Le 15 février 2023, la Belgique mettait en place une loi autour des lanceurs d'alertes, pour permettre le piratage éthique. À condition de respecter plusieurs étapes clés, un hack n'est pas condamnable, même si la personne hackée n'a pas donné son accord.
Quelles sont les conditions à respecter ?
Avant l'application de cette loi, tout piratage, y compris le piratage éthique, était interdit en Belgique. La seule exception provenait des entreprises engageant des hackers éthiques par le biais de “bug bounties”. La coopération entre les hackers éthiques et les organisations s'inscrivait dans le cadre d'une "politique coordonnée de divulgation des vulnérabilités" (CVDP), ce qui évite aux hackers toute responsabilité pénale.
Désormais, n’importe quelle personne, physique ou morale, peut enquêter sur des organisations en Belgique afin d’y détecter des failles. Mais, pour ne pas être pénalement condamnable, chaque “piratage éthique” devra respecter quatres conditions émises dans le texte de loi.
Première condition, les hackers ne doivent pas avoir pour objectif de causer des dégâts ou obtenir des informations sensibles de l’entreprise cible. Cette condition bannit également le chantage d’un hacker envers les entreprises pour leur révéler de potentielles vulnérabilités.
Deuxième condition, la loi impose aux hackers de signaler toutes vulnérabilités au Centre pour la Cybersécurité Belgique (CCB), l’organisme national de réponse aux incidents de cybersécurité. Les hackers doivent également informer toutes défaillances aux entreprises qu’ils ont inspectées.
Troisième condition, les hackers ont interdiction d’aller plus loin que ce qui permet de prouver l’existence d’une faille de sécurité. De plus, ces derniers ne doivent pas obstruer un service de l’organisation malgré une enquête en cours.
Quatrième condition, les hackers ont l’obligation de ne pas divulguer d’information publiquement sans le consentement du CCB.
Quelles sont les conséquences de cette loi ?
En premier lieu, cette loi ne s’applique qu’en Belgique. Un piratage, même éthique, en dehors des frontières belges, sera jugé selon les lois où réside le service piraté.
Avec cette nouvelle loi, on doit s’attendre à ce qu’elle facilite le travail des hackers éthiques dans la découverte des vulnérabilités et le renforcement de la cybersécurité en Belgique. Néanmoins, de nombreux détails restent encore à fixer, comme les méthodes employées qui se doivent d’être “nécessaires et proportionnées”. Pourtant ces méthodes dépendent de la situation et on ne peut dire sur le moment quelle méthode est proportionnée ou non. Même problème pour le CCB au sujet des divulgations au public. Malgré la dangerosité des découvertes, aucune exception n’est autorisée et aucun délai minimum de réponse n’est obligé pour le CCB.
Cette loi nouvellement mise en place doit maintenant faire ses preuves. L’avenir dira si la Belgique sera la pionnière d’un profond changement en matière de cybersécurité ou non. C’est pourquoi, si cet article vous a plu et si vous envisagez une carrière dans la cybersécurité, n’hésitez pas à découvrir nos articles ou notre offre de formation sur CyberUniversity.
Source : twitter.com