Des upgrades aux obligations juridiques
Ghislain de Salins, Cybersecurity Policy Analyst à l’OCDE, porteur du rapport, a évoqué au-delà « de la sécurité par défaut » un véritable « devoir de diligence » des producteurs, notamment pour les objets Internet qui sont en fin de vie. Cette fin de vie devrait être « responsable« , avec des upgrades pour passer à des produits plus récents « gratuits » ou via une incitation des producteurs à les mettre sous le format open source afin de laisser la possiblité « à la communauté des utilisateurs » de continuer à les mettre à jour. Le responsable a mis également en avant comme instrument de renforcement de la sécurité les certifications, standards et autres labels volontaires, sur les modèles de nutrition ou d’énergie, tels que développés en Finlande, Allemagne, au Japon ou encore à Singapour.
Enfin, Ghislain de Salins a parlé du cadre juridique et de son adaptation éventuelle aux nouvelles menaces cyber. Il existe deux chantiers principaux, a-t-il détaillé. Pour les produits déjà sur le marché, il s’agirait de « donner plus de responsabilité au producteur si jamais une faille est découverte, n’est pas patchée et entraîne des dégâts pour les utilisateurs« . Avant qu’un produit n’arrive sur le marché, il s’agirait cette fois de mettre en place « des obligations juridiques pour un niveau minimal de sécurité ». Un dispositif déjà appliqué au Japon et en discussion au Royaume-Uni, a précisé le responsable.
Laurent Bernat, Digital Policy Analyst à l’OCDE, autre porteur du rapport, a conclu : « Nous nous basons sur ces travaux d’analyse pour développer un projet de recommandation du conseil de l’OCDE sur la sécurité des produits. Il est en cours de rédaction et son objectif est de voir son adoption d’ici la fin 2022. »
