Les entreprises VPN qui ne veulent pas se conformer aux nouvelles règles « devront se retirer du pays »

L'Inde leur ordonne de collecter et de transmettre les données des utilisateurs

L'Inde va de l'avant avec ses nouvelles règles de cybersécurité qui obligeront les fournisseurs de services cloud et les opérateurs VPN à conserver les noms de leurs clients et leurs adresses IP et suggèrent aux entreprises qui ne veulent pas se conformer de se retirer du deuxième plus grand marché Internet au monde.

Fin avril, l'équipe d'intervention d'urgence informatique (CERT-in) du ministère de l'Électronique et des Technologies de l'information a ordonné aux fournisseurs de réseaux privés virtuels, aux centres de données et aux échanges de monnaies cryptographiques de conserver un large éventail de données sur leurs clients pendant cinq ans au moins, dans ce qu'il a dit être un effort « pour coordonner les activités d'intervention ainsi que les mesures d'urgence en cas d'incidents de cybersécurité ». C'est une politique qui rendra probablement la vie plus difficile pour les sociétés VPN et les utilisateurs VPN là-bas.

Le CERT-in a annoncé que les VPN du pays devront conserver les noms des clients, les adresses physiques et IP validées, les modèles d'utilisation et d'autres formes d'informations personnellement identifiables. Ceux qui ne se conforment pas pourraient potentiellement encourir jusqu'à un an de prison en vertu de la loi applicable citée dans la nouvelle directive.

Comme indiqué plus haut, la directive ne se limite pas aux fournisseurs de VPN. Les centres de données et les fournisseurs de services cloud sont tous deux répertoriés sous la même disposition. Les entreprises devront conserver les informations des clients même après que le client a annulé son abonnement ou son compte. Et, dans tous les cas, le CERT-in exigera des entreprises qu'elles signalent « l'accès non autorisé de leurs utilisateurs aux comptes de médias sociaux » :

« Le CERT-In analyse en permanence les cybermenaces et gère les cyberincidents qui lui sont signalés. Le CERT-In émet régulièrement des avis aux organisations et aux utilisateurs pour leur permettre de protéger leurs données/informations et leur infrastructure TIC. Afin de coordonner les activités de réponse ainsi que les mesures d'urgence face aux incidents de cybersécurité, le CERT-In sollicite des informations auprès des prestataires de services, des intermédiaires, des centres de données et des personnes morales.

« Au cours de la gestion des cyberincidents et des interactions avec la circonscription, le CERT-In a identifié certaines lacunes qui entravent l'analyse des incidents. Pour combler les lacunes et les problèmes identifiés afin de faciliter les mesures de réponse aux incidents, le CERT-In a publié des instructions relatives aux pratiques de sécurité de l'information, à la procédure, à la prévention, à la réponse et au signalement des cyberincidents en vertu des dispositions de la sous-section (6) de la section 70B de la Loi de 2000 sur les technologies de l'information. Ces directives entreront en vigueur après 60 jours.

« Les instructions couvrent les aspects relatifs à la synchronisation des horloges des systèmes TIC ; déclaration obligatoire des cyberincidents au CERT-In ; maintenance des journaux des systèmes TIC ; les détails des inscriptions des abonnés/clients par les centres de données, les fournisseurs de serveurs privés virtuels (VPS), les fournisseurs de services VPN, les fournisseurs de services Cloud ; les normes et pratiques KYC par les fournisseurs de services d'actifs virtuels, les fournisseurs d'échange d'actifs virtuels et les fournisseurs de portefeuilles de dépôt. Ces orientations doivent améliorer la posture globale de cybersécurité et garantir un Internet sûr et fiable dans le pays ».

La plupart des VPN offrent une politique de non-journalisation, une promesse publique contre la journalisation, la collecte ou le partage des données d'utilisation et de navigation des clients. Les principaux services comme ExpressVPN et Surfshark fonctionnent uniquement avec des serveurs à disque RAM et d'autres technologies sans journalisation, ce qui signifie que les VPN seraient théoriquement incapables de surveiller les URL répertoriées dans la directive. Si les VPN en Inde sont tenus en vertu de la nouvelle directive de conserver les données d'enregistrement des clients - ou de surveiller et de signaler l'utilisation des médias sociaux - beaucoup pourraient potentiellement enfreindre la loi simplement en continuant à fonctionner.

Le groupe de défense des droits numériques Access Now a rapporté le mois dernier que les coupures et interruptions d'Internet imposées par le gouvernement en Inde représentaient 106 des 182 actions gouvernementales de ce type dans le monde, soit près de 60 %. La directive fait également suite à des pics notables de la demande de VPN en Inde, où la société de recherche indépendante Top10VPN estime que les fermetures ont touché 59,1 millions d'utilisateurs en 2021.


Le délai d'application se rapproche, l'Inde hausse déjà le ton

Le CERT-in a précisé mercredi que « les fournisseurs de serveurs privés virtuels (VPS), les fournisseurs de services cloud, les fournisseurs de services VPN,...