La Malaisie a rejoint au moins deux autres pays – Singapour et le Ghana – en adoptant des lois exigeant que les professionnels de la cybersécurité ou leurs entreprises soient certifiés et agréés pour fournir certains services de cybersécurité dans leur pays.
Le 3 avril, la chambre haute du Parlement malaisien, connue sous le nom de Dewan Negara, a adopté le projet de loi sur la cybersécurité 2024, après son adoption par la chambre basse le mois précédent. Le projet de loi, qui deviendra loi après sa signature par le Roi et sa publication au Journal officiel, est structuré comme une législation-cadre et servira de cadre pour les futures activités gouvernementales visant à sécuriser les infrastructures critiques et à améliorer l'état national de la cybersécurité.
Bien que la législation impose des licences, les exigences réelles pour les professionnels de la cybersécurité et les fournisseurs de services viendront plus tard, selon le cabinet d'avocats Christopher & Lee Ong, basé en Malaisie. déclaré dans un avis.
« Bien que le projet de loi ne précise pas les types de services de cybersécurité qui sont soumis au régime de licences… cela s'appliquera probablement aux fournisseurs de services qui fournissent des services pour protéger les appareils informatiques et de communication d'une autre personne – [par exemple,] les fournisseurs de tests d'intrusion. et les centres d’opérations de sécurité », a déclaré le cabinet d’avocats.
La Malaisie rejoint Singapour, son voisin de la région Asie-Pacifique, qui a exigé le licences des fournisseurs de services de cybersécurité (CSP) au cours des deux dernières années, et la nation ouest-africaine du Ghana, qui exige le agrément des CSP et accréditation des professionnels de la cybersécurité. Plus largement, les gouvernements comme l'Union européenne ont des certifications de cybersécurité normalisées, tandis que d'autres agences — comme l'État américain de New York — exiger des certifications et des licences pour les capacités de cybersécurité dans des secteurs spécifiques.
Permis de pirater au Ghana
Alors que de nombreux gouvernements exigent que les entreprises obtiennent une licence pour offrir des services de cybersécurité, le Ghana est le seul pays à exiger que les individus détiennent une licence, explique Alexey Lukatsky, directeur général du conseil aux entreprises en cybersécurité chez Positive Technologies, un fournisseur de cybersécurité basé à Moscou.
« Le caractère unique de l'approche du Ghana réside dans le fait que les exigences en matière de licence ne s'appliquent pas à tous les spécialistes de la cybersécurité, mais à ceux qui envisagent de travailler dans quatre domaines spécifiques : l'évaluation de la vulnérabilité et les tests d'intrusion, la criminalistique numérique, les services gérés de cybersécurité, la formation en cybersécurité et la cybersécurité. GRC », dit-il.
Le gouvernement de Singapour a adopté une approche proactive pour inciter le secteur privé à adopter des réglementations strictes en matière de cybersécurité, avec les organisations jusqu'à présent mettant en œuvre plus de 70 % des exigences nécessaires à une certification « Cyber Essentials ».
« Nous pensons très certainement que le fait d'avoir une norme minimale engendrera plus de confiance dans l'ensemble de l'écosystème, car nous aurons l'assurance que, entre autres, les tests d'intrusion, les audits de sécurité et les services de réponse aux incidents à fournir sont à la hauteur des attentes du secteur et de l'évolution des technologies. », déclare Serene Kan, associée au sein de la pratique IP et technologie chez Wong & Partners, cabinet membre de Baker McKenzie International.
Aux États-Unis, ces efforts n’ont pas beaucoup progressé. Au lieu de cela, de nombreuses organisations professionnelles proposer une certification d’ensembles spécifiques de compétences. ISC2, par exemple, administre la célèbre accréditation Certified Information Systems Security Professional (CISSP), tandis que CompTIA propose la certification Security+, et ISACA – anciennement Information Systems Audit and Control Association – propose la certification Certified Information System Auditor (CISA). entre autres.
ISC2 et ISACA ont refusé de commenter cet article.
Manque de protection de la liberté d'expression
Même si ces exigences semblent améliorer la maturité globale de la posture de cybersécurité des pays, la législation a souvent soulevé des inquiétudes quant aux conséquences potentielles sur la liberté d'expression et d'autres droits individuels.
Les gouvernements qui obtiennent un large pouvoir pour réglementer les activités liées à la cybersécurité ont par défaut le pouvoir de contrôler les services numériques. Cela aboutit souvent à cibler les activités journalistiques et les lanceurs d’alerte en exigeant « une approbation préalable selon des normes arbitraires susceptibles d’être modifiées ou révoquées », selon Article 19, une organisation de défense des droits humains.
Le projet de loi malaisien sur la cybersécurité, par exemple, est « inutile et défectueux dans son état actuel », a déclaré l’organisation.
"Bien qu'il se présente comme un instrument de "cybersécurité", le projet de loi donnera au gouvernement un contrôle irresponsable sur les activités informatiques, ainsi que des pouvoirs de perquisition et de saisie presque illimités", a déclaré l'organisation. a déclaré dans une analyse du projet de loi. « Ses dispositions pénales n’exigent aucune intention réelle de violer, introduisant ainsi de nombreuses infractions de responsabilité stricte. »
En particulier, les chercheurs en cybersécurité pourraient être mis en danger, puisque la publication du code source ou la recherche cyber-offensive nécessiterait une licence, a déclaré l'organisation.
Pourtant, souvent, les exigences en matière de licences ne font qu'apposer un cachet gouvernemental sur les meilleures pratiques de certification déjà existantes et les exigences selon lesquelles les candidats à un emploi doivent posséder des certifications spécifiques en matière de cybersécurité, mais avec une touche locale, explique Lukatsky de Positive Technologies.
L’approche suivie par le Ghana, par exemple, « ressemble à la création d’un registre de tous les spécialistes de la cybersécurité, car il est peu probable que dans ce pays ou dans tout autre pays, il existe de nombreux spécialistes isolés et indépendants capables de travailler avec des organisations sérieuses, où les risques d’embauche le personnel non qualifié est trop élevé », dit-il. « La principale raison de ces exigences est qu’à mesure que le nombre de cyberattaques augmente, il faut des spécialistes qui comprennent ce qu’ils font et pourquoi ils le font pour les détecter et les prévenir – comment appliquer les meilleures pratiques internationales et comment les adapter aux contextes locaux. détails."
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/cyber-risk/licensed-to-bill-nations-mandate-certification-licensure-of-cybersecurity-pros
