Sous le sceau de la « cyber-résilience », la Commission européenne a présenté, jeudi, une proposition législative qui viendrait renforcer la protection informatique des consommateurs et entreprises de la zone.
En voilà une bonne idée. Elle a juste 20 ans de retard…
Imposer de la sécurité pour tous les produits mis sur le marché… la volonté est louable.
Mais qui est responsable en cas de gros trou de sécurité avec un logiciel libre ?
Le développeur qui a cessé son développement quelques mois plus tôt, parce qu’il n’avait plus le temps, l’envie… ?
Personnellement le logiciel libre n’est pas ma pierre d’achoppement.
Question qui utilise journellement uniquement des logiciels développé dans l’UE? parce que ces lois ne pourront s’appliquer que pour ceux-là.
Or il suffit d’un seul logiciel non sécurisé pour rendre tout le matériel concerné vulnérable.
ce type de loi ne pourrait être applicable que sur des matériel simple entièrement développés dans l’UE encore que je ne suis même pas sûr que le logiciel d’une machine à laver moyen de gamme ne comporte pas des modules développé dans plusieurs pays.
Enfin à quoi rime une loi qui ne peut s’appliquer qu’à des matériels et à des logiciels développé au sein de l’UE alors que le matériel vient du monde entier (et si on en interdit d’entrer quels CPU, par exemple, pourrons nous avoir vu que ceux d’intel et d’amd ont tous des failles ?)
et quels OS pourrons nous avoir puisque nous n’en développons aucun de bout en bout.
Et quelle responsabilité faire payer à un fabriquant ouzbèke ou chinois qui a devant lui on marché de 7 milliards d’individu si l’UE lui ferme les portes ?
Ce genre de décision ne pourrait être valable que si elle était entériné par le monde entier.
Au delà d’être super proof anti ransomware, il faut avoir des backups de…tout. C’est la clef.
Ensuite tu gères, sans internet etc. ou simule.
Dans notre boîte on s’est fait hacker et ransoware un accès SIP. Le lendemain c’était réglé grâce aux backups + filtré la source.
A savoir aussi qu’il y a aussi des blacklists, qui vont de la VOIP aux ransomwares. Facile à mettre en place.
En dehors de la toile, qui est relativement, je dis bien, « relativement », protégée, tous ces fabricants de gadgets connectés, la plupart du temps, totalement inutiles et qui se goinfrent à nous les vendre sans protections, devraient au moins se donner la peine d’essayer de les protéger.
« Enfin à quoi rime une loi qui ne peut s’appliquer qu’à des matériels et à des logiciels développé au sein de l’UE alors que le matériel vient du monde entier » C’est très simple, la matériel non conforme n’entrerons pas. C’est exactement la phrase concernant le marquage CE, les équipements non produits en EU qui n’ont pas cette norme n’entre pas. Essayer donc d’acheter un réfrigérateur ou produit non CE…
Ces normes de sécurité ne sont pas implémentées des le départ pour des raisons de coûts.
C’était la même chose avec le marquage CE, cela entraîne des obligations donc un produit un peu plus cher. Dans la mesure ou les plus grands marchés (EU+US) appliquent des normes, les Chinois se mettrons à faire des produits conformes.
Le soucis est dans la définition de cette norme et les produits visés… J’ai bien peur que cela n’accouche sur rien de réellement concret… https obligatoire, mot de passe compliqué par défaut? ça va changer la face du monde…
" C’est très simple, la matériel non conforme n’entrerons pas "
va falloir bloquer tous les sites genre Wish, AliExpress… comment l’UE va contrôler tous ces produits qui viennent directement de Chine sans ‹ norme CE › ?
Ceux qui se soucient de la sécurité, et en particulier les entreprises, n’achètent pas des produits au rabais sur ce genre de sites… Les autres, ben ils en auront pour leur argent, tant pis pour eux…
Et pourquoi ne pourraient-elles s’appliquer qu’aux logiciels développés dans l’UE ? À partir du moment où ils sont commercialisés dans l’UE, ils devront respecter la législation européenne…
On a d’ailleurs un bel exemple de précédent : quand l’UE a exigé de Microsoft une version de Windows n’intégrant pas le Media Player, puis une version de Windows intégrant un écran de choix du navigateur au premier démarrage, Microsoft n’a pas pu dire « Windows n’est pas développé en UE », Microsoft s’est exécuté et a respecté ces exigences.
D’un point de vue commercial, l’UE est aujourd’hui le plus gros marché du monde. Peu de fabricants sont prêts à s’en passer. Et si certains s’en passent, y en aura pour saisir l’occasion et venir occuper l’espace laissé vide.
Et ce d’autant plus que du coup, ceux qui continueront à vendre en UE auront vite une réputation de plus grande sécurité dans le monde entier, et ça augmentera aussi leur part de marché ailleurs…
Là encore, on a des exemples de précédents, notamment dans l’électronique. Par exemple, quand l’UE a mis en place la directive RoHS, les fabricants ont pleuré, ont dit que ça allait leur coûter cher, y en a même qui ont menacé de ne plus vendre leurs produits en UE… Résultat des courses, aujourd’hui ils respectent tous le RoHS, et ils ne font même plus des déclinaisons RoHS/non-RoHS, ils vendent les versions RoHS dans le monde entier.
Des backups « déconnectés », très important le « déconnecté » car certains arrivent à toucher aussi aux backups sur d’autres machines comme des NAS.
Citation
Et pourquoi ne pourraient-elles s’appliquer qu’aux logiciels développés dans l’UE ?
Citation
parce qu’il suffit de payer sur internet puis de télécharger le logiciel et que la plupart des gens ne se soucient pas de la localisation du site.
Citation
D’un point de vue commercial, l’UE est aujourd’hui le plus gros marché du monde.
Citation
c’est peut-être vrai pour certaine grosses firmes et encore il faut arrêter le mythe de l’UE premier marché du monde dont on peut pas se passer cela finira par nous tuer. Le marché intérieur américain est aussi important que celui de l’Europe et ne reconnaît pas nos lois celui de la chine représente 1/4 de l’humanité et ses possibilités de croissance sont énormes. Et je ne pense pas que le monde se tourne vers l’Europe pour voir ce que nous faisons et en faire un exemple à suivre.
En ce qui concerne l’électronique et donc le matériel il y a quelque chose à faire c’est certain et là tu as raison parce qu’il faut que ce matériel arrive physiquement sur notre sol pour pouvoir y être vendu. Mais le logiciel est immatériel et tellement multiple que je ne pense pas que ce soit contrôlable à moins de contrôler l’internet comme le font les chinois.
Même remarque que concernant les achats sur Wish : ceux qui se soucient de leur sécurité feront gaffe à ce qu’ils achètent. Les autres, tant pis pour eux.
Et pourtant, il y a plus d’une fois des règles européennes qui ont inspiré d’autres États… Un exemple récent, le RGPD, dont s’est largement inspiré la Californie, en attendant un équivalent national en cours d’élaboration.
Et d’ailleurs, puisqu’on parle du RGPD, là aussi on voit que perdre le marché européen est lourd pour beaucoup : énormément de gros sites étrangers se sont mis en conformité avec le RGPD, très peu ont décidé de fermer l’accès aux visiteurs venant de l’UE…
Et la sécurité, les européens sont sans doute pas les seuls à s’en soucier… Donc quand les produits qui sont commercialisés en UE seront réputés plus sûr que ceux qui ne le sont pas, ça boostera aussi leurs ventes sur les autres marchés. Au final, ça deviendra un argument de vente…
Faut-il encore que les US soient en phase et n’aient pas un intérêt à ne pas appliquer les mêmes obligations. Autant je suis d’accord avec vous pour ce qui est matériel (si on en veut pas il est facile de l’interdire sur le territoire) autant je suis plus dubitatif pour le logiciel qu’il suffit de télécharger et de payer sur internet.
Pour avoir de la sécurité sur les cpu et le software sans compter les autres pièces hardware d’un pc, il faudrait que nous stoppions de tous vendre aux USA, que les CPU les puces de toutes sortes du moins pour celles qui jouent sur la sécurité, soient conçues et fabriquées en Europe,pour le software aussi, mais apparemment les politiques et fonctionnaires Européens s’en sont toujours battus les corones.
Les USA l’ont très bien compris et depuis longtemps.