Une cinquantaine d’experts en cybersécurité (dont Vint Cerf, Ron Deibert du Citizen Lab, Stéphane Duguin du CyberPeace Institute, Eva Galperin de l’EFF, Ciaran Liam Martin qui avait fondé le NCSC, Jeff MOss, Katie Moussouris, Marietje Schaake et Rayna Stamboliyska) viennent de signer une lettre ouverte invitant Thierry Breton et les instances européennes à « reconsidérer les exigences de divulgation des vulnérabilités dans le cadre de la proposition de loi européenne sur la cyber-résilience (CRA) », relève Euractiv.
La Commission européenne a en effet proposé d’introduire des exigences européennes en matière de cybersécurité, telles que des correctifs de sécurité obligatoires et le traitement des failles pour les appareils connectés qui peuvent collecter et partager des données.
Cependant, de telles divulgations « compromettraient la sécurité des produits numériques et des personnes qui les utilisent », affirment les experts dans la lettre ouverte.
« Dans l’ensemble, il s’agit d’un bon texte législatif visant à améliorer la cybersécurité européenne. Mais parfois, les bonnes intentions font de mauvaises lois, et la disposition exigeant la divulgation des failles en est un exemple », a confié à Euractiv Ciaran Martin, professeur et ancien directeur du Centre national de cybersécurité du Royaume-Uni et signataire de la lettre.
« Dans leur empressement à élaborer une politique de cybersécurité, les dirigeants de l’UE ont fondamentalement mal compris le flux d’informations essentiel à la correction des failles. Les gouvernements ne sont pas les mieux placés pour créer eux-mêmes des correctifs pour les failles, et ne devraient donc pas interférer en forçant les organisations à les informer des failles avant que les vendeurs concernés ne puissent créer et tester les correctifs », a indiqué Katie Moussouris, PDG et fondatrice de Luta Security, à Euractiv.
Selon les signataires de la lettre, d’autres risques existent, notamment l’utilisation abusive des bases de données par les États à des fins de surveillance et le fait que les chercheurs soient dissuadés de signaler les failles. « Si la loi est adoptée, elle aura un effet paralysant et contre-productif sur la recherche vitale en matière de cybersécurité et sur les failles technologiques », a ajouté Ciaran Martin.
« Nous recommandons que le CRA adopte une approche basée sur le risque pour la divulgation des failles, en prenant en compte des facteurs tels que la gravité de la faille, la disponibilité de mesures d’atténuation, l’impact potentiel sur les utilisateurs et la probabilité d’une exploitation plus large », peut-on lire dans la lettre ouverte.