L'ANSSI renforce la responsabilité des acteurs privés aux côtés de l'OCDE

Le groupe de travail sur la sécurité dans l'économie numérique (GTSEN), présidé par Yves Verhoeven, sous-directeur Stratégie au sein de l'ANSSI, vient de rendre publics deux rapports visant à mieux définir la responsabilité des acteurs privés dans le cyberespace (Appel de Paris), afin d'en renforcer sa stabilité.

Publié le 18 Mars 2021 Mis à jour le 18 Mars 2021

Les deux rapports, soumis à validation en novembre 2020, viennent compléter les travaux de l'OCDE (Organisation de coopération et de développement économique) destinés à renforcer la sécurité et la confiance dans les technologies de l'information et des communications, et notamment sa Recommandation de 2015 sur la gestion du risque numérique via le renforcement de la sécurité des produits et services et l’amélioration de la gestion responsable des vulnérabilités.

Volet « renforcement de la sécurité des produits et services numériques »

Le rapport sur la sécurité numérique des produits et services couvre le marché des « produits intelligents », aujourd'hui considéré comme défaillant. L’une des principales recommandations mise en exergue soutient l’adoption de mesures réglementaires ex-ante de haut niveau afin d'élever la sécurité globale du secteur. Cette piste doit d'ailleurs faire l'objet d'un examen au sein de l'Union européenne, comme l'a annoncé la Commission européenne dans sa stratégie de cybersécurité dévoilée en décembre 2020, à la suite notamment des discussions menées entre Etats membres sur la sécurité de l'Internet des objets.

Volet « gestion responsable des vulnérabilités »

Ce second rapport s’attelle à identifier des moyens pour restreindre la fenêtre d’exposition d’une vulnérabilité, de sa découverte à sa remédiation. Le GTSEN s’est efforcé de clarifier les notions, distinctes, de gestion et divulgation responsables des vulnérabilités. Les politiques de chasses aux bogues (bug bounty) devraient notamment être accompagnées de mesures organisationnelles et de capacités adéquates pour gérer la remontée de vulnérabilités. Cet axe d'amélioration a également été identifié par la Commission européenne, qui a proposé, dans son projet de révision de la directive NIS présenté en fin d'année 2020, plusieurs mesures en ce sens.

Un an après sa mise en place, le GTSEN continue ses travaux : un troisième axe de travail sur la « réponse responsable » a été initié en décembre 2020, avec la constitution d'un groupe d'experts qui devrait de nouveau se réunir prochainement.