Mozilla publie des recommandations sur la divulgation des vulnérabilités par les gouvernements en Europe

Owen Bennett, le 24 avril 2018

Comme nous l’avons déjà discuté à de multiples reprises, des processus efficaces d’examen de divulgation de vulnérabilités des gouvernements peuvent grandement améliorer la cybersécurité de ces derniers, ainsi que celle des citoyens et des entreprises, et aident à réduire les risques dans un paysage de la cybersécurité de plus en plus vaste. En Europe, l’Union européenne est en train de discuter d’une nouvelle proposition de législation pour améliorer la cybersécurité pour toute l’Union : le « règlement UE sur la cybersécurité ». Dans ce contexte, nous venons de publier nos recommandations de politique pour les législateurs, dans lequel nous appelons l’Union européenne à saisir l’opportunité de mettre en place une norme globale sur la divulgation de vulnérabilité des gouvernements.

En particulier, nos recommandations de politique pour les législateurs se concentrent principalement sur les éléments de la proposition de loi qui concernent le mandat amélioré pour l’ENISA (l’Agence de l’Union européenne pour la cybersécurité), à savoir les articles 3 à 11. Nous recommandons aux colégislateurs d’inclure dans les responsabilités de l’ENISA réformée une mission d’aide aux États membres pour établir et mettre en œuvre des politiques et pratiques pour la gestion responsable et la divulgation coordonnée des vulnérabilités des produits et services TIC non portées à la connaissance du public.

En tant qu’éditeur d’un des navigateurs les plus populaires au monde, il est essentiel pour nous que les vulnérabilités dans notre logiciel soient rapidement identifiées et corrigées. Dit simplement, la sûreté et la sécurité de nos utilisateurs et utilisatrices en dépend. Plus généralement, comme en témoignent les récentes cyberattaques Petya et WannCry, les vulnérabilités peuvent être exploitées par des cybercriminels pour causer de sérieux dommages aux citoyens et citoyennes, aux entreprises, aux services publics et aux gouvernements.

(Re)lire : WannaCry, Mozilla toujours pour une réforme du partage des failles connues du gouvernement US

La divulgation de vulnérabilités (et les processus qui la sous-tendent) est particulièrement importante à l’égard des gouvernements. Ces derniers ont souvent une connaissance unique des vulnérabilités et acquièrent connaissance de ces vulnérabilités de différentes manières : via leurs propres recherches et développements, en les achetant, par leurs réseaux de renseignement ou par des rapports de tiers. Tout particulièrement, les gouvernements peuvent faire face à des intérêts contradictoires, à savoir divulguer immédiatement l’existence d’une vulnérabilité à l’éditeur ou bien retarder la divulgation afin de soutenir des activités offensives de collecte de renseignements et des activités d’application de la loi (appelées hacking gouvernemental).

Aux États-Unis comme dans l’Union européenne, Mozilla a depuis longtemps lancé des appels aux gouvernements pour codifier et améliorer leurs politiques et processus de prise en charge des divulgations de vulnérabilité, ce qui inclut une prise de parole forte en faveur du PATCH Act (Protecting Our Ability to Counter Hacking Act) aux États-Unis. Mozilla est également membre du groupe de travail du CEPS sur la divulgation de vulnérabilités logicielles, un effort multilatéral consacré à faire progresser la réflexion sur ce sujet important, incluant la cartographie des pratiques actuelles et le développement d’un modèle d’examen de divulgation de vulnérabilité. Nous sommes fermement convaincus qu’en mettant en place de tels cadres de travail, les gouvernements peuvent contribuer à une plus grande cybersécurité pour leurs citoyens et citoyennes, pour leurs entreprises et pour eux-mêmes.

Comme l’affirme notre recommandation de politique, le règlement européen sur la cybersécurité proposé offre une opportunité unique d’établir la règle que les États membres doivent avoir des processus d’examen de divulgation de vulnérabilités robustes, responsables et transparents, favorisant ainsi une plus grande cybersécurité en Europe. En effet, grâce à sa capacité à assister et conseiller sur le développement des politiques et des pratiques, une ENISA réformée est bien placée pour soutenir les États membres de l’UE dans le développement de mécanismes gouvernementaux d’examen des divulgations de vulnérabilités et dans le partage des meilleures pratiques.

Dans les prochains mois, nous travaillerons en étroite collaboration avec des législateurs de l’UE pour expliquer ce problème et mettre en avant l’importance de la cybersécurité en Europe.

Si vous souhaitez lire notre recommandation complète, vous pouvez y accéder ici.

Traduction et relecture : Mozinet, Vincent, Watilin, Théo et anonymes

Crédit illustration : Pixabay (ajoutée par le traducteur).

Mozilla et la vie publique

Mozilla publie des recommandations sur la divulgation des vulnérabilités par les gouvernements en Europe

Recherche

Derniers billets

Catégories

Mots-clés