Les professionnels ont besoin d’être protégés de la Computer Misuse Act
4 min read
Au cours des derniers mois, le gouvernement a montré qu’il comprenait que nous avions besoin d’une action urgente pour rendre le monde en ligne plus sûr. Dans le discours de la Reine de cette année, le gouvernement a annoncé son intention d’introduire un Projet de loi sur la sécurité en ligne, une nouvelle frontière pour la cyberlégislation qui promet de protéger les utilisateurs en ligne contre l’exploitation criminelle comme jamais auparavant.
Mais en matière de cybersécurité, la protection des utilisateurs en ligne n’est que la moitié de la bataille. Tout au long de la pandémie mondiale de Covid-19, les entreprises ont subi un barrage de cyberattaques, des criminels et des États-nations hostiles cherchant à exploiter nos faiblesses alors que nous étions les plus vulnérables.
De nombreux RSSI ont alerté leurs employeurs du stress immense de leurs fonctions au cours de l’année écoulée. Ce ne sont pas seulement les données sensibles des clients qui sont menacées – les cybercriminels ciblent de plus en plus les infrastructures nationales, avec des attaques l’année dernière contre autorités locales, services de santé et écoles.
Alors que les cyberprofessionnels subissent des pressions pour lutter contre la menace, vous espérez que notre législation actuelle les soutienne. Malheureusement, nos équipes de sécurité ont été paralysées par les lois mêmes conçues pour les protéger.
La Computer Misuse Act (CMA) de 1990 a été introduite alors que nous nous envoyions encore tous des fax depuis des bureaux avec des modems hurlants. Bien que la loi soit certes flexible pour son âge, les professionnels de la cybersécurité ne peuvent plus garantir qu’elle puisse les protéger dans leur travail. Une étude réalisée par le CyberUp a révélé que 80 % des professionnels de la cybersécurité opérant au Royaume-Uni craignaient enfreindre accidentellement la loi.
Le principal problème de la CMA 1990 est l’autorisation. L’autorisation – ou son absence – est au cœur de la loi, criminalisant l’accès non autorisé aux systèmes informatiques. Cela implique souvent des cyberattaques telles que des attaques de logiciels malveillants ou de ransomware, qui cherchent à perturber les services, à obtenir des informations illégalement ou à extorquer des particuliers ou des entreprises.
Selon la CMA 1990, un acte posé en relation avec un ordinateur est non autorisé si la personne qui fait l’acte (ou le fait faire) :
- N’est-il pas lui-même une personne qui a la responsabilité de l’ordinateur et a le droit de déterminer si l’acte peut être fait.
- N’a pas le consentement à l’acte d’une telle personne.
Cependant, avec le monde numérique évoluant à une vitesse vertigineuse, nos législateurs se sont concentrés sur la façon dont les criminels se sont adaptés sans se soucier de la façon dont le secteur de la cybersécurité s’est également adapté. L’AMC n’offre aucun moyen de prendre en compte les motivations des individus ou de reconnaître les circonstances dans lesquelles un tel accès pourrait être considéré comme légitime, comme les tests d’intrusion avec autorisation.
Cela peut laisser ceux qui pensent que leurs enquêtes et activités informatiques améliorent la cybersécurité et sont éthiques, à la merci des décisions prises par le Crown Prosecution Service.
La loi compromet la cyber-résilience du Royaume-Uni en empêchant les professionnels de la cybersécurité d’effectuer des recherches de renseignements sur les menaces contre les cybercriminels et les acteurs géopolitiques sans crainte de poursuites.
Cela laisse l’infrastructure nationale critique du Royaume-Uni à un risque accru, incapable de garder une longueur d’avance sur les menaces posées par les cyberacteurs hostiles. Il est temps de saisir l’opportunité d’élaborer des lois du 21e siècle, rendant le pays – nos organismes publics et nos infrastructures – plus sûrs et plus sécurisés.
Plus tôt en 2021, le gouvernement a annoncé qu’il envisage de revoir la CMA 1990. Il se concentre sur la façon dont nous pourrions développer de nouvelles sanctions pénales pour les cybercriminels. Cependant, l’importance de soutenir et de permettre un nouveau régime de protection pour la cybersécurité ne semble pas encore avoir été enregistrée.
À SASIG, nous avons encouragé nos membres du secteur de la cybersécurité à participer aussi pleinement que possible à l’examen. Nous espérons que, si le gouvernement prend la cybersécurité nationale au sérieux, il envisagera également de soutenir ceux qui sont en première ligne en matière de cybersécurité.
