Les plans du gouvernement britannique visant à réformer la principale loi du pays sur la cybercriminalité offriraient des protections juridiques si étroites que la plupart des chercheurs en sécurité se retrouveraient dans la même position qu'aujourd'hui, ont déclaré plusieurs sources informées des propositions à **Recorded Future News**. Les plans d'amendement à la **Computer Misuse Act 1990** ont été annoncés lors du discours du Roi la semaine dernière, suite à des années de campagne de l'industrie pour moderniser une loi qu'ils critiquaient pour interdire les activités de cybersécurité ordinaires. En décembre dernier, le ministre de la Sécurité, **Dan Jarvis**, s'est engagé à ce que le gouvernement introduise une défense légale statutaire – une protection juridique formelle inscrite dans la loi – protégeant les chercheurs contre une condamnation au tribunal, « tant qu'ils respectent certaines garanties ». Mais des sources informées des plans, qui n'avaient pas été rapportés auparavant, affirment que ces garanties sont extrêmement limitées. ### Portée limitée de la protection Le gouvernement prévoit de limiter la défense légale statutaire uniquement aux cas où les chercheurs sont poursuivis pour avoir scanné des systèmes exposés sur Internet. Le scan est un sous-ensemble des activités de cyberdéfense qui est déjà largement effectué en continu, et depuis l'extérieur de la juridiction britannique, par des plateformes commerciales telles que **Shodan** et **Censys**. Les propositions exigeraient des chercheurs qu'ils cessent toute activité dès qu'une vulnérabilité est identifiée, ce qui signifie qu'ils ne pourraient pas confirmer sa réalité, évaluer sa gravité ou déterminer son exploitabilité. Les professionnels de l'industrie affirment que cela rend toute divulgation presque inutile, car les propriétaires de systèmes exigent régulièrement une preuve qu'une vulnérabilité est authentique avant d'agir. ### Exigences d'accréditation Les chercheurs accrédités seraient également tenus de réaliser les tests personnellement et ne pourraient pas déléguer à d'autres la réalisation d'activités en leur nom, une disposition qui irait à l'encontre du modèle commercial standard dans lequel les professionnels expérimentés supervisent le personnel junior ou les outils automatisés. Les propositions limiteraient également qui pourrait bénéficier de la défense légale statutaire aux ressortissants britanniques détenant des accréditations auprès du **UK Cyber Security Council** – le seul organisme capable de conférer le statut de chartered aux professionnels de la cybersécurité, similaire au statut conféré aux experts-comptables ou aux ingénieurs chartered. Des responsables gouvernementaux ont déclaré aux sources de Recorded Future News qu'actuellement, seulement environ 300 personnes détiennent une telle accréditation – soit environ 0,4 % des « près de 70 000 personnes hautement qualifiées » employées dans le secteur, selon les chiffres officiels du gouvernement. L'exigence d'accréditation a été largement critiquée par les experts consultés par Recorded Future News, qui l'ont décrite comme un modèle « pay-to-play » qui pourrait exclure les chasseurs de bugs, les chercheurs universitaires, les amateurs et les professionnels des petites entreprises – qui représentent tous une proportion significative des divulgations de vulnérabilités à l'échelle mondiale. ### Préoccupations concernant les motivations du gouvernement Les sources ont déclaré que les réformes semblaient conçues principalement pour répondre à la propre exposition juridique du gouvernement plutôt qu'aux besoins de l'industrie qu'elles sont censées aider. Ils ont cité des réunions au cours desquelles le gouvernement lui-même a reconnu que la Computer Misuse Act limitait les activités à la fois des forces de l'ordre et du **National Cyber Security Centre (NCSC)**. Un porte-parole du NCSC a déclaré : « Comme vous pouvez vous y attendre, les activités du NCSC sont conformes à la loi et sont régies par un cadre de supervision robuste qui contribue à notre mission de faire du Royaume-Uni l'endroit le plus sûr où vivre et travailler en ligne. » L'agence a refusé de dire combien de ses propres employés détiennent le statut de chartered. **Jen Ellis**, consultante en politique cyber et conseillère indépendante auprès du gouvernement britannique, a félicité les responsables pour leur engagement auprès de la communauté de la sécurité, mais a averti qu'il y avait « un décalage entre les attentes et la réalité ». Elle a déclaré que les chercheurs avaient espéré que les réformes proposées à la Computer Misuse Act fourniraient « une défense légale statutaire ou un refuge juridique » pour la recherche de sécurité de bonne foi, mais a soutenu que la proposition actuelle était « beaucoup plus étroite » et se concentrait uniquement sur le scan des vulnérabilités connues. Ellis a également critiqué toute dérogation liée aux rôles professionnels ou aux certifications, affirmant que la recherche en sécurité est souvent menée de manière indépendante et en dehors des grandes organisations. De telles exigences, a-t-elle soutenu, « entraveraient » la recherche et le développement des compétences, favoriseraient les grandes entreprises et, en fin de compte, « criminaliseraient l'individu, pas l'acte ». ### Impact sur les pratiques de l'industrie Les pratiques standard dans l'industrie mondiale de la cybersécurité, y compris l'accès à l'infrastructure des attaquants pour comprendre les campagnes en cours, restent criminalisées au Royaume-Uni. Le gouvernement est préoccupé par le fait qu'une défense légale statutaire large couvrant ces activités fournirait une couverture légale aux acteurs malveillants. L'industrie affirme que la position actuelle désavantage les entreprises britanniques par rapport à leurs concurrentes en Allemagne, en France, aux Pays-Bas, en Belgique et aux États-Unis – qui opèrent toutes sous des cadres juridiques moins restrictifs et aucune d'entre elles n'a signalé de difficultés à poursuivre les cybercriminels en conséquence. Les organismes industriels affirment que certaines entreprises britanniques acheminent déjà des travaux de recherche sensibles via des juridictions dotées de cadres juridiques plus clairs. Le Home Office a déclaré qu'il s'entretenait avec ses homologues internationaux pour comprendre leurs approches de la question. Les lacunes de la Computer Misuse Act sont largement connues des spécialistes des forces de l'ordre britanniques. Un chercheur dont l'entreprise travaille avec la police a déclaré à Recorded Future News avoir soulevé des préoccupations auprès d'un officier supérieur après avoir accédé au réseau d'un criminel lors d'une enquête. La réponse de l'officier, ont-ils dit, n'était pas de s'inquiéter – le Crown Prosecution Service prendrait en compte l'intérêt public même sans défense légale statutaire. Les chercheurs et les groupes industriels ont déclaré que ce type d'assurance informelle n'est pas une base sur laquelle construire une entreprise, obtenir une assurance professionnelle ou donner des instructions à des collègues. ### Préoccupations concernant l'IA et la pérennité Les chercheurs ont également souligné que les propositions ne tenaient pas compte des outils d'IA agentiques, qui sont de plus en plus utilisés dans l'industrie pour mener la découverte de vulnérabilités et les tests de sécurité de manière autonome. La question de savoir si une activité effectuée par un système d'IA plutôt que par un chercheur humain entrerait dans le cadre d'une défense exigeant que des individus accrédités effectuent personnellement les tests n'a pas été abordée, soulevant la perspective d'un cadre juridique déjà obsolète avant même d'être inscrit dans la loi. Un porte-parole du Home Office a déclaré : « Ce gouvernement reconnaît le rôle majeur que jouent les professionnels de la cybersécurité dans l'amélioration et la protection de la sécurité du Royaume-Uni. Il est essentiel que nous les soutenions. Notre National Security Bill équilibrera le soutien à la recherche légitime avec la protection de la sécurité nationale. Nous apprécions les contributions de l'industrie de la cybersécurité et continuerons à travailler avec eux pour affiner notre proposition. »