
Cyber Resilience Act : des experts cyber opposés aux divulgations de failles
Articles du même auteur :
3
4
Le projet de loi européen veut obliger les éditeurs de logiciels à révéler aux agences gouvernementales toute vulnérabilité découverte.
Une cinquantaine d’experts en cybersécurité ont demandé aux instances européennes de revenir sur l’exigence de divulgation des vulnérabilités du Cyber Resilience Act (CRA), dans une lettre ouverte publiée le 3 octobre 2023. Les signataires réclament la suppression ou la modification profonde de l’article 11 de ce projet de loi européen, en cours de discussion.
Cet article exige en effet que les éditeurs de logiciels divulguent leurs vulnérabilités non corrigées aux agences gouvernementales européennes, dans les 24 heures suivant leur découverte. « Cela signifie que des dizaines d’agences gouvernementales auraient accès à une base de données en temps réel des logiciels dont les vulnérabilités n’ont pas été corrigées », peut-on lire dans le courrier.
Précipiter ainsi le processus de divulgation comporte, selon les experts cyber, trois risques majeurs :
Les signataires soulignent par ailleurs que « le CRA exige déjà des éditeurs de logiciels qu’ils atténuent les vulnérabilités sans délai (…). Nous soutenons cette obligation, mais nous plaidons également en faveur d’un processus de divulgation responsable et coordonné, qui concilie le besoin de transparence et le besoin de sécurité ».