L’ EIA (Electronic Industries Alliance) rassemble plus de 2 300 entreprises de haute technologie américaines dans une structure qui assure à la fois des services de diffusion d’informations à ses membres et des opérations de lobbying.Cette association annonce la création de l’Internet Security Alliance (ISA) qui vise à regrouper des sociétés du monde entier afin de renforcer la sécurité sur Internet. Elle proposera, entre autres services, des rapports en temps réel sur les menaces informatiques et des stratégies de gestion des risques.
Des alertes en temps réel
La formation de l’ISA est le fruit d’un accord entre l’EIA et le Cert, qui assurera les fonctions de veille et de conseil. Depuis 1988, le Cert Coordination Center centralise et diffuse l’information sur les problèmes de sécurité rencontrés sur Internet, comme dans l’affaire des modems ADSL Alcatel. Le Cert est hébergé à l’université de Carnegie Mellon et financé par le département de la Défense américain, secondé par des fonds privés.Jusqu’ici, le Cert diffusait gratuitement ses alertes sécurité, mais avec certaines restrictions. En effet, lorsqu’une faille était découverte sur un équipement ou un logiciel, le Cert en informait d’abord le constructeur ou l’éditeur concerné. Seules les agences gouvernementales américaines avaient la primeur de l’alerte. Le Cert ne diffusait l’information que 30 à 45 jours plus tard, le temps pour les entreprises de corriger le problème.
Un service payant
Avec la création de l’ISA, les entreprises seront alertées dès qualification du problème par le Cert. Il leur en coûtera 70 000 dollars par an pour obtenir un accès complet aux bases de données de l’ISA. Des services plus réduits s’échelonnant entre 2 500 et 50 000 dollars sont également proposés.Le service gratuit en temps différé du Cert ne semble pas remis en cause par cette annonce.
Quelle indépendance pour l’ISA ?
Dans tous les cas, cette annonce est peu rassurante. Finançant le Cert, constructeurs et éditeurs seront sans doute tentés de faire pression sur cet organisme pour qu’il ne révèle pas certaines failles nuisibles à leur image de marque. D’autre part, le Cert pourrait se trouver associé à des opérations de lobbying décidées par l’EIA.Enfin, la diffusion d’alertes chaudes auprès d’un large public souscripteur risque de provoquer une circulation accrue d’informations sensibles exploitables par les pirates, sans même qu’une majorité d’utilisateurs d’Internet soit au courant des risques qui les menacent.On ne peut qu’espérer la création d’un organisme international réellement indépendant, et à but non lucratif, chargé dassurer des services similaires à ceux du Cert.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.