Certains chercheurs se sont fait une spécialité de dénicher les vulnérabilités présentes dans les systèmes informatiques et exploitables par des acteurs malveillants. Rien n’oblige pourtant les éditeurs à les corriger. Et rien ne protège les chercheurs contre les menaces des entreprises. Un manque de régulation risqué pour la sécurité de certaines données.
Par milliers, les vulnérabilités des systèmes informatiques sont des portes d’entrée privilégiées par les hackers. Trend Micro, entreprise spécialisée en logiciels de sécurité, en a décelé plus de 37 000 rien que sur l’année 2023 dans le monde. Parfois connues, ces vulnérabilités ne sont pas toutes corrigées, car les éditeurs sont peu contraints par les États. Jérôme Barbier, responsable des questions spatiales, numériques et économiques pour le Forum de Paris sur la Paix, déplore le manque de normes internationales concernant les obligations de correction des vulnérabilités.
“L’espionnage n’est pas illégal en droit international”, indique-t-il durant cette table ronde, fin 2023, en amont du FIC (Forum InCyber), qui se déroulera du 26 au 28 mars à Lille. Ces vulnérabilités peuvent être utilisées à des fins politiques. Selon lui, cela participe du manque de régulations internationales. Chaque État a ses propres règles. “En France, le cadre juridique est assez flou”, estime Noémie Véron, maître de conférences en droit public à l’Université de Lille. Ainsi, dans l’Hexagone, on ne légifère pas tant sur les moyens d’obtenir de la donnée que sur la catégorie de donnée captée. “La captation de données informatiques sert de fondement pour permettre aux services de police d’exploiter des vulnérabilités avec leurs propres ressources ou à travers des sociétés privées”, assure Noémie Véron.
L’affaire Pegasus, révélée en 2021, du nom de ce logiciel espion israélien, utilisé par une dizaine d’États pour obtenir des informations sur des personnalités, est un exemple de l’utilisation des vulnérabilités à des fins politiques. Contrairement à d’autres pays d’Europe comme la Pologne, la France n’en a pas fait partie. “Ce sont des sujets éminemment sensibles pour les libertés individuelles”, juge Guilhem Guiraud. Cet ancien membre de la DST (Direction de la Surveillance du Territoire), aujourd’hui Direction centrale du Renseignement Intérieur, a fondé une société capable de fournir aux États des moyens éthiques de captation de données informatiques.
Mots-clés : cybersécurité, sécurité informatique, protection des données, menaces cybernétiques, veille cyber, analyse de vulnérabilités, sécurité des réseaux, cyberattaques, conformité RGPD, NIS2, DORA, PCIDSS, DEVSECOPS, eSANTE, intelligence artificielle, IA en cybersécurité, apprentissage automatique, deep learning, algorithmes de sécurité, détection des anomalies, systèmes intelligents, automatisation de la sécurité, IA pour la prévention des cyberattaques.
Bots et IA biaisées : une menace silencieuse pour la cybersécurité des entreprises Introduction Les…
Cloudflare en Panne : Causes Officielles, Impacts et Risques pour les Entreprises Le 5 décembre…
Introduction La cybersécurité est aujourd’hui une priorité mondiale. Récemment, la CISA (Cybersecurity and Infrastructure Security…
La transformation numérique face aux nouvelles menaces Le cloud computing s’impose aujourd’hui comme un…
Les attaques par déni de service distribué (DDoS) continuent d'évoluer en sophistication et en ampleur,…
Face à l'adoption croissante des technologies d'IA dans les PME, une nouvelle menace cybersécuritaire émerge…
This website uses cookies.