InterCERT France

Paris La Défense, le 16 octobre 2024 – Face aux dysfonctionnements cyber fréquents, l’association française des CERT plaide pour un renforcement de la régulation du marché de la sécurité numérique. Pour les experts qui composent l’InterCERT France, il existe un déséquilibre chronique anormal dans la relation entre les éditeurs de logiciels et les organisations clientes de ces derniers. C’est pourquoi, ils appellent à un changement du cadre légal qui permettrait de créer des clauses de responsabilité et de pénalités des fournisseurs et éditeurs lorsque les manquements des produits de cyber sécurité sont structurels et récurrents, et que les programmes correctifs sont inexistants, insuffisants ou inopérants.

L’InterCERT France, le collectif des CERTs, réuni en association, dénonce plusieurs points

Lorsque surviennent une faille sécuritaire ou un bug informatique, les éditeurs dont les solutions sont concernées par ces défaillances ne sont jamais redevables ni concernées par la réparation des dommages et dégâts causés. Pourquoi ?

C’est pour dénoncer cet état de fait que l’InterCERT France a décidé de s’exprimer publiquement en faveur d’une régulation.

« Dans le numérique, on parle aisément des menaces cyber associées à des actes malveillants et criminels. On parle en revanche plus rarement des menaces issues des failles provenant des fournisseurs de solutions de sécurité et des vides réglementaires et juridiques associés. Or ces failles génèrent d’importants préjudices que nous – professionnels de la gestion des incidents cyber – devons résoudre. Nous ne trouvons pas cela normal ni cohérent que les fournisseurs de matériels et de logiciels ne soient pas soumis à un cadre strict et tenus responsable des dommages détériorations qu’ils occasionnent dans le système d’information de leurs clients. » alerte Frédéric Le Bastard, Président de l’InterCERT France.

Dans le domaine cyber, la liste des amateurismes et des malfaçons est longue. Nombre de fournisseurs en sécurité livrent à leurs clients des produits reposant sur des technologies dépassées, contenant quantité de failles de sécurité et pouvant contenir des portes dérobées.

Ces acteurs n’assurent ni la fourniture de correctifs en temps voulu, ni une assistance technique adaptée lorsque les risques se transforment en attaques (vol ou altération de données, usurpation d’identités, perturbation ou arrêt d’activités, etc.) aux conséquences graves pour les organisations, les personnes, les bilans financiers.

« La liste des fournisseurs de solutions de sécurité aux technologies obsolètes et souffrant de nombreuses vulnérabilités est longue ! Lorsque surviennent incidents et crises, ils sont souvent aux abonnés absents. Nous sommes mobilisés pour faire évoluer la situation et avons envisagé plusieurs solutions. » ajoute Frédéric Le Bastard.

 

L’InterCERT France propose plusieurs solutions

Face aux défaillances des éditeurs et fournisseurs, ce sont les directions informatiques, les pôles cyber et les CERT qui se retrouvent en première ligne à gérer les crises.

Pour L’InterCERT France, il est urgent de faire évoluer la situation. L’association a identifié plusieurs leviers d’actions et travaille à bien définir les atouts et risques de chacun, consciente que la solution parfaite n’existe pas.

1 – Le collectif propose l’utilisation de produits de sécurité validés par des instances gouvernementales, telles que l’Agence nationale de la sécurité des systèmes d’information en France ou l’Office fédéral de la sécurité des technologies de l’information (BSI) en Allemagne.

2 – Dans certains cas, les experts de l’association se sont penchés sur la possibilité d’utiliser plus de technologies et de produits open source, documentés et disposant de communautés réactives et compétentes dans l’identification des menaces. Cette solution nécessite de recruter et de former des ingénieurs et des administrateurs à de nombreuses technologies, dans un métier où les compétences disponibles sont rares. Par ailleurs, cela implique des conditions liées au changement de fournisseur (coût élevé, qualification des équipements, accoutumance, déploiements à grande échelle, alignement des systèmes de détection).

3 – L’InterCERT France estime qu’il faut agir en droit.

La seule manière de faire évoluer l’attitude et les pratiques de fournisseurs commercialisant des produits dépassés et faillibles, et n’assurant pas un service de support digne de ce nom, est de créer un cadre légal. C’est par la Loi qu’il sera possible de faire pression sur ces fournisseurs, en engageant leur responsabilité et en leur imposer des pénalités conséquentes à leurs manquements.

==> Pour en savoir plus sur la démarche de l’InterCERT France, un article dédié est disponible sur le blog de l’association : Les CERT, équilibristes du risque, dernier rempart face aux éditeurs 

Le blog de l’InterCERT France, un véritable manifeste !

Les risques cyber représentent un « bouillon de culture » permanent et planétaire, aux formes démultipliées, aux vitesses de propagation fulgurantes, aux conséquences désastreuses…

Si les CERT interviennent la plupart du temps « en bout de chaîne », quand le mal est fait et le virus dans la place, le blog de l’InterCERT France a pour objectif de diffuser une vision globale et préventive de la sécurité informatique, de témoigner des enjeux, et de lutter contre l’à-peu-près, la mésinformation et la désinformation propagées sur ces sujets.

La volonté de l’association est d’agir en éclaireurs des entreprises, des services publics et des citoyens car le cyberespace, fondement essentiel de nos vies, doit rester un espace sûr et de confiance.

Le blog de l’InterCERT France met en lumière les expertises des CERT en matière de cybersécurité, afin qu’elles puissent éclairer les choix technologiques des organisations. En passant de l’ombre à la lumière, le “collectif” veut faire évoluer le paradigme du métier : réduire en amont les possibilités offertes aux cyber assaillants, et mieux traiter ainsi les menaces à l’œuvre en aval.

A propos de l’InterCERT France – https://www.intercert-france.fr 

Fondée en 2021, en réponse à la croissance significative de sa communauté, l’association InterCERT France est née de la volonté de ses membres de pérenniser un réseau d’organisations ayant des activités de réponse à incident d’origine cyber souvent dénommés CERT, (Computer Emergency Response Team, ou CSIRT, Computer Security Incident Response Team) sur le territoire français.

Présidée par Frédéric Le Bastard, l’InterCERT France a pour mission de :

  • Faciliter et encourager les échanges d’informations techniques et de bonnes pratiques en matière de réponse à un incident cyber et de connaissance sur la menace,
  • Promouvoir une coopération rapide et effective au niveau opérationnel permettant de mieux appréhender les attaques,
  • Contribuer à accentuer la maturité de la sécurité des systèmes d’information par l’aide auprès des équipes les plus récentes ou en cours de constitution,
  • Promouvoir le modèle CERT / CSIRT en France et soutenir le développement de ces derniers à travers le parrainage et l’organisation de rencontres et ateliers,
  • Partager des connaissances et savoir-faire au sein du réseau.

Contacts presse  Agence SHADOW Communication

Karima Doukkali – karimadoukkali@shadowcommunication.fr – 07 77 36 64 10