Navigation
Les derniers articles
Suivez en direct

L’EFF et d’autres experts contre l’obligation d’annonce des vulnérabilités du projet de loi européenne sur la cyber-résilience

Un homme annonce une vulnérabilité via un mégaphone

Le projet de loi sur la cyber-résilience (CRA) de l’UE provoque de nouveaux remous. Après les craintes pour l’open source, c’est l’obligation d’annonce des vulnérabilités qui est eu cœur des critiques maintenant.

L’obligation d’annonce de vulnérabilité au coeur du problème

L’influente fondation américaine EFF s’est jointe à un groupe de 56 experts d’organisations telles que Google, Panasonic, Citizen Lab, Trend Micro, dans une lettre ouverte appelant la Commission européenne, le Parlement européen et le ministère espagnol des Affaires économiques et de la Transformation numérique à reconsidérer l’obligation des mécanismes de signalement des vulnérabilités de la proposition de loi sur la cyber-résilience (CRA) de l’UE.

Selon eux , cette obligation de reporting soulève des préoccupations majeures en matière de cybersécurité. Élargir la connaissance des vulnérabilités non corrigées à un public plus large augmentera le risque d’exploitation, et le fait que les éditeurs de logiciels soient obligés de signaler ces vulnérabilités aux régulateurs gouvernementaux introduit la possibilité pour les gouvernements de les ajouter à leurs arsenaux offensifs.

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord

Comme le souligne la lettre, l’ARC « exige déjà des éditeurs de logiciels qu’ils atténuent les vulnérabilités sans délai », indépendamment de l’obligation de déclaration. La lettre souligne également que ce mécanisme de signalement peut interférer avec la collaboration et la relation de confiance entre les entreprises et les chercheurs en sécurité qui travaillent avec les entreprises pour produire un correctif.

Ce groupe d’experts suggère soit de supprimer complètement cette exigence, soit de modifier l’obligation de déclaration pour qu’elle soit fixée à une fenêtre de 72 heures après la création et le déploiement des correctifs. Il appelle également les législateurs et décideurs politiques européens à interdire l’utilisation des vulnérabilités signalées « à des fins de renseignement, de surveillance ou offensives ».

Qui est l’EFF?

Pour rappel, l’Electronic Frontier Foundation (EFF) est une organisation à but non lucratif fondée en 1990 aux États-Unis. L’EFF est dédiée à la protection des droits civils dans le domaine numérique, en particulier en ce qui concerne la liberté d’expression, la vie privée, la sécurité et la liberté d’accès à l’information sur Internet. L’organisation travaille activement pour promouvoir et défendre ces droits dans le contexte de l’évolution rapide de la technologie et d’Internet.

Les domaines d’intérêt et d’action de l’EFF comprennent la lutte contre la censure en ligne, la protection de la vie privée des utilisateurs sur Internet, la défense de la liberté d’expression en ligne, la lutte contre la surveillance gouvernementale excessive et la promotion de la sécurité numérique. L’EFF intervient souvent, comme ici, dans des affaires juridiques pour protéger les droits des individus et des organisations en ligne.

La loi sur la cyber-résilience (CRA) en bref

La Cyber Résilience Act (CRA) de l’UE est un nouveau cadre juridique visant à renforcer la sécurité des produits et des logiciels numériques au sein de l’Union européenne.

La CRA s’applique à tous les produits numériques et logiciels contenant un composant numérique, qu’il s’agisse d’appareils connectés, de systèmes d’exploitation ou de logiciels d’entreprise. Elle impose aux fabricants et aux détaillants de ces produits un ensemble d’exigences en matière de cybersécurité, qui incluent, entre autres :

  • L’évaluation des risques de cybersécurité dès la phase de conception ;
  • La mise en place de mesures de sécurité appropriées pour atténuer ces risques ;
  • La mise à disposition de mises à jour de sécurité pour corriger les vulnérabilités connues ;
  • L’information des utilisateurs sur les risques de cybersécurité et sur les mesures de sécurité à prendre

La CRA vise à améliorer la sécurité des produits et logiciels numériques de l’UE de plusieurs manières. Tout d’abord, elle impose des exigences de sécurité harmonisées pour tous les produits et logiciels numériques, ce qui facilite la conformité des fabricants et des revendeurs. Deuxièmement, elle s’applique tout au long du cycle de vie du produit, ce qui oblige les fabricants et les revendeurs à prendre la sécurité au sérieux dès la phase de conception. Troisièmement, elle prévoit des sanctions en cas de non-respect des exigences, ce qui devrait dissuader les fabricants et les revendeurs de mettre sur le marché des produits et logiciels numériques non sécurisés.

Pour en savoir plus

EFF And Other Experts Join in Pointing Out Pitfalls of Proposed EU Cyber-Resilience Act

Today we join a set of 56 experts from organizations such as Google, Panasonic, Citizen Lab, Trend Micro and many others in an open letter calling on the European Commission, European Parliament, and Spain’s Ministry of Economic Affairs and Digital Transformation to reconsider the obligatory…

Joint Letter of Experts on CRA and Vulnerability Disclosure

As concerned cybersecurity experts who have dedicated our lives to improving the security of the online environment, we urge you to reconsider the vulnerability disclosure requirements under the proposed EU Cyber Resilience Act (CRA).

Loi de l’UE sur la cyberrésilience

Les nouvelles règles de l’UE en matière de cybersécurité garantissent la sécurité du matériel et des logiciels.

Cyber_Resilience_Act_factsheet_ENTélécharger

(Re)découvrez également:

Loi de cyber-résilience de l’UE : quelles inquiétudes pour l’open source et la cybersécurité ?

Des idées de lecture cybersécurité

Amazon La cybersecurite pour les Nuls

La cybersécurité pour les Nuls

Pour obtenir toutes les informations sur la cybersécurité, apprendre à protéger ses données sensibles sereinement et à éviter le hacking

Amazon Securite informatique Ethical Hacking

Sécurité informatique – Ethical Hacking : Apprendre l’attaque pour mieux se défendre

Ce livre a pour objectif d’initier le lecteur aux techniques des attaquants pour lui apprendre comment se défendre.

61MQkLo8wOL. SY466

Cyberattaques: Les dessous d’une menace mondiale

Un documentaire captivant et éclairant sur les affrontements entre attaquants et défenseurs du numérique, face à la plus grande menace de la prochaine décennie.

Serveurs, API, temps de veille...
DCOD est indépendant et sans revenus. Soutenez le site pour l'aider à couvrir ses frais techniques.

☕ Contribuer aux frais

Fondateur et éditeur de DCOD - Restons en contact !

A lire également

Des idées de lecture recommandées par DCOD

Ethical Hacking

Sécurité informatique - Ethical Hacking

Ce livre a pour objectif d'initier le lecteur aux techniques des attaquants pour lui apprendre comment se défendre. Cette nouvelle édition tient compte de l'actualité en matière de sécurité informatique et voit l'apparition de trois nouveaux chapitres qui traitent de la sécurité des mobiles, des voitures connectées et de l'étude des malwares.

📘 Voir sur Amazon

Le pirate informatique et l'État : cyberattaques et nouvelle normalité géopolitique (édition anglaise)

Riche en informations exclusives issues d'entretiens avec des acteurs clés de la défense et de la cybersécurité, de documents déclassifiés et d'analyses approfondies de rapports d'entreprises, « The Hacker and the State » explore la véritable compétition géopolitique de l'ère numérique et révèle des détails méconnus sur la manière dont la Chine, la Russie, la Corée du Nord, le Royaume-Uni et les États-Unis se piratent mutuellement dans une lutte acharnée pour la domination.

📘 Voir sur Amazon
Page frontale du livre Hacking et Cybersécurité Mégapoche pour les Nuls

Hacking et Cybersécurité Mégapoche pour les Nuls

Protéger-vous des hackers en déjouant toutes leurs techniques d'espionnage et d'intrusions et mettez en place une stratégie de cybersécurité dans votre entreprise grâce à ce livre 2 en 1.

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article proviennent de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur notre cadre d’utilisation.