Experts : Le système de cybersécurité indien manque de politique, de responsabilité et de conséquences
Des experts soulignent d'importantes lacunes dans le cadre de cybersécurité de l'Inde, notamment une politique obsolète, un organe de réglementation non responsable et l'absence de répercussions en cas de violation de sécurité ou pour les auditeurs.

L'écosystème de cybersécurité de l'Inde présente des lacunes critiques, notamment une politique nationale inchangée depuis 2013, une agence nationale de cybersécurité (CERT-In) non responsable, et l'absence de conséquences pour les auditeurs de sécurité et les entreprises qui ne protègent pas adéquatement les données. Ces problèmes, identifiés lors de consultations d'experts, sapent la capacité de défense du pays contre les cybermenaces.
Les principales préoccupations portent sur le manque de responsabilité de CERT-In. Des experts tels que Srikanth L et Kiran Jonnalagadda affirment que l'agence n'a aucune obligation légale d'agir sur les vulnérabilités signalées ni de répondre de son inaction. "Tout ce qui concerne CERT-In est comme un privilège", a expliqué Jonnalagadda. "S'ils en ont envie, ils feront quelque chose. Si vous ne pouvez pas les tenir responsables de la prestation du service, alors ce n'est pas un service. C'est un privilège."
Le problème est aggravé par le manque de transparence. CERT-In collecte des rapports sur les vulnérabilités de sécurité mais ne divulgue pas les résultats, créant un "trou noir" où les entreprises ont peu d'incitation à signaler les problèmes. Le chercheur en sécurité Karan Saini a partagé une expérience où CERT-In a affirmé avoir corrigé une vulnérabilité alors qu'elle restait exposée, illustrant le mécanisme de réponse inefficace de l'agence.
Les solutions proposées comprennent des réformes législatives pour rendre CERT-In légalement responsable, à l'instar de la loi indienne sur le droit à l'information (Right to Information Act). Alternativement, l'adoption d'un modèle tel que le système américain CVE (Common Vulnerabilities and Exposures), qui garantit une période de divulgation confidentielle suivie d'une publication obligatoire, pourrait améliorer la gestion des vulnérabilités.
En fin de compte, les experts soutiennent qu'une restructuration fondamentale de l'approche indienne en matière de cybersécurité est essentielle pour protéger son infrastructure numérique et établir la confiance entre les citoyens et les entreprises.