Des entreprises technologiques forment une coalition pour renforcer la cybersécurité
Alors que l’UE finalise sa nouvelle législation en matière de cybersécurité pour obliger les vendeurs et les prestataires de services à fournir des mises à jour de sécurité tout au long de la durée de vie d’un produit, des entreprises technologiques de premier plan prennent les devants.
Alors que l’Union européenne finalise sa nouvelle législation en matière de cybersécurité pour obliger les vendeurs et les prestataires de services à fournir des mises à jour de sécurité tout au long de la durée de vie d’un produit, des entreprises technologiques de premier plan prennent les devants.
La Coalition pour la résilience du réseau (Network Resilience Coalition) a été annoncée mardi (25 juillet) avec 11 membres fondateurs, dont Cisco, Intel, AT&T, Broadcom et Fortinet. Elle a pour objectif de renforcer la sécurité des mises à jour des logiciels et du matériel et d’améliorer l’atténuation des cyberrisques dans les réseaux des entreprises technologiques.
L’initiative recoupe certaines des dispositions de la législation sur la cyberrésilience (Cyber Resilience Act), un projet de loi de l’UE visant à introduire des exigences de sécurité pour les appareils connectés. En vertu du nouveau règlement sur la cybersécurité, les fabricants doivent garantir l’application de correctifs de sécurité et le traitement des vulnérabilités tout au long de la durée de vie prévue du produit.
« Trop souvent, nous voyons des organisations être victimes d’une cyberattaque parce qu’une mise à jour ou un correctif critique n’a pas été effectué », a expliqué Ari Schwartz, coordinateur de l’organisation sur la cybersécurité Center for Cybersecurity Policy & Law et l’un des principaux acteurs de la politique de cybersécurité.
Les eurodéputés entament la révision des règles en matière de responsabilité du fait des produits
Les députés européens ont commencé à examiner les premiers amendements de compromis sur les nouvelles…
6 minutes
Nouvelle coalition
Cette nouvelle coalition vise à réunir des fournisseurs de technologies, des experts en sécurité et des opérateurs de réseaux afin de combler ce manque en mettant en œuvre des mises à jour logicielles et matérielles.
Selon une déclaration de Cisco, la coalition a pour but d’aborder les questions de cybersécurité mondiale de manière ouverte et collaborative.
« Notre objectif est d’assurer une plus grande clarté sur la durée de vie du produit. C’est une étape très importante », a souligné Paul Waller, responsable de la recherche sur les capacités au National Cyber Security Centre (NCSC), basé au Royaume-Uni.
La définition de la durée de vie attendue d’un produit fait encore l’objet de discussions entre les décideurs politiques de l’UE, mais l’orientation générale est que les fabricants doivent l’établir eux-mêmes et la communiquer avant l’achat.
« Il y a de nombreuses entités qui souhaitent avoir un impact, et celles-ci tombent souvent dans deux catégories, commerciales et non commerciales », a expliqué à EURACTIV Patrick Wheeler, directeur du programme de développement de la main-d’œuvre CyberWayFinder.
« Alors que le rêve d’un partenariat public-privé se poursuit, la réalité est souvent loin de là. La liste des membres fondateurs est composée de grands acteurs commerciaux et principalement basés aux États-Unis, mais ils sont loin d’être des “influenceurs” de premier plan dans le domaine de la cybersécurité », a ajouté M. Wheeler.
Cyberrésilience : les ambassadeurs de l’UE vont approuver la nouvelle législation pour les appareils connectés
Dans une nouvelle version de la législation sur la cyberrésilience (Cyber Resilience Act), consultée par…
7 minutes
Risques liés à la cybersécurité pour les produits en fin de vie
Un produit en fin de vie est un produit qui a atteint la fin de son cycle de vie, ce qui entraîne l’arrêt des mises à jour, des services et de l’assistance de la part du fournisseur.
Les risques liés au matériel et aux logiciels en fin de vie comprennent la possibilité pour des acteurs malveillants de prendre le contrôle de l’équipement grâce à ses vulnérabilités. Les moyens d’exécuter une telle attaque comprennent le partage d’informations d’identification et les configurations par défaut, a expliqué Brad Arkin, responsable de l’organisation de la sécurité et de la confiance de Cisco.
« Le système actuel ne fonctionne pas parce que les informations sur les vulnérabilités des appareils sont accessibles au public », a ajouté M. Arkin. Il est donc particulièrement facile pour les attaquants de prendre le contrôle d’un matériel ou d’un logiciel en fin de vie.
Au Parlement européen, les eurodéputés souhaitent que chaque fois qu’un fabricant fixe la durée de vie prévue d’un produit à moins de cinq ans, les utilisateurs soient en mesure d’acquérir les produits de sécurité applicables afin de garantir une sécurité permanente.
Dans ce cas, les fabricants d’origine pourraient être contraints de divulguer le code source au fournisseur de sécurité.
Prochaines étapes
Coordonnée par le Center for Cybersecurity Policy & Law, la coalition va, dans un premier temps, rédiger un document stratégique qui servira de base.
Selon Cisco, les réunions de la coalition sont en cours et se poursuivront au fur et à mesure de l’expansion de l’organisme.
Le Comité des représentants permanents (COREPER) et la commission de l’industrie du Parlement européen ont tous deux adopté leur position sur la législation sur la cyberrésilience le 19 juillet. Les trilogues — discussions entre le Conseil européen, le Parlement et la Commission — devraient débuter en septembre.
Législation sur la cyberrésilience : les eurodéputés proches d’un accord pour les appareils connectés
Les principaux groupes politiques du Parlement européen devraient parvenir à une position commune sur la…
6 minutes
[Édité par Anne-Sophie Gayet]
