Les États-Unis adoptent de nouvelles règles pour l’exportation d’outils de cybersécurité
Le ministère américain du commerce a publié de nouvelles règles visant à empêcher les entreprises de vendre des outils de test d’intrusion à la Chine, à la Russie et à d’autres pays susceptibles de les utiliser à des fins malveillantes.
Ces nouvelles règles entreront en vigueur dans 90 jours et ont été élaborées par le Bureau of Industry and Security (BIS) du ministère. Elles régissent “l’exportation, la réexportation ou le transfert (dans le pays) de certains articles pouvant être utilisés pour des cyberactivités malveillantes”.
Il serait interdit aux entreprises de vendre certaines technologies à certains pays sans une licence spécifique du BIS.
La secrétaire d’État américaine au commerce, Gina Raimondo, a déclaré dans un communiqué que les États-Unis étaient “déterminés à travailler avec leurs partenaires pour empêcher la diffusion de certaines technologies pouvant être utilisées pour des activités malveillantes qui menacent la cybersécurité et les droits de l’homme.”
“La règle du département du Commerce imposant des contrôles à l’exportation sur certains articles de cybersécurité est une approche bien adaptée qui protège la sécurité nationale de l’Amérique contre les acteurs malveillants tout en garantissant les activités légitimes de cybersécurité”, a déclaré Raimondo.
La règle prevoit une exception pour les exportations autorisées de cybersécurité (ACE). Le ministère a expliqué dans un communiqué que l’exception “permettrait l’exportation, la réexportation et le transfert (dans le pays) d'”articles de cybersécurité” vers la plupart des destinations, tout en maintenant l’obligation d’obtenir une licence pour les exportations vers des pays où des questions liées à la sécurité nationale ou les armes de destruction massive posent problème”.
Des exceptions etudiées avec soin
Tout pays actuellement soumis à un embargo américain sur les armes devra obtenir une licence pour recevoir certaines technologies.
“En outre, l’exception de licence imposerait une restriction d’utilisation finale dans des circonstances où l’exportateur, le réexportateur ou le cédant sait ou a des raisons de savoir, au moment de l’exportation, de la réexportation ou du transfert que l”article de cybersécurité’ sera utilisé pour affecter la confidentialité, l’intégrité ou la disponibilité des informations ou des systèmes d’information, sans l’autorisation du propriétaire, de l’opérateur ou de l’administrateur du système d’information”, explique le département du Commerce.
Le ministère a noté que la règle est conforme à l’Arrangement de Wassenaar — qui régit les politiques d’exportation de 42 pays différents autour des “technologies militaires et à double usage.”
Les États-Unis sont l’un des derniers pays membres de l’Arrangement de Wassenaar à adopter des règles de ce type. La Chine et Israël ne sont pas membres de l’arrangement de Wassenaar, mais la Russie l’est.
Ces règles font suite au tollé international provoqué par une série de révélations sur l’utilisation d’experts et de technologies américains par des dictatures. Le mois dernier, les États-Unis ont infligé une lourde amende à trois anciens agents de la NSA pour avoir fourni aux Émirats arabes unis une série de puissants outils de piratage.
Le Washington Post a été le premier à faire état des nouvelles règles du ministère du commerce, notant que ces règles visaient spécifiquement les entreprises qui vendent à la Russie et à la Chine. La règle est compliquée en raison d’exclusions spécifiques destinées à apaiser les chercheurs en cybersécurité qui se sont longtemps plaints de la difficulté qu’ils avaient à partager des informations permettant de défendre les systèmes avec d’autres personnes à l’étranger en raison de potentielles sanctions.
L’une des questions les plus épineuses qui a retardé la mise en place de la règle pendant des années était la vente d’outils de test d’intrusion, qui seront autorisés sans licence pour certains pays mais pas pour d’autres.
Source : “ZDNet.com”
