Il n’y a aucune contrainte, mais le SPF Economie recommande néanmoins aux entreprises de communiquer à propos d’Heartbleed.
Comme il est possible que le bug Heartbleed ait impacté la communication sécurisée avec de grands nombres de magasins web, entreprises et institutions publiques, un flux d’informations claires à l’égard des consommateurs et des utilisateurs est un must. Si tel n’est pas le cas, la confiance dans l’e-économie pourrait s’en trouver sérieusement ébranlée.
Le SPF Economie affirme qu'”il n’existe aucune obligation légale pour les entreprises d’informer leurs clients à propos d’un risque sécuritaire. Ce genre d’obligation existe cependant pour les fournisseurs internat (tels Belgacom ou Telenet), s’il remarquent qu’il y a un risque pour leurs abonnés.” Mais il est manifeste qu’Heartbleed ne tombe pas sous le coup de cette dernière contrainte. Il n’y a pas non plus d’obligation pour une entreprise de signifier qu’elle a pris les mesures nécessaires pour résoudre un problème comme Heartbleed.
Le SPF Economie indique toutefois qu’il a collaboré à la diffusion des recommandations de CERT.BE (le Computer Emergency Response Team belge). En outre, le SPF Economie “demandera par le biais de sa lettre de nouvelles électronique aux fédérations sectorielles de renseigner leurs membres sur tout problème éventuel à des fins d’examen, et en cas de problème de sécurité pour les clients, de leur donner des explications et de les aider à le résoudre.” Ici non plus, il n’y a ni obligation, ni conseil à prodiguer aux magasins web et autres pour qu’ils communiquent sur les mesures prises (étaient-elles nécessaires ou non et si oui, ont-elles déjà été prises?).
Le SPF Economie évoque les conseils au sujet d’Heartbleed et d’autres aspects du phénomène web sur www.safeonweb.be.
