Mercredi 16 octobre, l’InterCERT a diffusé un communiqué, exigeant la possibilité d’engager la responsabilité des éditeurs et fournisseurs de logiciels. L’association condamne l’impunité de ces offreurs face aux dégâts causés par des systèmes défaillants.
L’association des CERTs, l’InterCERT France, signe son coup de gueule contre les fournisseurs et les éditeurs, qu’elle tient pour responsables des dysfonctionnements cyber récurrents. L’objectif : rééquilibrer la relation entre les offreurs et les organisations clientes. Le collectif réclame la légifération de clauses de responsabilités et de pénalités à l’encontre des éditeurs et des fournisseurs, en cas de failles sécuritaires ou de bugs informatiques structurels et récurrents. La loi pourrait également réprimander l’inexistence, l’insuffisance ou l’inopérance des programmes correctifs.
Des cybermenaces internes
« La liste des fournisseurs de solutions de sécurité aux technologies obsolètes et souffrant de nombreuses vulnérabilités est longue ! », alerte Frédéric Le Bastard, président de l’InterCERT France. Failles de sécurité et portes dérobées, le matériel obsolescent est une véritable passoire sécuritaire. Les gestionnaires de crise réclament une validation des produits de sécurité par l’Agence nationale de la sécurité des systèmes d’information (Anssi) en France ou l’Office fédéral de la sécurité des technologies de l’information (BSI) en Allemagne.
Assurer une réponse corrective
“Mais, regrette Frédéric Le Bastard, lorsque surviennent incidents et crises, ils sont souvent aux abonnés absents.” Pour y remédier, dans les cas où les éditeurs et fournisseurs de logiciels ne proposent pas de programmes correctifs efficaces et rapides, l’InterCERT suggère l’utilisation des technologies et produits d’open source. La réactivité des communautés et leurs compétences d’identification des menaces séduisent les professionnels de la gestion de crise cyber. En contrepartie, ce revirement impliquerait la formation et le recrutement d’ingénieurs et d’administrateurs, déjà rares, à de nombreuses technologies. Reste que le coût de cette solution pèserait une fois de plus sur les organisations clientes victimes des frais de changement de fournisseur.