Hacking éthique : dans quel cas est-ce dépénalisé ?

Qu’est-ce que le hacking éthique ?

Le hacking éthique, vous connaissez ? Il s’agit de l’art de pénétrer volontairement dans les systèmes informatiques pour y détecter des failles de sécurité, dans le but d’en avertir les responsables et de contribuer à une meilleure cybersécurité de l’organisation.

Bien que cette pratique soit aujourd’hui largement reconnue comme utile et légitime, elle n’a pas toujours été tolérée par le droit pénal. Jusqu’en 15 février 2023, le hacker, même animé par des intentions louables, commettait une infraction pénale.

Le hacker éthique : lanceur d’alerte encadré ?

En 2023, dans la loi dite « lanceurs d’alerte », le législateur belge a introduit une cause de justification pénale,  protégeant les hackers dits « éthiques », ou hackers blancs, appelés dans la loi « auteurs de signalement d’une vulnérabilité ».

Cette initiative belge était une première en Europe, qui vise à encourager le hacking éthique comme un moyen efficace de renforcer la cybersécurité des organisations. Elle s’inscrit dans le cadre de la mise en œuvre de la stratégie nationale en matière de cybersécurité.

Mais depuis octobre 2024, l’entrée en vigueur en Belgique de la loi NIS 2, transposant la directive européenne du même nom, a renforcé et précisé ce régime.

A quelles conditions peut-on signaler une vulnérabilité sans craindre de sanction pénale ?

Désormais, l’auteur d’un signalement n’encourt pas de poursuites pénales, à condition de respecter les conditions suivantes :

• Signalement rapide : les vulnérabilités découvertes doivent être signalées au Centre for Cybersecurity Belgium (CCB) (via la page dédiée), ainsi qu’à l’organisation propriétaire du système vulnérable :
  • Une notification simple doit être faite dans les 24 heures
  • Un rapport complet doit être transmis dans les 72 heures de la découverte
• But désintéressé et absence d’intention malveillante : L’auteur de signalement ne peut agir dans le but d’en tirer un profit illégitime, ni causer volontairement un dommage ;
• Confidentialité : il ne peut pas divulguer à quiconque d’autre les informations recueillies, sans l’accord du CCB ;
• Proportionnalité des moyens :  Seules les actions strictement limitée à ce qui est nécessaire et proportionné sont permises : les installations de malwares, les attaques DDOS, le phishing ou la suppression de données sont expressément exclues ;
• Seules les actions strictement limitée à ce qui est nécessaire et proportionné sont permises : les installations de malwares, les attaques DDOS, le phishing ou la suppression de données sont expressément exclues ;
• Pas d’intervention physique sans consentement : clarification vis-à-vis de l’ancien régime, les tests physiques, tels que l’accès aux locaux ou aux serveurs ne sont plus couverts par la cause de justification sans le consentement préalable de l’organisation visée.
• Champ d’application territorial : la protection ne vaut que pour les systèmes situés en Belgique ou les entités belges. Les tests sur les infrastructures étrangères restent donc juridiquement risqués, même si le hacker est belge.

En outre, pour certains organismes sensibles (services de renseignement, autorités judiciaires…), un accord écrit préalable devra être conclu, définissant les modalités précises et la méthodologie à utiliser dans le cadre de l’intervention.

Quels types d’infractions sont concernés ?

La cause de justification ne s’applique qu’à certains délits informatiques bien définis, tels que :

• L’intrusion dans un système
• L’interception de communications ;
• L’introduction ou la modification non autorisée de données
• Les atteintes au secret professionnel
• La fraude informatique