Onze associations industrielles, parmi lesquelles Digital Europe, s’opposent au nouveau rgime indien sur la scurit de l’information et mettent en garde contre les dommages conomiques

Fin avril, l’quipe d’intervention d’urgence informatique (CERT-in) du ministre de l’lectronique et des Technologies de l’information a ordonn aux fournisseurs de rseaux privs virtuels, aux centres de donnes et aux plateformes d’changes de monnaies cryptographiques de conserver un large ventail de donnes sur leurs clients pendant cinq ans au moins, dans ce qu’il a dit tre un effort pour coordonner les activits d’intervention ainsi que les mesures d’urgence en cas d’incidents de cyberscurit . C’est une politique qui rendra probablement la vie plus difficile pour les socits VPN et les utilisateurs VPN l-bas.

Le CERT-in a annonc que les VPN du pays devront conserver les noms des clients, les adresses physiques et IP valides, les modles d’utilisation et d’autres formes d’informations personnellement identifiables. Ceux qui ne se conforment pas pourraient potentiellement encourir jusqu’ un an de prison en vertu de la loi applicable cite dans la nouvelle directive.

Comme indiqu plus haut, la directive ne se limite pas aux fournisseurs de VPN. Les centres de donnes et les fournisseurs de services cloud sont tous deux rpertoris sous la mme disposition. Les entreprises devront conserver les informations des clients mme aprs que le client a annul son abonnement ou son compte. Et, dans tous les cas, le CERT-in exigera des entreprises qu’elles signalent l’accs non autoris de leurs utilisateurs aux comptes de mdias sociaux :

Le CERT-In analyse en permanence les cybermenaces et gre les cyberincidents qui lui sont signals. Le CERT-In met rgulirement des avis aux organisations et aux utilisateurs pour leur permettre de protger leurs donnes/informations et leur infrastructure TIC. Afin de coordonner les activits de rponse ainsi que les mesures d’urgence face aux incidents de cyberscurit, le CERT-In sollicite des informations auprs des prestataires de services, des intermdiaires, des centres de donnes et des personnes morales.

Au cours de la gestion des cyberincidents et des interactions avec la circonscription, le CERT-In a identifi certaines lacunes qui entravent l’analyse des incidents. Pour combler les lacunes et les problmes identifis afin de faciliter les mesures de rponse aux incidents, le CERT-In a publi des instructions relatives aux pratiques de scurit de l’information, la procdure, la prvention, la rponse et au signalement des cyberincidents en vertu des dispositions de la sous-section (6) de la section 70B de la Loi de 2000 sur les technologies de l’information. Ces directives entreront en vigueur aprs 60 jours.

Les instructions couvrent les aspects relatifs la synchronisation des horloges des systmes TIC ; dclaration obligatoire des cyberincidents au CERT-In ; maintenance des journaux des systmes TIC ; les dtails des inscriptions des abonns/clients par les centres de donnes, les fournisseurs de serveurs privs virtuels (VPS), les fournisseurs de services VPN, les fournisseurs de services Cloud ; les normes et pratiques KYC par les fournisseurs de services d’actifs virtuels, les fournisseurs d’change d’actifs virtuels et les fournisseurs de portefeuilles de dpt. Ces orientations doivent amliorer la posture globale de cyberscurit et garantir un Internet sr et fiable dans le pays .

La plupart des VPN offrent une politique de non-journalisation, une promesse publique contre la journalisation, la collecte ou le partage des donnes d’utilisation et de navigation des clients. Les principaux services comme ExpressVPN et Surfshark fonctionnent uniquement avec des serveurs disque RAM et d’autres technologies sans journalisation, ce qui signifie que les VPN seraient thoriquement incapables de surveiller les URL rpertories dans la directive. Si les VPN en Inde sont tenus en vertu de la nouvelle directive de conserver les donnes d’enregistrement des clients – ou de surveiller et de signaler l’utilisation des mdias sociaux – beaucoup pourraient potentiellement enfreindre la loi simplement en continuant fonctionner.

Le groupe de dfense des droits numriques Access Now a rapport le mois dernier que les coupures et interruptions d’Internet imposes par le gouvernement en Inde reprsentaient 106 des 182 actions gouvernementales de ce type dans le monde, soit prs de 60 %. La directive fait galement suite des pics notables de la demande de VPN en Inde, o la socit de recherche indpendante Top10VPN estime que les fermetures ont touch 59,1 millions d’utilisateurs en 2021.

1653991770 191 Onze associations industrielles parmi lesquelles Digital Europe sopposent au nouveau

Les oppositions de l’industrie

Onze importantes associations industrielles alignes sur la technologie du monde entier auraient crit l’quipe indienne d’intervention d’urgence informatique (CERT-In) pour demander la rvision des nouvelles rgles de dclaration et de conservation des donnes de la scurit informatique du pays, qu’elles critiquent comme incohrentes, onreuses, peu susceptibles de amliorer la scurit au sein de l’Inde, et peut-tre nuisible l’conomie des nations.

Les rgles ont t introduites fin avril et sont extraordinairement larges. Par exemple, les oprateurs de centres de donnes, de clouds et de VPN sont tenus d’enregistrer les noms des clients, les dates auxquelles les services ont t utiliss, et mme les adresses IP des clients, et de stocker ces donnes pendant cinq ans.

Une autre exigence est de signaler plus de 20 types d’incidents infosec, mme l’analyse de ports ou les tentatives de phishing, dans les six heures suivant la dtection. Parmi les incidents signaler figurent les *activits malveillantes/suspectes* diriges vers presque tous les types d’infrastructures ou d’quipements informatiques, sans explication de la ligne de dmarcation entre les activits malveillantes et suspectes.

Les nouvelles rgles ont suscit de nombreuses critiques locales au motif qu’une fentre de rapport de six heures est trop courte, que l’obligation d’enregistrer les dtails des utilisateurs VPN est une atteinte la vie prive et que les exigences sont trop larges et reprsentent donc un fardeau de conformit onreux.

Le CERT-In a rpondu en publiant une FAQ qui rpondait certaines des critiques adresses aux nouvelles rgles. Mais la FAQ reste trs vague, n’offrant que des conseils limits sans aborder des questions telles que ce qui reprsente des activits suspectes signaler.

Samedi, le mdia indien MediaNama a rapport, ainsi que de nombreux autres mdias indiens, que onze groupes de pression technologiques ou adjacents la technologie avaient crit au CERT-In pour exprimer leurs objections aux nouvelles rgles.

Les signataires prsums sont des poids lourds : la Chambre de commerce des tats-Unis, The Alliance (BSA), Digital Europe, l’Information Technology Industry Council, techUK, la Cybersecurity Coalition US Chamber of Commerce, le US-India Business Council et le US-India Business Council. Forum de partenariat stratgique figurent parmi les signataires. L’adhsion collective des organisations ci-dessus signifie que presque tous les fournisseurs de technologie importants sont reprsents par un signataire de la lettre.

Parmi les objections souleves par la lettre figurent:

  • Un reportage de six heures est draisonnable et n’est requis par aucune autre nation ou bloc ;
  • La FAQ a confondu la situation – les rgles exigent que les donnes conserves soient stockes dans une juridiction indienne, mais la FAQ indique que le stockage offshore est acceptable s’il ne gne pas les enquteurs indiens*;
  • Le stockage des donnes client est fastidieux et cre un risque de scurit*;
  • Certaines des donnes de journal requises sont commercialement sensibles*;
  • Les rgles de CERT-In autorisent les rapports au format PDF, en utilisant des formats qui ne sont pas lisibles par machine, ce qui signifie que l’objectif dclar de combler les lacunes en matire de renseignement au CERT-in a peu de chances d’tre atteint.

La lettre CERT-In suggre que les rgles rendront la tche plus ardue aux entreprises trangres qui font des affaires en Inde, mettront le pays en dsaccord avec ses allis et entraneront la rpercussion des cots sur les consommateurs. Les groupes appellent une nouvelle consultation pour rviser les rgles.

Le CERT-In est jusqu’ prsent rest silencieux face aux critiques. Le ministre indien du Dveloppement des comptences et de l’entrepreneuriat et de l’lectronique et des technologies de l’information, Rajeev Chandrasekhar, a galement cart les critiques, affirmant que les fournisseurs de VPN qui n’aiment pas les rgles peuvent choisir de quitter le pays.

Source : MediaNama

Et vous ?

Les cryptomonnaies sont elles une gigantesque chaine de Ponzi Elles Que pensez-vous de cette dmarche ?

Voir aussi :

Les cryptomonnaies sont elles une gigantesque chaine de Ponzi Elles Le gouvernement indien bloque 43 applications mobiles chinoises, y compris AliExpress, pour s’tre livres des activits prjudiciables l’ordre public et la souverainet du pays

Les cryptomonnaies sont elles une gigantesque chaine de Ponzi Elles L’Inde dcide de bloquer TikTok ainsi que 58 autres applications chinoises, voquant un comportement malveillant quant la collecte des donnes de ses citoyens

We want to thank the writer of this short article for this incredible web content

Onze associations industrielles, parmi lesquelles Digital Europe, s’opposent au nouveau rgime indien sur la scurit de l’information et mettent en garde contre les dommages conomiques

You can find our social media profiles and other related pageshttps://metfabtech.com/related-pages/