Les professionnels de la sécurité craignent des poursuites en vertu des lois dépassées du Royaume-Uni

Une écrasante majorité de 80% des professionnels de la cybersécurité actuellement actifs au Royaume-Uni craignent qu’ils puissent enfreindre la loi simplement en allant sur leur travail dans la défense contre les cyberattaques grâce aux lois dépassées du Royaume-Uni, selon un nouveau rapport produit par la campagne CyberUp et techUK.

CyberUp – un groupe composé d’un certain nombre d’associations industrielles et de fournisseurs de cybersécurité – souhaite que la Computer Misuse Act (CMA) de 1990 soit réformée parce qu’elle a criminalisé par inadvertance les techniques défensives communes utilisées par les professionnels de la sécurité et n’est plus adaptée à ses besoins.

Par exemple, la section 1 de l’AMC interdit l’accès non autorisé à tout programme ou donnée détenu dans un ordinateur. Étant donné que les activités de sécurité défensive impliquent souvent la numérisation et l’interrogatoire de systèmes compromis – et qu’on ne peut demander le consentement d’un cybercriminels pour autoriser l’accès – un procureur pourrait soutenir avec succès que les défenseurs ont enfreint la loi.

La députée Ruth Edwards, qui dirigeait auparavant la politique de cybersécurité pour techUK, a déclaré : « La Computer Misuse Act, bien que leader mondial au moment de son introduction, a été mise sur le livre des statuts lorsque 0,5 % de la population utilisait Internet. Le monde numérique a changé au-delà de la reconnaissance, et cette enquête montre clairement qu’il est temps que la Loi sur l’utilisation abusive des ordinateurs s’adapte.

« Cette année a été dominée par une urgence de santé publique – la pandémie du coronavirus, mais elle a également mis notre dépendance à l’égard de la cybersécurité en relief. Nous avons vu des tentatives de pirater des essais de vaccins, des campagnes de désinformation reliant la 5G au coronavirus, une vaste gamme d’escroqueries liées au coronavirus, une augmentation du travail à distance et plus de services se déplacent en ligne.

« Notre dépendance à l’égard des technologies numériques sûres et résilientes n’a jamais été aussi grande. Si jamais il devait y avoir un moment pour donner la priorité à la modernisation rapide de notre cyber législation, et revoir la Loi sur l’utilisation abusive des ordinateurs, c’est maintenant », a-t-elle déclaré.

L’étude est le premier travail visant à quantifier et à analyser les points de vue de la communauté de la sécurité au Royaume-Uni sur cette question, et les militants disent avoir trouvé des préoccupations et une confusion substantielles au sujet de l’AMC qui entravent les cyberdéfenses du Royaume-Uni. Ils ont trouvé des preuves qu’au plus fort des cyberattaques liées à la pandémie covid-19 au printemps 2020, certains chercheurs ont été empêchés de prévenir les préjudices causés aux entreprises et aux citoyens en raison d’un manque de certitude quant à leur situation juridique.

Plus largement, il a constaté que 91 % des entreprises estimaient que l’AMC les laissait dans une position désavantageuse sur le plan de la concurrence par rapport aux pays qui avaient des régimes juridiques supérieurs – ou plus permissifs – en matière de cybersécurité. Un nombre similaire croyait qu’une modification de la loi augmenterait la croissance et la productivité. La campagne a estimé que si la moyenne des derniers chiffres pour les revenus et l’emploi dans le secteur de la sécurité, la modification de la loi pourrait bénéficier aux entreprises britanniques à hauteur de 1,6 milliard d’euros, et même créer de nouveaux emplois.

Ed Parsons, directeur général de F-Secure Consulting et porte-parole de la campagne CyberUp, a déclaré : « Les résultats de l’enquête soulignent que de nombreux professionnels de la cybersécurité, à l’heure actuelle, doivent effectuer leur travail d’une main attachée dans le dos afin de rester dans le respect de la loi. La réforme de l’AMC rendra l’industrie britannique de la cybersécurité plus compétitive et plus attrayante à un moment où les compétences en cybersécurité sont rares et très demandées.

« Pendant ce temps, la pandémie actuelle a non seulement souligné notre dépendance à l’égard de la technologie numérique, mais aussi accéléré les changements dans l’architecture d’entreprise, augmentant ainsi la complexité des environnements que nous devons protéger. Aujourd’hui plus que jamais, nous avons besoin de définitions juridiques claires pour nous assurer que les professionnels de la cybersécurité qui croient raisonnablement avoir l’autorisation d’agir peuvent légitimement le faire.

Julian David, PDG de TechUK, a déclaré que les conclusions de l’étude corroboraient ce que ses membres lui disaient – qu’elle freine les affaires.

« Alors que le gouvernement élabore sa prochaine stratégie nationale de cybersécurité et continue d’investir fortement dans le secteur, nous assurer de développer le cadre juridique approprié pour les entreprises de cybersécurité est un élément essentiel de notre succès futur », a-t-il déclaré.