Un groupe d’experts en cybersécurité réclame un amendement au Cyber Resilience Act, le nouveau règlement de l’UE qui oblige, entre autres, les organisations à signaler leurs vulnérabilités dans les 24 heures. Le groupe a dans ce but écrit une lettre ouverte à Thierry Breton et à ses collègues de la Commission européenne.
Le Cyber Resilience Act (CRA) a comme but de garantir plus de cybersécurité au sein de l’UE et contient entre autres des règles concernant les correctifs de sécurité obligatoires et une communication transparente sur les vulnérabilités trouvées.
C’est principalement ce dernier point qui inquiète les experts en sécurité. C’est ainsi que la proposition actuelle du CRA, selon laquelle les organisations qui découvrent in point faible dans leur produit ou leur réseau, doivent le signaler à l’ENISA, l’Agence européenne pour la cybersécurité, dans les 24 heures. Cela saperait la sécurité des organisations qui signalent leurs vulnérabilités, mais aussi des entreprises qui comptent sur elles, selon la lettre ouverte.
Correctif
‘Dans les 24 heures suivant la découverte d’un point faible: cela signifie qu’il n’existe pas encore de correctif’, déclare Jaya Baloo, CSO de Rapid7 et l’un des signataires de la lettre ouverte, lors d’un discours thématique prononcé lors de la conférence sur la sécurité OneConference à La Haye. ‘Vous courez le risque que les gouvernements collectent ainsi un tas de vulnérabilités contre lesquelles ils ne peuvent rien faire, mais qui risquent de se propager davantage. Il existe tout un écosystème d’organisations, de fournisseurs et de clients qui comptent sur la capacité d’apporter des correctifs, avant qu’une vulnérabilité ne soit largement connue.’
Cette mesure permettrait aux gouvernements d’accéder en temps réel à une base de données des vulnérabilités non corrigées. Cela signifie qu’un nombre beaucoup plus grand de personnes prendraient conscience des points faibles, mais cela ferait également de cette base de données une cible privilégiée pour les agresseurs à la recherche de ‘zero-days’ (failles zéro), selon les auteurs de la lettre.
La Commission européenne a lancé le processus CRA l’année dernière comme mesure supplémentaire visant à rendre l’Union européenne plus résistante aux cyberattaques. La lettre ouverte souligne que le CRA est en soi un pas dans la bonne direction, mais que la mesure sur la notification des vulnérabilités pose problème. ‘Ce n’est pas la meilleure avancée’, ajoute Jaya Baloo. ‘Les gouvernements ne sont généralement pas les mieux placés pour lancer des correctifs et des mises à jour pour les logiciels critiques.’ Dans la lettre ouverte, les experts demandent d’adapter le CRA et d’ajuster spécifiquement l’obligation de notification.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici