Les professionnels ont besoin d’une protection contre la Loi sur l’utilisation abusive de l’ordinateur

Au cours des derniers mois, le gouvernement a montré qu’il comprenait que nous avons besoin d’une action urgente pour rendre le monde en ligne plus sûr. Dans le discours de la Reine de cette année, le gouvernement a annoncé son intention de présenter un projet de loi sur la sécurité en ligne, une nouvelle frontière pour la législation cybernétique qui promet de protéger les utilisateurs en ligne contre l’exploitation criminelle comme jamais auparavant.

Mais en matière de cybersécurité, la protection des utilisateurs en ligne n’est que la moitié de la bataille. Tout au long de la pandémie mondiale de Covid-19, les entreprises ont été victimes d’un barrage de cyberattaques, avec des criminels et des États-nations hostiles cherchant à exploiter nos faiblesses lorsque nous avons été les plus vulnérables.

De nombreux RSSI ont alerté leurs employeurs sur l’immense stress de leurs rôles au cours de la dernière année. Il ne s’agit pas seulement de données client sensibles à risque – les cybercriminels ciblent de plus en plus les infrastructures nationales, avec des attaques l’année dernière contre les autorités locales, les services de santé et les écoles.

Alors que les cyber-professionnels subissent des pressions pour lutter contre la menace, on peut espérer que notre législation actuelle leur sera dopée. Malheureusement, nos équipes de sécurité ont été paralysées par les lois mêmes conçues pour les protéger.

La Loi de 1990 sur l’utilisation abusive de l’ordinateur (LMC) a été introduite à l’époque où nous nous télécopions tous les uns les autres à partir de bureaux avec des modems hurlants. Bien que la Loi soit certes souple pour son âge, les professionnels de la cybersécurité ne peuvent plus garantir qu’elle peut les protéger dans leur secteur d’activité. Une étude produite par la campagne CyberUp a révélé que 80% des professionnels de la cybersécurité opérant au Royaume-Uni craignaient d’être accidentellement en infraction avec la loi.

Le principal problème de la CMA 1990 est l’autorisation. L’autorisation – ou l’absence d’autorisation – est au cœur de la loi, criminalisant l’accès non autorisé aux systèmes informatiques. Cela implique souvent des cyberattaques telles que des attaques de logiciels malveillants ou de ransomware, qui cherchent à perturber les services, à obtenir des informations illégalement ou à extorquer des individus ou des entreprises.

Selon l’AMC 1990, un acte accompli relativement à un ordinateur n’est pas autorisé si la personne qui fait l’acte (ou qui le fait accomplir) :

• N’est pas lui-même une personne qui a la responsabilité de l’ordinateur et qui a le droit de déterminer si l’acte peut être accompli.
• N’a pas le consentement à l’acte d’une telle personne.

Cependant, avec l’évolution vertigineuse du monde numérique, nos législateurs se sont concentrés sur la façon dont les criminels se sont adaptés sans réfléchir à la façon dont l’industrie de la cybersécurité s’est également adaptée. L’AMC n’offre aucun moyen de tenir compte des motifs des personnes ou de reconnaître les circonstances dans lesquelles un tel accès pourrait être jugé légitime, comme les tests de pénétration avec permission.

Cela peut laisser ceux qui croient que leurs enquêtes et activités informatiques améliorent la cybersécurité et sont éthiques, à la merci des décisions prises par le Service des poursuites de la Couronne.

La loi compromet la cyber-résilience du Royaume-Uni en empêchant les professionnels de la cybersécurité de mener des recherches sur les renseignements sur les menaces contre les cybercriminels et les acteurs des menaces géopolitiques sans crainte de poursuites.

Cela laisse l’infrastructure nationale critique du Royaume-Uni à un risque accru, incapable de rester en avance sur les menaces posées par les cyber-acteurs hostiles. Il est temps de saisir l’occasion d’élaborer des lois du 21e siècle, rendant le pays – nos organismes publics et nos infrastructures – plus sûr et plus sécuritaire.

Plus tôt en 2021, le gouvernement a annoncé qu’il prévoyait revoir la CMA 1990. Il se concentre sur la façon dont nous pourrions élaborer de nouvelles sanctions pénales pour les cybercriminels. Toutefois, l’importance de soutenir et de permettre un nouveau régime de protection de la cybersécurité ne semble pas encore s’être inscrite.

Chez SASIG, nous avons encouragé nos membres de l’industrie de la cybersécurité à participer aussi pleinement que possible à l’examen. Nous espérons que, si le gouvernement prend au sérieux la cybersécurité nationale, il envisagera également d’appuyer ceux qui sont en cyber-ligne de front.