À la fin de l'année dernière, le gouvernement chinois a introduit une nouvelle loi sur la cybersécurité, appelée le système de cybersécurité à plusieurs niveaux (Multi-Level Cybersecurity Scheme).). La loi, entrée en vigueur en décembre, signifie effectivement que le gouvernement dispose d’un accès illimité à toutes les données du pays, qu’elles soient stockées sur des serveurs chinois ou transmises via des réseaux chinois.
Cela signifie qu’il n’y aura pas de VPN anonymes (et de nombreux VPN populaires appartiennent à des sociétés chinoises). Pas de messages privés ou cryptés. Pas de comptes en ligne anonymes ni de données sensibles. Toutes les données seront accessibles et ouvertes au gouvernement chinois, y compris les données des entreprises étrangères sur des serveurs chinois ou transitant par la Chine, cabinet d'avocats Reed Smith. Dans un certain sens, le MLPS 2.0 et les lois qui l’accompagnent peuvent être comparés au « paquet de lois Yarovaya » russe.
Tout va aussi mal qu’il y paraît, et ça empire. MLPS 2.0 est soutenu par deux textes législatifs supplémentaires, qui éliminent tous deux toute protection, sauvegarde ou faille qui aurait pu autrefois être utilisée pour maintenir l'intégrité des données d'entreprise. Les deux sont entrés en vigueur au début du mois. CSEn ligne.
La première est la nouvelle loi sur les investissements étrangers, qui traite les investisseurs étrangers de la même manière que les investisseurs chinois. Bien que cela ait été présenté comme un moyen de simplifier le processus d’investissement, dans la pratique, cela prive les investisseurs étrangers de nombreux droits dont ils bénéficiaient auparavant.
La seconde établit un nouvel ensemble de lignes directrices concernant le chiffrement. Encore une fois, à première vue, ils semblent avoir été proposés dans un souci de bien commun. Les lois ont été officiellement adoptées par le ministère de la Sécurité publique pour protéger l’infrastructure réseau des « dommages » et des menaces externes. Ce n’est qu’en y regardant de plus près que les effets secondaires commencent à apparaître.
Dans le cadre du MLPS actuel, en vigueur depuis 2008, les opérateurs de réseaux (terme très large qui couvre tout ordinateur ou système connecté envoyant ou traitant des données) sont tenus de classer leurs réseaux et systèmes d'information en différentes couches et d'appliquer des mesures de sécurité appropriées. Le système classe les systèmes de technologies de l'information et des communications (TIC) sur une échelle de sensibilité : 1 - le moins sensible, 5 - le plus sensible. Plus la note est élevée, plus le système est soumis à un contrôle strict de la part du ministère de la Sécurité publique (MPS). Le troisième niveau est le moment où l’autocertification se transforme en vérification gouvernementale. Ce niveau est atteint lorsque les dommages au réseau entraîneront « un préjudice particulièrement grave aux droits et intérêts légitimes des citoyens chinois, des personnes morales et d’autres organisations intéressées, ou causeront un préjudice grave à l’ordre public et aux intérêts publics, ou porteront atteinte à la sécurité nationale ».
Société d'analyse NewAmerica que MLPS 2.0 représente un « évolution vers davantage de vérification ». Dans le cadre du MLPS 2.0, les réseaux soumis à l'inspection sont étendus à pratiquement tous les systèmes informatiques.
Exigences en matière de localisation des données
Selon la nouvelle loi sur la cryptographie, le développement, la vente et l’utilisation de systèmes cryptographiques « ne doivent pas porter atteinte à la sécurité nationale et aux intérêts publics ». De plus, les systèmes cryptographiques qui n’ont pas été « vérifiés et authentifiés » sont également interdits. En général, si votre entreprise tente de cacher des informations au gouvernement, vous pouvez et serez puni.
De plus, si votre data center utilise par exemple un service logiciel chinois, alors toutes les données stockées et gérées par ce service pourront être saisies. Cela inclut les secrets commerciaux, les informations financières et bien plus encore. De même, si vous conservez des actifs dans votre pays, vous n’en avez pas le contrôle total ; ils peuvent être confisqués par le gouvernement à tout moment et avec une justification minime.
Les exigences de localisation des données incluses dans la nouvelle législation nuisent également grandement à la sécurité du cloud. Les experts expliquent que l’endroit où les données sont stockées est moins important que l’endroit où elles sont stockées. comme ils sont stockés. Ainsi, la localisation ne fait pas grand-chose pour protéger les informations sensibles tout en créant des emplacements de stockage de données facilement ciblés et faciles à pirater.
La Chine n’a jamais hésité à négliger la confidentialité et la sécurité des données. Ces nouvelles règles ne sont qu’une formalisation de ce qui constitue depuis longtemps la norme dans le pays. Mais cela ne facilite pas la tâche des entreprises.
Problèmes pour les entreprises étrangères
Le groupe de réflexion américain Center for Strategic and International Studies (CSIS) affirme que la Chine a publié de nouvelles normes nationales liées à la cybersécurité. L'un des derniers changements est la mise à jour MLPS.
Les nouvelles lois sont particulièrement problématiques pour les centres de données appartenant à des sociétés étrangères.
En fait, il leur reste deux options.
La première consiste simplement à cesser de faire des affaires en Chine, y compris par le biais de partenariats. En théorie, si suffisamment d’entreprises suivent cette voie, cela pourrait faire pression sur le gouvernement chinois pour qu’il abroge la loi.
La deuxième consiste à accepter que la réduction de la vie privée et de la sécurité soit le prix à payer pour faire des affaires en Chine.
On peut dire que les entreprises étrangères en Russie ont toujours les deux mêmes options.
J'aimerais penser que grâce à des efforts communs, ils suivront la première voie. Malheureusement, en réalité, la deuxième option est plus susceptible d’être choisie. Car pour beaucoup, ce prix à payer pour faire des affaires est acceptable.
Source: habr.com