Qu’est-ce que le hacking éthique ?
Le hacking éthique, vous connaissez ? Il s’agit de l’art de pirater les systèmes informatiques des autorités publiques ou des entreprises pour y déceler des failles de sécurité et les aider à se protéger des cyberattaques.
Bien que cela soit un acte bénéfique pour la sécurité informatique, cela n’a pas toujours été bien vu par la loi. Jusqu’au 15 février 2023, le hacker, même bien intentionné, commettait dans tous les cas une infraction pénale et pouvait être poursuivi.
Le hacker éthique : lanceur d’alerte ?
Dans la mouvance de la protection des lanceurs d’alerte, la Belgique a adopté une nouvelle cause de justification pénale pour protéger les hackers blancs, qui sont dénommés « auteur » de signalement d’une vulnérabilité ».
Cette initiative belge est une première en Europe, qui vise à encourager le hacking éthique comme un moyen efficace de renforcer la cybersécurité des organisations. Elle s’inscrit dans le cadre de la mise en œuvre de la stratégie nationale en matière de cybersécurité.
A quelles conditions peut-on signaler une vulnérabilité sans craindre de sanction pénale ?
Désormais, si un auteur de signalement d’une vulnérabilité est poursuivi en Belgique pour s’être introduit dans un système informatique, il pourra invoquer une cause de justification, pour autant qu’il respecte les conditions suivantes :
- Information immédiate : les vulnérabilités découvertes doivent être signalées :
- au Centre for Cybersecurity Belgium (CCB), via la page dédiée,
- à l’organisation propriétaire du système vulnérable.
Bien qu’aucun délai ne soit prescrit, il est dans l’intérêt de l’auteur du signalement de conserver les preuves des actions entreprises pour démontrer la rapidité du signalement.
- Confidentialité : il ne peut pas divulguer à quiconque d’autre les informations recueillies, sans l’accord du CCB ;
- Nature de l’intervention :
- Elle doit être limitée à ce qui est nécessaire et proportionné (par exemple, une attaque DDOS n’est pas une pratique proportionnée) ;
- L’action doit être faite sans action frauduleuse ou dessein de nuire, c’est-à-dire qu’elle ne peut aller au-delà de la détection de la faille, sans infliger de dommage à l’organisation ;
- But désintéressé : L’auteur de signalement ne peut pas demander de récompense financière, ce qui s’apparenterait à du rançonnage.
Il ne s’agit donc pas d’une dépénalisation à proprement parler, mais de l’introduction d’une cause de justification.
Our advice:
Votre organisation est susceptible de passer sous la loupe d’un hacker éthique, que celui-ci respecte ou non les conditions pour échapper à une infraction pénale.
Il est donc de votre intérêt d’adopter une politique de divulgation coordonnée des vulnérabilités (CVDP).
Une CVDP est en effet une sorte de contrat d’adhésion publié par votre organisation, qui autorise les participants à rechercher des vulnérabilités dans ses systèmes et à lui transmettre toute information pertinente, tout en assurant la confidentialité des informations.
Une CVDP permet donc à votre organisation non seulement d’être rapidement informée des vulnérabilités qui seraient constatées, mais également de garder la main sur la divulgation de ces informations.
Lexing est à votre disposition pour vous assister dans cette démarche.
D’autres articles sur le sujet :