En août 2022, l'ancien responsable de la sécurité de Twitter, Mudge, de son vrai nom Peiter Zatko, a déposé une plainte de 84 pages auprès de la Securities and Exchange Commission (SEC) pointant du doigt plusieurs faiblesses et manquements du site de micro-blogging. Mauvais chiffre sur les bots et le spam, niveau bas de sécurité, dissimulation d'informations de violation de données au conseil d'administration, autant d'allégations que Twitter a démenties. En tant que personne ayant construit sa vie en dénonçant les failles des logiciels, Peiter Zatko a affirmé qu'il était « éthiquement tenu » de rendre l'affaire publique, car il estimait que Twitter avait négligé de corriger ces failles, selon une interview accordée au Washington Post.

Il n'a pas pris cette décision à la légère, et de nombreux experts qui s'expriment sur des questions de cybersécurité sont confrontés à des dilemmes similaires. La plupart d'entre eux tentent d'abord d'exprimer leurs préoccupations en interne, et ne se tournent vers l'extérieur que s'ils ont l'impression de ne pas être entendus. Lorsqu'une personne décide de signaler des actes répréhensibles, elle sait qu'elle risque d'être confrontée à de graves conséquences. Les mécanismes actuels de divulgation légale « sont difficiles, [et] ils s'accompagnent de nombreuses répercussions », explique Peiter Zatko. C'est pourquoi il estime que certains des aspects entourant la dénonciation « doivent être revus ».

Les entreprises jouent sur la peur des employés

Les employés qui se manifestent ont des craintes, les principales étant « la peur des représailles et celle de la futilité - que parler ne changera rien », explique Dana Gold, conseillère principale au Government Accountability Project. Les employés des secteurs de la technologie et de la cybersécurité doivent être mieux protégés contre les représailles. « Des lois solides sur la protection des lanceurs d'alerte et des voies d'accès pour les divulgations sont essentielles, au point d'être non négociables pour une gouvernance privée et publique responsable. Nous avons besoin que les lanceurs d’alerte puissent se manifester - ils ne sont pas seulement la meilleure défense contre les menaces critiques, mais ils peuvent parfois être la seule défense dont nous disposons ».

La législation relative à la protection des lanceurs d’alerte s'est quelque peu améliorée dans le monde au cours des dernières décennies, mais des changements doivent encore être apportés pour permettre à ces profils IT de signaler plus facilement les problèmes sans craindre de conséquences. « Au moins aux États-Unis, les travailleurs du secteur IT doivent bénéficier de meilleures protections », déclare Dana Gold. « Le Congrès a été tellement lent et incapable de réglementer le secteur technologique. Malgré de nombreuses auditions de contrôle visant à résoudre les problèmes de l'industrie technologique, les employés du secteur restent vulnérables sans protection autonome des dénonciateurs ».

Créer un environnement sécurisé pour encourager le signalement de problèmes

La cybersécurité étant de plus en plus présente dans nos vies, il est « vital pour la sécurité nationale », comme le dit madame Gold, d'encourager les lanceurs d'alerte qui signalent des problèmes liés à l'IT. Les pays doivent faire deux choses, dit-elle. Premièrement, ils doivent s'assurer que les employés du secteur public travaillant dans le domaine de l'infosécurité sont pris au sérieux lorsqu'ils souhaitent signaler des actes répréhensibles. Cela signifie qu'ils doivent disposer de plusieurs voies d'accès et créer un environnement dans lequel ils se sentent en sécurité pour se manifester. Sue Bergamo, RSSI chez BTE Partners partage cet avis. « Les gouvernements devraient mettre en place un programme de dénonciation comportant des instructions claires sur la manière de divulguer des informations, puis offrir les ressources nécessaires pour mettre en place des procédures encourageant les employés à se manifester et garantissant un environnement sûr pour les dénonciations », dit-elle.

Deuxièmement, les pays doivent améliorer leur législation afin d'y inclure une solide protection contre les représailles à l'encontre des employés IT, en rendant illégales les représailles de la part de diverses entités. Cela comprend les pressions liées à l'emploi, le harcèlement, le doxing, la mise sur liste noire et les enquêtes de représailles. Les États-Unis, par exemple, ne disposent pas de lois fédérales destinées à protéger les employés qui dénoncent des problèmes de cybersécurité. Toutefois, les dispositions anti-représailles sont suffisamment larges pour s'appliquer à de tels cas. Par exemple, certaines lois qui s'opposent à la punition des dénonciateurs d'entreprises et des personnes qui révèlent des méfaits commis avec des fonds fédéraux peuvent également s'appliquer aux dénonciateurs dans le domaine de la technologie. En outre, en 2021, l'initiative civile de lutte contre la cyberfraude du ministère américain de la justice (DOJ) a ouvert la voie à l'utilisation de la loi sur les fausses réclamations (False Claims Act) à l'encontre des entreprises publiques et des bénéficiaires de subventions qui soumettent de fausses déclarations de conformité aux normes de cybersécurité. En complément, un certain nombre d’autres lois peuvent s’appliquer aux lanceurs d’alerte qui signalent des problèmes liés à la technologie.

L’Union européenne progresse sur le terrain de la protection

L'Union européenne a également progressé dans la protection des lanceurs d’alerte. Les États membres ont été invités à transposer la directive européenne 2019/1937 dans leur cadre juridique, et les pays qui ne l'ont pas fait (Allemagne, Estonie, Espagne, Italie, Luxembourg, Hongrie, Pologne et Tchécoslovaquie) ont été renvoyés devant la Cour de justice en février de cette année. La directive demandait aux États membres de l'UE de renforcer la protection des lanceurs d’alerte dans les secteurs public et privé, notamment en créant un système solide de protection contre les représailles. Toutefois, les progrès réalisés sur le plan législatif doivent être accompagnés de progrès similaires dans les pratiques des entreprises.

À l’échelle nationale, la transposition en France de la directive européenne sur la protection des lanceurs d’alerte par la loi dite « Waserman » ainsi que par son décret d’application du 3 octobre 2022, modifient de façon importante des règles en la matière. Cela concerne notamment l’élargissement de la définition des alertes et des catégories des personnes susceptibles d’émettre une alerte ou de bénéficier d’un régime de protection en lien avec celle-ci ainsi que la création de règles procédurales. « Si les changements de fond concernent principalement des alertes de droit commun, dites « alertes professionnelles internes », le nouveau régime concerne également les alertes dites « sectorielles », relevant des règlementations spécifiques » indique la Commission nationale de l’informatique et des libertés. En effet, les textes prévoient un « socle commun » de garanties minimales au profit de l’ensemble des lanceurs d’alertes, quel que soit le régime (général ou spécifique) dont relèverait le signalement.

La Cnil et l’Anssi veillent sur les lanceurs d’alerte

Dans son travail continu de suivi de la réglementation et de pédagogie envers les professionnels, la Cnil a ainsi mis à jour son référentiel « alertes professionnelles » initialement publié en 2019. Cette dernière version tient compte de l’ensemble des contributions reçues lors de la consultation publique ouverte du 6 avril au 5 mai 2023. De son côté, l’Anssi a également mis en place un dispositif spécifique pour recueillir et traiter les signalements des lanceurs d’alerte, s’adaptant ainsi aux évolutions récentes de la règlementation en matière des signalements professionnels. « Le dispositif de signalement par un lanceur d’alerte concerne des informations portant sur un crime, un délit, une menace ou un préjudice pour l’intérêt général, une violation ou une tentative de dissimulation d’une violation d’un engagement international régulièrement ratifié ou approuvé par la France, d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un tel engagement, du droit de l’Union européenne, de la loi ou du règlement » précise l’Anssi dans un communiqué.

L’agence rappelle par ailleurs que signaler une alerte « n’est pas un acte anodin », « le dispositif lanceur d’alerte ne prévoit pas de dispense à l’article 40 du code de procédure pénale qui dispose que « toute autorité constituée, tout officier public ou fonctionnaire qui, dans l’exercice de ses fonctions, acquiert la connaissance d’un crime ou d’un délit est tenu d’en donner avis sans délai au procureur de la République et de transmettre à ce magistrat tous les renseignements, procès-verbaux et actes qui y sont relatifs ». » Pour saisir l’Anssi, toute personne peut prendre contact par mail à l’adresse dédiée, par téléphone ou encore par voie postale en s’adressant au Secrétariat général de la défense et de la sécurité nationale.