Un organisme représentant les plus grandes entreprises technologiques a récemment écrit au ministère des technologies de l’information du gouvernement indien pour critiquer une directive sur la cybersécurité établie en avril. L’organisme a déclaré que les règles de cybersécurité indiennes qui entreront en vigueur à la fin du mois créeront un “environnement de peur plutôt que de confiance”. L’Internet and Mobile Association of India (IAMAI), qui représente des entreprises technologiques telles que Facebook, Google et Reliance, a également demandé un délai d’un an avant l’entrée en vigueur de ces règles.
Dans le cadre de la directive de l’équipe indienne d’intervention en cas d’urgence informatique (CERT), les entreprises technologiques sont tenues de signaler les violations de données dans les six heures suivant la constatation d’un tel incident et de conserver les journaux informatiques et de communication pendant six mois. L’IAMAI a proposé d’étendre le délai de six heures, en indiquant que les normes mondiales pour le signalement de tels incidents étaient de soixante-douze heures.
Dans le cadre de la même directive, le CERT a également demandé aux fournisseurs de services en nuage tels qu’Amazon et les entreprises de réseaux privés virtuels (VPN) de conserver les noms de leurs clients et leurs adresses IP pendant au moins cinq ans, même après qu’ils aient cessé d’utiliser les services de l’entreprise. L’IAMAI a déclaré que le coût de la mise en conformité avec ces directives pourrait être “massif” et que les sanctions proposées en cas d’infraction, qui peuvent aller jusqu’à la prison, conduiraient “les entités à cesser leurs activités en Inde par crainte d’être en infraction”.
La semaine dernière, le fournisseur de services VPN, ExpressVPN, a retiré ses serveurs d’Inde, affirmant qu’il “refuse de participer aux tentatives du gouvernement indien de limiter la liberté d’Internet”.
Il convient de noter que l’Inde a tenté de renforcer la réglementation des grandes entreprises technologiques au cours des dernières années, ce qui a suscité des réticences et des réactions de la part du secteur. Le gouvernement indien a déclaré que les nouvelles règles de cybersécurité étaient très nécessaires, car des incidents de cybersécurité étaient régulièrement signalés, mais les informations requises pour enquêter sur ces incidents n’étaient pas toujours facilement accessibles auprès des fournisseurs de services.
