L’InterCERT France, le collectif des CERTs, réuni en association, dénonce plusieurs points
Lorsque surviennent une faille sécuritaire ou un bug informatique, les éditeurs dont les solutions sont concernées par ces défaillances ne sont jamais redevables ni concernées par la réparation des dommages et dégâts causés. Pourquoi ?
C’est pour dénoncer cet état de fait que l’InterCERT France a décidé de s’exprimer publiquement en faveur d’une régulation.
« Dans le numérique, on parle aisément des menaces cyber associées à des actes malveillants et criminels. On parle en revanche plus rarement des menaces issues des failles provenant des fournisseurs de solutions de sécurité et des vides réglementaires et juridiques associés. Or ces failles génèrent d’importants préjudices que nous – professionnels de la gestion des incidents cyber – devons résoudre. Nous ne trouvons pas cela normal ni cohérent que les fournisseurs de matériels et de logiciels ne soient pas soumis à un cadre strict et tenus responsable des dommages détériorations qu’ils occasionnent dans le système d’information de leurs clients. » alerte Frédéric Le Bastard, Président de l’InterCERT France.
Dans le domaine cyber, la liste des amateurismes et des malfaçons est longue. Nombre de fournisseurs en sécurité livrent à leurs clients des produits reposant sur des technologies dépassées, contenant quantité de failles de sécurité et pouvant contenir des portes dérobées.
Ces acteurs n’assurent ni la fourniture de correctifs en temps voulu, ni une assistance technique adaptée lorsque les risques se transforment en attaques (vol ou altération de données, usurpation d’identités, perturbation ou arrêt d’activités, etc.) aux conséquences graves pour les organisations, les personnes, les bilans financiers.
« La liste des fournisseurs de solutions de sécurité aux technologies obsolètes et souffrant de nombreuses vulnérabilités est longue ! Lorsque surviennent incidents et crises, ils sont souvent aux abonnés absents. Nous sommes mobilisés pour faire évoluer la situation et avons envisagé plusieurs solutions. » ajoute Frédéric Le Bastard.
Face aux défaillances des éditeurs et fournisseurs, ce sont les directions informatiques, les pôles cyber et les CERT qui se retrouvent en première ligne à gérer les crises.
Pour L’InterCERT France, il est urgent de faire évoluer la situation. L’association a identifié plusieurs leviers d’actions et travaille à bien définir les atouts et risques de chacun, consciente que la solution parfaite n’existe pas.
1 – Le collectif propose l’utilisation de produits de sécurité validés par des instances gouvernementales, telles que l’Agence nationale de la sécurité des systèmes d’information en France ou l’Office fédéral de la sécurité des technologies de l’information (BSI) en Allemagne.
2 – Dans certains cas, les experts de l’association se sont penchés sur la possibilité d’utiliser plus de technologies et de produits open source, documentés et disposant de communautés réactives et compétentes dans l’identification des menaces. Cette solution nécessite de recruter et de former des ingénieurs et des administrateurs à de nombreuses technologies, dans un métier où les compétences disponibles sont rares. Par ailleurs, cela implique des conditions liées au changement de fournisseur (coût élevé, qualification des équipements, accoutumance, déploiements à grande échelle, alignement des systèmes de détection).
La seule manière de faire évoluer l’attitude et les pratiques de fournisseurs commercialisant des produits dépassés et faillibles, et n’assurant pas un service de support digne de ce nom, est de créer un cadre légal. C’est par la Loi qu’il sera possible de faire pression sur ces fournisseurs, en engageant leur responsabilité et en leur imposer des pénalités conséquentes à leurs manquements.
Le blog de l’InterCERT France, un véritable manifeste !
Les risques cyber représentent un « bouillon de culture » permanent et planétaire, aux formes démultipliées, aux vitesses de propagation fulgurantes, aux conséquences désastreuses…
Si les CERT interviennent la plupart du temps « en bout de chaîne », quand le mal est fait et le virus dans la place, le blog de l’InterCERT France a pour objectif de diffuser une vision globale et préventive de la sécurité informatique, de témoigner des enjeux, et de lutter contre l’à-peu-près, la mésinformation et la désinformation propagées sur ces sujets.
La volonté de l’association est d’agir en éclaireurs des entreprises, des services publics et des citoyens car le cyberespace, fondement essentiel de nos vies, doit rester un espace sûr et de confiance.
Le blog de l’InterCERT France met en lumière les expertises des CERT en matière de cybersécurité, afin qu’elles puissent éclairer les choix technologiques des organisations. En passant de l’ombre à la lumière, le “collectif” veut faire évoluer le paradigme du métier : réduire en amont les possibilités offertes aux cyber assaillants, et mieux traiter ainsi les menaces à l’œuvre en aval.
A propos de l’InterCERT France – https://www.intercert-france.fr
Fondée en 2021, en réponse à la croissance significative de sa communauté, l’association InterCERT France est née de la volonté de ses membres de pérenniser un réseau d’organisations ayant des activités de réponse à incident d’origine cyber souvent dénommés CERT, (Computer Emergency Response Team, ou CSIRT, Computer Security Incident Response Team) sur le territoire français.
Présidée par Frédéric Le Bastard, l’InterCERT France a pour mission de :
Contacts presse Agence SHADOW Communication
Karima Doukkali – karimadoukkali@shadowcommunication.fr – 07 77 36 64 10