Suite à la débâcle de SolarWinds, le gouvernement américain a décidé de serrer la vis. Selon Reuters, un ordre exécutif devrait bientôt être signé par le président Biden pour, notamment, contraindre les éditeurs à alerter les agences fédérales, avec lesquelles ils travaillent, s’ils sont piratés. Ils devront également coopérer avec le FBI et l’agence de cybersécurité CISA pour la résolution des incidents.
L’objectif de cette mesure est d’éviter qu’un éditeur soit utilisé comme tremplin pour pirater ses clients, comme cela est arrivé avec SolarWinds, qui a involontairement diffusé des portes dérobées à plus de 18 000 clients.
Le Congrès des États-Unis avait déjà tenté, par le passé, d’introduire une obligation de notification au niveau national, mais ce projet n’a pu aboutir en raison des réticences des acteurs industriels. La catastrophe de SolarWinds montre que c’est la bonne voie.
A découvrir aussi en vidéo :
L’Union européenne dispose également d’une obligation de notification, et cela depuis 2016 dans le cadre de la directive NIS (Network and Information Security). Elle a été transposée en France en 2018 et concerne les « opérateurs de services essentiels » (OSE) ainsi que les « fournisseurs de service numérique » (FSN). En cas d’incident, ces acteurs sont obligés de prévenir leur autorité nationale compétente. En France, c’est l’ANSSI.
Toutefois, un éditeur tel que SolarWinds ne semble pas être soumis à cette loi européenne. D’après le site de l’ANSSI, la catégorie FSN ne couvre que trois catégories : les places de marché en ligne, les moteurs de recherche en ligne et les services cloud « qui permettent l’accès à un ensemble modulable et variable de ressources informatiques pouvant être partagées ».
Un service de mise à jour logicielle ne rentre dans aucune de ces définitions. Des améliorations sont donc également possibles de ce côté-ci de l’Atlantique.
Source : Reuters
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.