À la fin de l'année dernière, le gouvernement chinois a présenté une nouvelle loi sur la cybersécurité, le soi-disant
système de protection à plusieurs niveaux de la cybersécurité, MLPS 2.0 . La loi, qui est entrée en vigueur en décembre, signifie en fait que le gouvernement a un accès illimité à toutes les données à l'intérieur du pays, qu'elles soient stockées sur des serveurs chinois ou transmises via des réseaux chinois.
Cela signifie qu'il n'y aura pas de VPN anonymes (et de nombreux VPN populaires appartiennent à des sociétés chinoises). Aucun message privé ou crypté. Pas de comptes en ligne anonymes ni de données sensibles. Toutes les données seront accessibles et ouvertes au gouvernement chinois, y compris les données d'entreprises étrangères sur des serveurs chinois ou passant par la Chine, a
expliqué dans un commentaire du cabinet d'avocats Reed Smith. Dans un sens, le MLPS 2.0 et les lois connexes peuvent être comparés au «Spring Law Package» russe.
Tout est aussi mauvais qu'il y paraît et ça empire. MLPS 2.0 est soutenu par deux actes législatifs supplémentaires, qui éliminent tous les deux les protections, garanties et failles qui pourraient être utilisées une fois pour maintenir l'intégrité des données de l'entreprise. Les deux ont pris effet plus tôt ce mois-ci,
écrit CSOnline.
La première est la nouvelle loi sur l'investissement étranger, qui traite les investisseurs étrangers de la même manière que les investisseurs chinois. Bien que cela ait été annoncé comme un moyen de rationaliser le processus d'investissement, dans la pratique, cela prive les investisseurs étrangers de bon nombre des droits dont ils jouissaient auparavant.
Le second définit un nouvel ensemble de directives pour le chiffrement. Encore une fois, à première vue, il semble qu'elles aient été proposées en tenant compte du bien commun. Lois adoptées officiellement par le ministère de la Sécurité publique pour protéger l'infrastructure du réseau contre les «dommages» et les menaces externes. Ce n'est qu'en y regardant de plus près que les effets secondaires commencent à apparaître.
Selon l'actuel MLPS, qui existe depuis 2008, les opérateurs de réseau (un terme très large qui englobe tous les ordinateurs ou systèmes connectés qui envoient ou traitent des données) sont tenus de classer leurs réseaux et systèmes d'information à différents niveaux et d'appliquer les mesures de sécurité appropriées. Le système classe les systèmes de technologies de l'information et de la communication (TIC) sur une échelle de sensibilité: 1 - le moins sensible, 5 - le plus sensible. Plus la cote est élevée, plus le ministère de la Sécurité publique (IPS) est strict. Le troisième niveau est le moment où l'auto-certification se transforme en un audit gouvernemental. Ce niveau est atteint lorsque des dommages au réseau entraînent "des dommages particulièrement graves aux droits et intérêts légitimes des citoyens chinois, des personnes morales et d'autres organisations intéressées, ou causent de graves dommages à l'ordre public et aux intérêts publics, ou nuisent à la sécurité nationale".
Le cabinet d'analystes NewAmerica
explique que MLPS 2.0 représente un «biais en faveur d'un plus grand nombre de contrôles». Dans MLPS 2.0, les réseaux à tester sont étendus essentiellement à tous les systèmes informatiques.
Exigences de localisation des données
Selon la nouvelle loi sur la cryptographie, le développement, la vente et l'utilisation de systèmes cryptographiques "ne devraient pas porter atteinte à la sécurité de l'État et à l'intérêt public". De plus, les systèmes cryptographiques qui n'ont pas été «vérifiés et authentifiés» deviennent également illégaux. En général, si votre entreprise essaie de cacher des informations au gouvernement, vous pouvez et serez puni.
De plus, si votre centre de données utilise, par exemple, un service logiciel chinois, toutes les données stockées et gérées par ce service peuvent être supprimées. Cela comprend les secrets commerciaux, les informations financières et plus encore. De même, si vous stockez des actifs au niveau national, vous n'avez pas le contrôle total sur eux; ils peuvent être confisqués par le gouvernement à tout moment et avec une justification minimale.
Les exigences de localisation des données incluses dans la nouvelle législation affectent également considérablement la sécurité du cloud. Les experts expliquent que le stockage des données est moins important que la
façon dont il est stocké. Ainsi, la localisation aide très peu à protéger les informations confidentielles, tout en créant des emplacements de stockage de données faciles à cibler et pratiques pour le piratage.
La Chine n'a jamais hésité à négliger la confidentialité et la sécurité des données. Ces nouvelles règles ne sont qu'une formalisation de ce qui a longtemps été la norme dans le pays. Mais cela facilite la tâche aux entreprises.
Problèmes pour les entreprises étrangères
Le groupe de réflexion américain, Center for Strategic and International Studies (CSIS), affirme que la Chine a publié
quelque 300 nouvelles normes nationales de cybersécurité ces dernières années. L'une des dernières modifications est la mise à jour MLPS.
Les nouvelles lois sont particulièrement problématiques pour les centres de données appartenant à des sociétés étrangères.
En fait, ils ont encore deux options.
La première consiste simplement à cesser de faire des affaires en Chine, notamment par le biais de partenariats. Théoriquement, si suffisamment d'entreprises suivent cette voie, cela pourrait faire pression sur le gouvernement chinois et l'obliger à abroger la loi.
La seconde consiste à accepter de réduire la confidentialité et la sécurité comme le prix de faire des affaires en Chine.
On peut dire que les entreprises étrangères en Russie ont les deux mêmes options.
J'aimerais penser qu'ensemble, ils emprunteront le premier chemin. Malheureusement, en réalité, la deuxième option est plus susceptible d'être choisie. Parce que pour beaucoup, ce prix de faire des affaires est acceptable.