Dans le cadre du projet «Promouvoir la confiance dans la cybersécurité par l’éthique et le droit» soutenu par le FNS, j’ai co-rédigé avec Pauline Meyer «Computer security incident response teams: are they legally regulated? The Swiss example», un article qui vient d’être publié en libre accès dans la International Cybersecurity Law Review.
Les équipes de réponse aux incidents de sécurité informatique (Computer Security Incident Response Teams, CSIRT) ou les équipes de réponse aux urgences informatiques (Computer Emergency Response Teams, CERT) sont un élément fondamental dans la gestion des cyberincidents et sont de plus en plus fréquents dans des entreprises comme les infrastructures critiques. Ces équipes ont des compétences et des structures très variées.
Dans cette contribution et en prenant l’exemple de la Suisse, nous avons cherché à analyser dans quelle mesure leur activité est juridiquement réglementée. Si les CSIRT privés sont très peu régulés, il serait pourtant important que la loi les prévoit explicitement pour les infrastructures critiques et impose des processus et des rôles clairs dans les mesures préventives et réactives assurant la gestion des cyberincidents, soit de manière sectorielle, soit globalement pour toutes les infrastructures critiques.
Quant au CERT fédéral (GovCERT), son cadre juridique commence seulement à se dessiner. Sa présence est pourtant indispensable à la bonne gestion des incidents d’importance nationale. La révision en cours de la Loi sur la sécurité de l’information (LSI) est une bonne étape pour légitimer le GovCERT dans le traitement des cyberincidents et le partage d’informations, mais des améliorations sont encore nécessaires.
Laisser un commentaire