(Re)lire : WannaCry, Mozilla toujours pour une réforme du partage des failles connues du gouvernement US

La divulgation de vulnérabilités (et les processus qui la sous-tendent) est particulièrement importante à l’égard des gouvernements. Ces derniers ont souvent une connaissance unique des vulnérabilités et acquièrent connaissance de ces vulnérabilités de différentes manières : via leurs propres recherches et développements, en les achetant, par leurs réseaux de renseignement ou par des rapports de tiers. Tout particulièrement, les gouvernements peuvent faire face à des intérêts contradictoires, à savoir divulguer immédiatement l’existence d’une vulnérabilité à l’éditeur ou bien retarder la divulgation afin de soutenir des activités offensives de collecte de renseignements et des activités d’application de la loi (appelées hacking gouvernemental).

Aux États-Unis comme dans l’Union européenne, Mozilla a depuis longtemps lancé des appels aux gouvernements pour codifier et améliorer leurs politiques et processus de prise en charge des divulgations de vulnérabilité, ce qui inclut une prise de parole forte en faveur du PATCH Act (Protecting Our Ability to Counter Hacking Act) aux États-Unis. Mozilla est également membre du groupe de travail du CEPS sur la divulgation de vulnérabilités logicielles, un effort multilatéral consacré à faire progresser la réflexion sur ce sujet important, incluant la cartographie des pratiques actuelles et le développement d’un modèle d’examen de divulgation de vulnérabilité. Nous sommes fermement convaincus qu’en mettant en place de tels cadres de travail, les gouvernements peuvent contribuer à une plus grande cybersécurité pour leurs citoyens et citoyennes, pour leurs entreprises et pour eux-mêmes.

Comme l’affirme notre recommandation de politique, le règlement européen sur la cybersécurité proposé offre une opportunité unique d’établir la règle que les États membres doivent avoir des processus d’examen de divulgation de vulnérabilités robustes, responsables et transparents, favorisant ainsi une plus grande cybersécurité en Europe. En effet, grâce à sa capacité à assister et conseiller sur le développement des politiques et des pratiques, une ENISA réformée est bien placée pour soutenir les États membres de l’UE dans le développement de mécanismes gouvernementaux d’examen des divulgations de vulnérabilités et dans le partage des meilleures pratiques.

Dans les prochains mois, nous travaillerons en étroite collaboration avec des législateurs de l’UE pour expliquer ce problème et mettre en avant l’importance de la cybersécurité en Europe.

Si vous souhaitez lire notre recommandation complète, vous pouvez y accéder ici.



Traduction et relecture : Mozinet, Vincent, Watilin, Théo et anonymes

Crédit illustration : Pixabay (ajoutée par le traducteur).