Cybersecurity : nouvelle loi allemande pour protéger les chercheurs
Un projet de loi pour protéger les chercheurs en cybersécurité
Le ministère fédéral de la Justice en Allemagne a annoncé un projet de loi innovant qui pourrait changer la donne dans le domaine de la cybersécurité. Cette législation vise à protéger les chercheurs qui identifient et signalent des vulnérabilités informatiques en les soustrayant à toute poursuite pénale. Avec ce projet d’amendement au § 202a du Code pénal allemand, le ministère espère encourager la recherche en sécurité, une pratique souvent risquée pour les chercheurs en raison des lois strictes en matière de cybercriminalité.
Pourquoi ce projet de loi est-il nécessaire ?
La cybersécurité est devenue une priorité dans un monde où la transformation numérique expose les systèmes informatiques à des risques toujours plus importants. Des organisations cruciales, telles que les hôpitaux, les infrastructures de transport et les institutions gouvernementales, sont vulnérables aux cyberattaques. Les chercheurs en sécurité jouent un rôle clé dans la protection de ces systèmes en identifiant les failles avant que des cybercriminels ne puissent en tirer profit.
Cependant, la loi actuelle expose souvent les chercheurs à des risques juridiques, les classant parfois dans la même catégorie que les hackers malveillants. En conséquence, certains chercheurs hésitent à révéler des failles de sécurité, ce qui peut laisser des systèmes critiques vulnérables. En offrant une protection juridique aux chercheurs de bonne foi, le gouvernement allemand espère renforcer la sécurité globale des infrastructures numériques.
Les détails de l’amendement proposé au Code pénal
Le projet de loi modifie la section 202a du Code pénal allemand, qui traite du délit d’espionnage de données. Actuellement, ce texte stipule qu’un accès non autorisé à des données protégées est punissable. Cependant, le nouvel amendement précise que cet accès ne sera pas considéré comme « non autorisé » s’il est réalisé dans le but de découvrir et signaler une vulnérabilité en vue de protéger le système.
Voici les principaux éléments de cet amendement :
- Exceptions pour les chercheurs : Le texte exclut explicitement de la définition d’accès non autorisé les activités visant à identifier une faille et à en informer les autorités compétentes.
- Conditions de protection : Pour bénéficier de cette protection, les chercheurs doivent démontrer que leur accès aux données est motivé par la sécurité et qu’ils suivent les pratiques de divulgation responsable.
- Définition de divulgation responsable : Le projet de loi exige que les chercheurs en sécurité signalent leurs découvertes aux autorités compétentes, telles que les gestionnaires du système affecté ou les fabricants.
L’importance de la divulgation responsable
La divulgation responsable est une procédure clé en cybersécurité, qui consiste à signaler une vulnérabilité de manière confidentielle aux responsables du système concerné avant toute communication publique. Cette démarche permet aux entreprises de corriger les failles avant qu’elles ne soient exploitées. Le projet de loi allemand place la divulgation responsable comme un critère central pour bénéficier de la protection, ce qui devrait encourager une collaboration entre chercheurs et entreprises pour le renforcement de la sécurité.
Le soutien politique et les retombées du projet
Le ministre fédéral de la Justice, Marco Buschmann, a affirmé que les chercheurs en cybersécurité devraient recevoir reconnaissance et soutien pour leur contribution essentielle, et non des poursuites judiciaires. Selon lui, il est « dans l’intérêt supérieur de la société » de faciliter la découverte et la correction des failles. Cette initiative a reçu un accueil favorable de la part des experts en sécurité et des entreprises, qui y voient une avancée vers un environnement numérique plus sûr.
Comparaison avec la législation américaine et le Computer Fraud and Abuse Act
Aux États-Unis, le Computer Fraud and Abuse Act (CFAA) reste l’une des lois les plus strictes en matière de cybercriminalité, mais elle est souvent critiquée pour son manque de clarté et ses effets dissuasifs sur la recherche en sécurité. Bien que le ministère de la Justice ait annoncé des réformes en 2022 pour protéger les chercheurs de bonne foi, ces protections demeurent limitées et ne sont pas inscrites directement dans la loi.
L’amendement allemand pourrait servir de modèle pour d’autres pays en recherche de solutions pour équilibrer la sécurité et la protection juridique des chercheurs. En introduisant des exceptions claires et des critères de divulgation, cette réforme pourrait inspirer d’autres gouvernements à suivre le même chemin pour protéger les chercheurs.
Cas emblématiques et incidents récents
Plusieurs cas médiatisés montrent les risques auxquels font face les chercheurs en cybersécurité :
- Rob Dyke au Royaume-Uni : En 2021, Rob Dyke a été contacté par la police après avoir découvert une exposition de données sensibles sur GitHub. Bien qu’il ait suivi les procédures de divulgation responsable, il a été traité comme un suspect.
- David Leroy Ross Jr. aux États-Unis : Poursuivi pour avoir partagé des informations concernant une attaque de ransomware, ce cas montre les conséquences potentielles des lois strictes pour les chercheurs en sécurité.
Ces cas ont suscité un appel à des réformes pour protéger les chercheurs en sécurité, surtout lorsqu’ils agissent de bonne foi et dans le but de renforcer la cybersécurité.
L’impact potentiel de cette législation pour les entreprises et les chercheurs
L’adoption de cette loi permettrait de renforcer la confiance entre chercheurs et entreprises, facilitant une collaboration plus ouverte. En protégeant les chercheurs, l’Allemagne pourrait devenir un centre d’excellence en cybersécurité, attirant des talents et encourageant les innovations dans ce domaine.
De plus, cette loi pourrait inspirer les entreprises à revoir leurs pratiques de sécurité, car une protection accrue des chercheurs incitera davantage de professionnels à signaler les failles. Cela pourrait être particulièrement bénéfique pour les entreprises du secteur public et les infrastructures critiques.
Perspectives et prochaines étapes
La période de consultation publique pour cette proposition dure jusqu’au 13 décembre 2024, après quoi elle sera examinée par le Parlement allemand. La communauté des chercheurs en sécurité, ainsi que les entreprises et les citoyens, sont invités à exprimer leurs opinions pour affiner ce projet de loi.
Si le Parlement adopte cette loi, elle pourrait transformer les pratiques de recherche en cybersécurité en Allemagne et servir de modèle à d’autres pays.