Le projet de loi sur la cyber-résilience (CRA) de l’UE provoque de nouveaux remous. Après les craintes pour l’open source, c’est l’obligation d’annonce des vulnérabilités qui est eu cœur des critiques maintenant.
L’obligation d’annonce de vulnérabilité au coeur du problème
L’influente fondation américaine EFF s’est jointe à un groupe de 56 experts d’organisations telles que Google, Panasonic, Citizen Lab, Trend Micro, dans une lettre ouverte appelant la Commission européenne, le Parlement européen et le ministère espagnol des Affaires économiques et de la Transformation numérique à reconsidérer l’obligation des mécanismes de signalement des vulnérabilités de la proposition de loi sur la cyber-résilience (CRA) de l’UE.
Selon eux , cette obligation de reporting soulève des préoccupations majeures en matière de cybersécurité. Élargir la connaissance des vulnérabilités non corrigées à un public plus large augmentera le risque d’exploitation, et le fait que les éditeurs de logiciels soient obligés de signaler ces vulnérabilités aux régulateurs gouvernementaux introduit la possibilité pour les gouvernements de les ajouter à leurs arsenaux offensifs.
Comme le souligne la lettre, l’ARC « exige déjà des éditeurs de logiciels qu’ils atténuent les vulnérabilités sans délai », indépendamment de l’obligation de déclaration. La lettre souligne également que ce mécanisme de signalement peut interférer avec la collaboration et la relation de confiance entre les entreprises et les chercheurs en sécurité qui travaillent avec les entreprises pour produire un correctif.
Ce groupe d’experts suggère soit de supprimer complètement cette exigence, soit de modifier l’obligation de déclaration pour qu’elle soit fixée à une fenêtre de 72 heures après la création et le déploiement des correctifs. Il appelle également les législateurs et décideurs politiques européens à interdire l’utilisation des vulnérabilités signalées « à des fins de renseignement, de surveillance ou offensives ».
Qui est l’EFF?
Pour rappel, l’Electronic Frontier Foundation (EFF) est une organisation à but non lucratif fondée en 1990 aux États-Unis. L’EFF est dédiée à la protection des droits civils dans le domaine numérique, en particulier en ce qui concerne la liberté d’expression, la vie privée, la sécurité et la liberté d’accès à l’information sur Internet. L’organisation travaille activement pour promouvoir et défendre ces droits dans le contexte de l’évolution rapide de la technologie et d’Internet.
Les domaines d’intérêt et d’action de l’EFF comprennent la lutte contre la censure en ligne, la protection de la vie privée des utilisateurs sur Internet, la défense de la liberté d’expression en ligne, la lutte contre la surveillance gouvernementale excessive et la promotion de la sécurité numérique. L’EFF intervient souvent, comme ici, dans des affaires juridiques pour protéger les droits des individus et des organisations en ligne.
La loi sur la cyber-résilience (CRA) en bref
La Cyber Résilience Act (CRA) de l’UE est un nouveau cadre juridique visant à renforcer la sécurité des produits et des logiciels numériques au sein de l’Union européenne.
La CRA s’applique à tous les produits numériques et logiciels contenant un composant numérique, qu’il s’agisse d’appareils connectés, de systèmes d’exploitation ou de logiciels d’entreprise. Elle impose aux fabricants et aux détaillants de ces produits un ensemble d’exigences en matière de cybersécurité, qui incluent, entre autres :
- L’évaluation des risques de cybersécurité dès la phase de conception ;
- La mise en place de mesures de sécurité appropriées pour atténuer ces risques ;
- La mise à disposition de mises à jour de sécurité pour corriger les vulnérabilités connues ;
- L’information des utilisateurs sur les risques de cybersécurité et sur les mesures de sécurité à prendre
La CRA vise à améliorer la sécurité des produits et logiciels numériques de l’UE de plusieurs manières. Tout d’abord, elle impose des exigences de sécurité harmonisées pour tous les produits et logiciels numériques, ce qui facilite la conformité des fabricants et des revendeurs. Deuxièmement, elle s’applique tout au long du cycle de vie du produit, ce qui oblige les fabricants et les revendeurs à prendre la sécurité au sérieux dès la phase de conception. Troisièmement, elle prévoit des sanctions en cas de non-respect des exigences, ce qui devrait dissuader les fabricants et les revendeurs de mettre sur le marché des produits et logiciels numériques non sécurisés.