Chaque année, CERT.be reçoit des milliers de signalements de citoyens et d’organisations, victimes de cyberattaques. Derrière ce chiffre, se cachent des tentatives ou des actes de phishing, de fraude informatique, d’escroquerie, etc. Outre les risques financiers et de réputation, ces cyber incidents sont de nature à engager la responsabilité de l’organisation ciblée. Celle-ci a donc tout intérêt à adopter des mesures de sécurité et à tester régulièrement la résilience de ces dernières. Dans ce cadre, le pentesting est la solution toute trouvée.
Pourquoi recourir au pentesting ?
Outre les dommages directs (perte de confiance des clients, indisponibilité des informations, perte de revenus, etc.), la société ciblée par une attaque informatique doit assumer les conséquences légales qui en découlent, notamment au regard du RGPD et de la directive NIS.
Tout d’abord, le RGPD impose une série d’obligations concernant la sécurité des traitements de données à caractère personnel. À cet égard, les sociétés doivent adopter des mesures qui leur permettent de garantir un niveau de sécurité adapté au risque encouru. Par ailleurs, celles-ci sont tenues, dans l’hypothèse d’une violation de données, de signaler l’incident à l’Autorité de protection des données. À défaut de respecter ces obligations, ladite autorité a le pouvoir de sanctionner la société contrevenante. Les conseils d‘avocats spécialiés en matière de protection des données sont indispensables pour se conformer aux obligations légales en la matière.
Ensuite, les sociétés, qui peuvent être qualifiées d’opérateurs de services essentiels ou de fournisseurs de services numériques, sont également tenues de respecter la directive NIS, et a fortiori, la loi de transposition belge. À nouveau, cet instrument impose des obligations de sécurité selon une approche basée sur les risques, ainsi qu’une obligation de notification à l’autorité compétente.
En conséquence, il appartient aux entreprises de définir une politique en matière de sécurité informatique (sensibilisation des acteurs, adoption de mesures techniques, etc.).
Qu’est-ce que le pentesting ?
Pour ce faire, elles peuvent recourir au pentesting. Le pentesting (ou tests d’intrusion) est une méthode d’évaluation de la sécurité d’un système informatique. Cette méthode se distingue des audits de sécurité ordinaires dès lors que le prestataire de pentest (ou pentester) adopte l’attitude d’un hacker mal attentionné. En effet, celui-ci a pour mission de simuler une attaque au sein des infrastructures de la société afin d’en tester la résilience. Celle-ci est d’ordre informatique mais peut également inclure des tests d’intrusion physiques, de l’ingénierie sociale, etc. Sur cette base, il dresse un rapport afin de permettre à la société d’améliorer son niveau de sécurité.
Comment recourir au pentesting ?
Le pentesting est une forme particulière d’audit de sécurité informatique. Il est donc nécessaire de suivre un protocole strict, précisé dans le cadre d’un contrat. Au bas mot, celui-ci doit mentionner les règles d’engagement (ce qui est permis ou non de faire), prévoir une journalisation complète des gestes du pentester et définir son périmètre d’action (environnement de test, de production, etc.), ainsi que son lieu d’exécution (depuis les locaux de l’entreprise ou en externe).
À cet égard, il est nécessaire que la société octroie, de manière expresse, au pentester, l’autorisation d’accéder à (une partie de) son système informatique. À défaut, l’expert en cybersécurité pourrait faire l’objet de poursuites pénales. En effet, le droit belge incrimine le fait d’accéder de manière non autorisée à un système informatique, même s’il est possible sans certaines conditions d‘invoquer une cause de justification depuis le 15 février 2023.
Par ailleurs, la conclusion d’un contrat est également imposée par l’article 28 du RGPD, selon lequel le traitement par un sous-traitant doit être régi par une convention spécifique. Effectivement, le pentester peut être amené, lorsqu’il effectue ses tests, à traiter les données de la société visée. Dans ce cas de figure, il endosse la qualité de sous-traitant des données.
Unsere Empfehlung:
Afin de respecter vos obligations de sécurité, nous vous conseillons de recourir au pentesting.
Cette méthode vous permet de vérifier, à un moment T, si vos infrastructures sont aptes à résister à une attaque informatique.
Pour ce faire, il est indispensable de signer une convention avec le pentester. À défaut, celui-ci pourrait utiliser des méthodes d’intrusion trop agressives, accéder aux parties les plus sensibles de votre infrastructure, mettre en péril l’intégrité de vos données ou la continuité de votre service. Par ailleurs, vous vous exposerez à des sanctions financières pour non-respect du RGPD.
Pour la rédaction de cette convention, faites appel à un professionnel du droit.
Forts d’une expérience solide en matière de cybersécurité, les membres de notre département Creactivity pourront vous assister dans cette démarche.
N’hésitez pas à visionner ici notre webinaire dédié à la question.
