Pour une fois, des politiciens arrivent à sortir une loi sur l'IT qui n'est pas insensée
Pour une fois, des politiciens arrivent à sortir une loi sur l'IT qui n'est pas insensée
le Congrès US adopte une loi qui exige que les dispositifs IdO répondent à certaines normes de sécurité
Le Congrès américain vient d'adopter une nouvelle loi sur la sécurité des dispositifs IdO, une loi qui permettrait d'encadrer un tant soit peu ce secteur en plein essor. L'IoT Cybersecurity Improvement Act (loi sur l'amélioration de la cybersécurité de l'IdO) exige que tous les dispositifs IdO achetés par le gouvernement répondent à des exigences de sécurité minimales, comme la manière dont les vulnérabilités sont corrigées. En vertu de la nouvelle loi, le NIST (National Institute of Standards and Technology) créera les normes de sécurité pour le développement, le correctif et la gestion de l'identité et de la configuration de l'IdO.
De nouvelles directives de l'État pour sécuriser tous les dispositifs IdO
Le projet de loi IoT Cybersecurity Improvement Act a été proposé pour la première fois en 2017. Il a été réintroduit en novembre 2019 et adopté à l'unanimité par la Chambre et le Sénat en septembre dernier. Il va maintenant passer au bureau du Président. La nouvelle loi est qualifiée d'assez "bonne" par les membres de la communauté, bien que ces derniers s'accordent à dire qu'il a été lent à arriver. Selon un rapport du site indépendant Decipher, qui couvre le domaine de la sécurité informatique, la loi a bénéficié d'un large soutien bipartite et n'a pas du tout été controversée.
La législation a été soutenue par le sénateur Mark Warner (D-Va.) et le sénateur sortant Cory Gardner (R-Colo), ainsi que par les représentants Will Hurd (R-Tex.) et Robin Kelly (D-Ill.). Elle bénéficie également du soutien de grandes sociétés de sécurité et de technologie. « Les sénateurs, les représentants et leur personnel ont droit à un crédit spécial pour les années de travail sur cette importante législation », a écrit Harley Lorenz Geiger, directeur de la politique publique chez Rapid7, sur Twitter. « L'adoption d'un projet de loi non controversé est un exploit, même en l'absence d'élections, de pandémie et de partisanerie accrue. Félicitations ».
L'IoT Cybersecurity Improvement Act comporte plusieurs dispositions clés. En plus d'exiger du NIST (National Institute of Standards and Technology) qu'il émette des directives basées sur des normes pour les dispositifs IdO détenus ou contrôlés par le gouvernement fédéral, la loi précise que les règles d'acquisition fédérales doivent être mises à jour pour refléter la norme et les directives de sécurité. Les agences fédérales ne peuvent pas acquérir, obtenir ou renouveler des contrats pour des dispositifs qui ne peuvent pas répondre à ces directives.
L'OMB (Office of Management and Budget) publiera également des règles exigeant que les agences civiles fédérales aient des politiques de sécurité de l'information conformes aux directives du NIST. L'une des sections porte également sur les agences fédérales qui mettent en œuvre une politique de divulgation des vulnérabilités, une exigence qui s'étend aux contractants fournissant des systèmes d'information aux agences. Cela sera particulièrement important, car cela guidera les secteurs public et privé sur la manière de divulguer les vulnérabilités de ces dispositifs, et encouragera potentiellement une plus grande coordination publique.
L'industrie a également soutenu l'effort, notamment Symantec, Mozilla, BSA The Software Alliance (qui comprend Apple, Microsoft, IBM, Cloudflare, la CTIA et d'autres). Par ailleurs, le Congrès a réussi à garder les doigts hors des choses dont il ne sait rien en laissant la production des normes aux experts, en utilisant les marchés publics fédéraux pour créer une norme industrielle de facto.
La nouvelle loi n'est pas parfaite, mais elle représente un "bon" premier pas
La nouvelle loi n'est pas parfaite, car elle laisse toujours le champ libre aux entreprises de continuer à proposer des dispositifs IdO avec une sécurité discutable. Les entreprises pourront toujours fabriquer des produits qui ne répondent pas aux nouvelles normes et il y aura donc toujours des produits peu sûrs destinés aux consommateurs à des prix plus bas. Cela signifie que la cybersécurité va continuer à être un problème majeur pour l'IdO. En réalité, elle n'oblige pas les entreprises, en dehors du gouvernement fédéral à fabriquer ou à acheter des produits conformes aux nouvelles normes.
Le marché continuera donc à livrer des dispositifs IdO non sécurisés, ce qui créera d'énormes opportunités pour les réseaux de zombies, les attaques DDoS, le vol de données, etc. La responsabilité de la sécurité et de la fiabilité des IdO incombe en dernier ressort aux fabricants, qui peuvent donc choisir de ne pas suivre les recommandations du NIST et continuer à vendre leurs produits en dehors du gouvernement fédéral.
Cependant, cette loi constitue le plus important texte législatif sur cette question cruciale : le raccordement de milliards de dispositifs à Internet, dont beaucoup sont mal sécurisés. Désormais, elle garantit que, pour ceux qui recherchent des produits sûrs et de qualité, il y aura une norme de base dans tout le secteur. En supposant que le président la signe, elle entrera en vigueur l'année prochaine. Notons que le calendrier initial des recommandations du NIST pour septembre a été bouleversé parce que le Congrès a fait ce qu'il fait de mieux : se mettre en stase.
Par ailleurs, l'on estime que son adoption a de quoi réjouir, car une approche fédérale, à l'échelle nationale, sera plus efficace qu'une série de lois d'État (la Californie et l'Oregon ont déjà adopté des projets de loi sur la sécurité de l'IdO). En effet, bien que cette loi semble avoir un impact limité, des normes gouvernementales signifient un bon moyen de faire en sorte que le marché au sens large suive, car il s'agit d'un exemple. Les consommateurs peuvent exiger une meilleure sécurité, ils ne savent peut-être pas exactement ce qu'ils obtiennent, mais le fait que certains appareils soient plus sûrs que d'autres déterminera leurs décisions d'achat.
La CSC (US Cyberspace Solarium Commission) a formulé plus de 75 recommandations sur la manière dont les pouvoirs exécutif et législatif pourraient réviser leur stratégie de cybersécurité, et la sécurité des appareils fonctionnant sur Internet était l'un des points sur lesquels elle s'est concentrée. Depuis la publication du rapport au début de l'année, la CSC a continué à formuler d'autres recommandations pour renforcer la sécurité de tous les dispositifs IdO, et pas seulement au sein du gouvernement fédéral. Il y a par exemple l'authentification unique par défaut, qui exige que les dispositifs IdO soient dotés d'un nouvel identifiant une fois connectés à un réseau.
Selon Geiger, une fois que le projet de loi sera promulgué, les États-Unis pourront revendiquer une position de leader en matière de sécurité de l'IdO à un moment où la plupart des initiatives audacieuses en matière de sécurité IdO semblent émaner des États américains et des pays non américains. Cela dit, il suggère que chacun doit être vigilant quant au choix d'un dispositif IdO. « Le gouvernement américain donne le ton depuis le sommet, et tant que des directives ou des réglementations officielles ne seront pas mises en œuvre au niveau de l'utilisateur final, il est de la responsabilité de tous d'être intelligents en matière d'utilisation de l'IdO », a-t-il dit.
Une loi qui montre que les gouvernements sont parfois capables de bonnes idées
L'IoT Cybersecurity Improvement Act, même si elle n'est pas parfaite dans sa catégorie, peut être considérée comme l'antipode de certaines des dernières lois dans l'IT votées aux États-Unis, en France et ailleurs dans le monde. L'un des projets de loi les plus controversés actuellement est la loi concernant le chiffrement sur Internet. Aux États-Unis, de nombreuses agences fédérales, comme la NSA et le FBI, sont contre le chiffrement sur Internet. Ces dernières estiment que cela nuirait à leur rôle, notamment la lutte contre le terrorisme, et encouragerait de ce fait les criminels.
Si la bataille contre le chiffrement s'annonce des plus difficiles, ces organes fédéraux défendent également des projets de loi visant à obliger les fournisseurs d'accès à Internet à mettre des backdoors dans leurs équipements afin d'espionner les conversations des consommateurs. Ce projet de loi est actuellement observable, sous une forme ou une autre, dans de nombreux pays, dont l'Inde, les États-Unis, la France, l'Allemagne. Ce dernier a même récemment décidé de réviser sa constitution, en particulier la loi sur la protection constitutionnelle, pour donner le droit à ses 19 unités de renseignements de pirater secrètement quiconque à tout moment et pour n’importe quelle raison.
Pour que cela soit possible, la loi obligera les FAI à installer des chevaux de Troie d’État au sein de leurs matériels dans le but de rediriger les données utilisateur vers les services et autorités concernés. En France, le gouvernement, notamment le président de la République Emmanuel Macron, est contre le chiffrement et l'anonymat sur Internet. Selon lui, cela encourage les criminels et les terroristes à perdurer dans l'illégalité, se cachant derrière la protection que leur offrent les technologies de chiffrement.
Au cours de l'été, des rapports ont révélé qu'une proposition de loi contre le chiffrement était en cours de gestation au sein de la Commission de l'UE qui devrait la soumettre avant la fin de l'année. Selon la Commission, cette loi devrait permettre de lutter contre la pédophilie en ligne. Ce projet de loi a fait l'objet de vives contestations, car dans le texte, la Commission a clairement indiqué sa position quant au choix entre sécurité et libertés individuelles : elle est pour la sécurité et entend justement mettre le chiffrement en ligne à mal.
Cela dit, outre le chiffrement, d'autres textes de loi ont également fait l'objet de controverses ces derniers mois. En mai dernier, la France s'est dotée d'une loi très controversée contre la haine sur Internet. Le Parlement a en effet adopté la proposition de loi visant à "mettre fin à l'impunité" de la haine en ligne. Depuis juillet, cette loi oblige les plateformes et moteurs de recherche à retirer dans les 24 heures les contenus jugés illicites, sous peine d'être condamnés à des amendes allant jusqu'à 1,25 million d'euros.
Parmi les contenus visés, il y a les incitations à la haine, la violence, les injures à caractère raciste ou encore religieux. Cependant, le texte a suscité de nombreuses controverses, notamment du Conseil national du numérique, de la Commission nationale consultative des droits de l'Homme, ou encore de la Quadrature du Net, qui défend les libertés individuelles dans le monde du numérique. En Russie, l'État a serré le tour de vis sur le réseau Internet national, bloquant des contenus et sites liés à l’opposition.
Il a également fait pression sur des services qui refusaient de coopérer avec lui, comme la plateforme vidéo Dailymotion, le réseau social LinkedIn ou la messagerie Telegram. Il a d'ailleurs posé un ultimatum à Telegram qui refusait de livrer ses clés de chiffrement au gouvernement, ce dernier l'accusant d'être un nid de protection pour des groupes djihadistes, et d'autres. En outre, la loi devant permettre à la Russie de mettre en place un Internet souverain a été qualifiée de "grosse désillusion" par de nombreux acteurs d'Internet.
La loi est critiquée, car, selon certains, il s'agit d'une tentative de l'État de contrôler les contenus, voire d’isoler progressivement l’Internet russe dans un contexte de pression croissante des autorités. D'autres projets de loi font également l'objet de controverse dans le monde. L'IoT Cybersecurity Improvement Act pourrait être le fer de lance encourageant les gouvernements du monde à prendre du recul pour proposer des lois qui rendront l'industrie meilleure, en lieu et place de lois qui créent non seulement la controverse, mais sont parfois en déphasage avec la réalité.
Source : L'IoT Cybersecurity Improvement Act, Rapport de Decipher
Et vous ?
Qu'en pensez-vous ?
Voir aussi
Répondre avec citation
Partager