Les US rejoindraient donc le GDPR et la China Cybersecurity law, entre autres ?
Ca n'est pas une mauvaise chose (même si en terme de données personnelles et consentement ils sont encore loin derrière la norme) -- Benjamin Le 17 novembre 2017 à 10:02, Michel Py <[email protected]> a écrit : > Traduit de : > http://www.zdnet.com/article/trump-administration-releases- > secret-rules-on-disclosing-security-flaws/ > > L'administration Trump publie des règles sur la divulgation des failles de > sécurité. > > Le coordinateur de la cybersécurité de la Maison Blanche a déclaré que les > règles sont «vitales» pour assurer un équilibre entre la divulgation > publique et la conservation des failles des opérations de renseignement. > > > L'administration Trump a publié un ensemble de règles non classifiées pour > décider si une faille de sécurité doit être partagée ou gardée privée. > > Rob Joyce, coordinateur de la cybersécurité de la Maison Blanche, a > déclaré mercredi à Washington que les règles mettraient fin aux années de > secret sur le soi-disant processus d'équité des vulnérabilités (VEP) et > calmeraient les rumeurs selon lesquelles le gouvernement aurait un "vaste > stock" des vulnérabilités qu'il peut utiliser pour des attaques offensives. > > Le mouvement est considéré comme un acte de transparence rare par le > gouvernement, qui a gardé les règles secrètes depuis leur création sous > l'administration Obama. > > Les règles ont été affichées sur le site Web de la Maison Blanche une > heure après le discours de Joyce. Une fiche d'information a également été > publiée. > Sous l'administration Obama, le gouvernement a créé le comité d'examen > multi-agences pour déterminer si une faille découverte par la communauté du > renseignement devait être divulguée en privé à des entreprises > technologiques, ou garder un secret pour pouvoir les utiliser pour > effectuer des opérations de renseignement telles que le piratage et > l'exploitation du réseau. > Les critiques affirment que le gouvernement peut mettre en danger la > cybersécurité des individus et des entreprises en stockant des > vulnérabilités, et ne pas les divulguer à des partenaires de l'industrie > qui peuvent les réparer avant que les criminels trouvent et commencent à > les exploiter. > > Mais le gouvernement soutient que le processus équilibre les besoins des > organismes d'application de la loi et de renseignement tout en s'assurant > que les vulnérabilités plus grandes et plus dangereuses sont divulguées et > corrigées par la suite. > > Dans un billet de blog, Joyce a déclaré que la transparence est «critique» > et que la publication des règles est «importante pour établir la confiance» > dans le processus, y compris les agences impliquées. > > Joyce a confirmé que les agences comprennent le ministère du Commerce, de > la Défense et de l'Énergie; La sécurité intérieure; le service secret; et > le bureau du directeur du renseignement national, y compris la National > Security Agency et la Central Intelligence Agency; le Trésor, le > Département d'Etat et la Maison Blanche. > > Les règles nouvellement révélées montrent que si le conseil décide de > garder une vulnérabilité privée, le conseil doit réévaluer sa décision > chaque année. > > Et Joyce a déclaré que le gouvernement publiera un rapport annuel > fournissant des informations sur le travail du VEP. > > La communauté de la sécurité, qui demande au gouvernement de divulguer les > détails de ce processus depuis des années, a longtemps cru que le > gouvernement tenait plus d'exploits qu'il ne le disait. La NSA n'est pas > seulement chargée de trouver des vulnérabilités; Les rapports montrent que > l'agence a dépensé 25 millions de dollars pour acheter des détails sur des > vulnérabilités non divulguées auparavant à des tiers en une seule année. > > Joyce a réaffirmé à partir des commentaires précédents que plus de 90% des > vulnérabilités sont divulguées aux partenaires, mais ne dirait pas s'il > s'agissait d'un processus immédiat ou éventuel. > > "La charte comprend une déclaration claire que les vulnérabilités ne > peuvent pas être stockées et que la divulgation devrait être la > présomption", a déclaré Michelle Richardson au Centre pour la démocratie et > la technologie, dans un courriel. > > "Il est extrêmement important et bénéfique que ce soit la politique > publique officielle du gouvernement américain", a-t-elle déclaré. > > Le rapport non classifié arrive moins d'un an après le vol d'un ensemble > d'outils de piratage de la NSA, et est utilisé pour lancer une attaque de > ransomware mondiale à grande échelle. Les outils volés ont permis aux > pirates d'infecter silencieusement les ordinateurs Windows avec une porte > dérobée pour ensuite lancer le ransomware WannaCry. D'autres outils ont > permis aux analystes de la NSA de pénétrer dans une gamme de systèmes, > d'équipements de réseau et de pare-feu, et plus récemment, de serveurs > Linux et de divers systèmes d'exploitation Windows. Les entreprises se sont > efforcées de corriger les vulnérabilités après l'attaque de WannaCry. > > Les pirates associés à la Corée du Nord ont été blâmés pour l'attaque, en > dépit des dénégations de Pyongyang. > > Cette décision a incité le Congrès à annoncer une législation visant à > empêcher le gouvernement de stocker des vulnérabilités, des outils de > piratage et des armes électroniques. > > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
