La responsabilité logicielle, proposée par la stratégie de cybersécurité de la Maison-Blanche, fait réagir les milieux d’affaires
Dans son édition du 26 avril, CybersecurityDive indique que cet été, la Maison-Blanche rendra publique la feuille de route pour la mise en œuvre de la cyberstratégie nationale. Aux dires de Kemba Walden, la directrice par intérim de la cybersécurité, cette stratégie est conçue pour avoir une durée de vie de 10 ans. Cette flexibilité devrait permettre de gérer la menace évolutive représentée par l'émergence de nouvelles technologies intrusives.
CybersecurityDive estime que la réglementation prévue, en plus des efforts visant à relever les exigences minimales en matière de cybersécurité, représente l'un des leviers que le gouvernement fédéral pourrait devoir utiliser pour renforcer la cybersécurité et transférer la responsabilité de la sécurité aux fournisseurs de technologie.
Quoique des conversations avec des parties prenantes, notamment des développeurs de logiciels, des avocats et des membres du Congrès, soient en cours, il semblerait que le transfert de responsabilité logicielle ne semble pas une tâche facile à accomplir. C'est pourquoi on pense que les perspectives à court terme de cette réglementation ne seraient pas prometteuses.
Les réactions des analystes technologiques sont, en effet, très variées. Ne cachant pas son scepticisme, CyberScoop demande, par exemple, si l'administration Biden peut véritablement obliger les entreprises technologiques à écrire un code informatique plus sécuritaire. Selon certains, une telle réforme menacerait une des incitations économiques fondatrices de l'industrie du logiciel.
CyberScoop précise que la création de produits logiciels sécurisés exige l'investissement de beaucoup de ressources, coûte trop cher et prend beaucoup de temps. C'est pourquoi, depuis longtemps, les experts sont d'avis qu'il faut privilégier la vitesse dans le processus de développement plutôt que la sécurité. Obliger les entreprises technologiques à concevoir des produits plus sécurisés ne ferait, dit-on, que réduire leurs revenus et même les pousser à la faillite.
Même son de cloche de la part de CSO, qui signale que la responsabilisation logicielle proposée par la stratégie nationale de cybersécurité causera plus de problèmes qu'elle n'en résoudra. Un des arguments principaux est que la nouvelle réglementation ne fera qu'imposer des coûts supplémentaires, ce qui favorisera les grandes entreprises, qui feront face à une concurrence plus restreinte.
Ce point de vue est partagé par CybersecurityDive, qui note que les grands fournisseurs de technologie ont les moyens de hiérarchiser et d'offrir une meilleure sécurité dans leurs produits, tandis que les petites entreprises et les communautés à source ouverte auront de la difficulté à survivre. Par contraste, Atlantic Council estime que la responsabilisation logicielle améliorerait la sécurité du cyberécosystème et inciterait les fournisseurs à respecter les exigences de sécurité de base pour les produits et à soutenir la sécurité tout au long de leur cycle de vie.
Dans son édition du 26 avril, CybersecurityDive indique que cet été, la Maison-Blanche rendra publique la feuille de route pour la mise en œuvre de la cyberstratégie nationale. Aux dires de Kemba Walden, la directrice par intérim de la cybersécurité, cette stratégie est conçue pour avoir une durée de vie de 10 ans. Cette flexibilité devrait permettre de gérer la menace évolutive représentée par l'émergence de nouvelles technologies intrusives.
CybersecurityDive estime que la réglementation prévue, en plus des efforts visant à relever les exigences minimales en matière de cybersécurité, représente l'un des leviers que le gouvernement fédéral pourrait devoir utiliser pour renforcer la cybersécurité et transférer la responsabilité de la sécurité aux fournisseurs de technologie.
Quoique des conversations avec des parties prenantes, notamment des développeurs de logiciels, des avocats et des membres du Congrès, soient en cours, il semblerait que le transfert de responsabilité logicielle ne semble pas une tâche facile à accomplir. C'est pourquoi on pense que les perspectives à court terme de cette réglementation ne seraient pas prometteuses.
Les réactions des analystes technologiques sont, en effet, très variées. Ne cachant pas son scepticisme, CyberScoop demande, par exemple, si l'administration Biden peut véritablement obliger les entreprises technologiques à écrire un code informatique plus sécuritaire. Selon certains, une telle réforme menacerait une des incitations économiques fondatrices de l'industrie du logiciel.
CyberScoop précise que la création de produits logiciels sécurisés exige l'investissement de beaucoup de ressources, coûte trop cher et prend beaucoup de temps. C'est pourquoi, depuis longtemps, les experts sont d'avis qu'il faut privilégier la vitesse dans le processus de développement plutôt que la sécurité. Obliger les entreprises technologiques à concevoir des produits plus sécurisés ne ferait, dit-on, que réduire leurs revenus et même les pousser à la faillite.
Même son de cloche de la part de CSO, qui signale que la responsabilisation logicielle proposée par la stratégie nationale de cybersécurité causera plus de problèmes qu'elle n'en résoudra. Un des arguments principaux est que la nouvelle réglementation ne fera qu'imposer des coûts supplémentaires, ce qui favorisera les grandes entreprises, qui feront face à une concurrence plus restreinte.
Ce point de vue est partagé par CybersecurityDive, qui note que les grands fournisseurs de technologie ont les moyens de hiérarchiser et d'offrir une meilleure sécurité dans leurs produits, tandis que les petites entreprises et les communautés à source ouverte auront de la difficulté à survivre. Par contraste, Atlantic Council estime que la responsabilisation logicielle améliorerait la sécurité du cyberécosystème et inciterait les fournisseurs à respecter les exigences de sécurité de base pour les produits et à soutenir la sécurité tout au long de leur cycle de vie.