leurs clients. » alerte Frédéric Le Bastard, Président de l’InterCERT France.
Dans le domaine cyber, la liste des amateurismes et des malfaçons est longue. Nombre de fournisseurs en sécurité livrent à leurs clients des produits reposant sur des technologies dépassées, contenant quantité de failles de sécurité et pouvant contenir des portes dérobées.
Ces acteurs n’assurent ni la fourniture de correctifs en temps voulu, ni une assistance technique adaptée lorsque les risques se transforment en attaques (vol ou altération de données, usurpation d’identités, perturbation ou arrêt d’activités, etc.) aux conséquences graves pour les organisations, les personnes, les bilans financiers.
« La liste des fournisseurs de solutions de sécurité aux technologies obsolètes et souffrant de nombreuses vulnérabilités est longue ! Lorsque surviennent incidents et crises, ils sont souvent aux abonnés absents. Nous sommes mobilisés pour faire évoluer la situation et avons envisagé plusieurs solutions. » ajoute Frédéric Le Bastard.
L’InterCERT France propose plusieurs solutions
Face aux défaillances des éditeurs et fournisseurs, ce sont les directions informatiques, les pôles cyber et les CERT qui se retrouvent en première ligne à gérer les crises.
Pour L’InterCERT France, il est urgent de faire évoluer la situation. L’association a identifié plusieurs leviers d’actions et travaille à bien définir les atouts et risques de chacun, consciente que la solution parfaite n’existe pas.
1 – Le collectif propose l’utilisation de produits de sécurité validés par des instances gouvernementales, telles que l’Agence nationale de la sécurité des systèmes d’information en France ou l’Office fédéral de la sécurité des technologies de l’information (BSI) en Allemagne.
2 – Dans certains cas, les experts de l’association se sont penchés sur la possibilité d’utiliser plus de technologies et de produits open source, documentés et disposant de communautés réactives et compétentes dans l’identification des menaces. Cette solution nécessite de recruter et de former des ingénieurs et des administrateurs à de nombreuses technologies, dans un métier où les compétences disponibles sont rares. Par ailleurs, cela implique des conditions liées au changement de fournisseur (coût élevé, qualification des équipements, accoutumance, déploiements à grande échelle, alignement des systèmes de détection).
3 – L’InterCERT France estime qu’il faut agir en droit.
La seule manière de faire évoluer l’attitude et les pratiques de fournisseurs commercialisant des produits dépassés et faillibles, et n’assurant pas un service de support digne de ce nom, est de créer un cadre légal. C’est par la Loi qu’il sera possible de faire pression sur ces fournisseurs, en engageant leur responsabilité et en leur imposer des pénalités conséquentes à leurs manquements.