Nouveau cadre juridique pour le signalement de vulnérabilité informatique
15 février 2023
Les cybercriminels recherchent activement des vulnérabilités et les utilisent ensuite pour pénétrer dans des systèmes ou des réseaux. Ils peuvent le faire pour voler des données, pour saboter, pour lancer une attaque par ransomware ou même à des fins d'espionnage.
Mais il existe aussi des personnes bien intentionnées qui recherchent activement les vulnérabilités, que ce soit ou non à la demande de l’organisation concernée. Ils fournissent ensuite le résultat de leurs recherches à l'organisation concernée afin qu’elle puisse mieux sécuriser ses systèmes ou ses réseaux.
Un nouveau cadre juridique
Afin de clarifier la situation de ces personnes bien intentionnées, un nouveau cadre juridique entre en vigueur ce 15 février 2023. Celui-ci décrit comment une personne physique ou morale, sans intention frauduleuse ou intention de nuire, peut rechercher et signaler des vulnérabilités informatiques en Belgique.
Les principes de base sont le respect de la proportionnalité et de la nécessité : le chercheur ne doit effectuer que les actions strictement nécessaires et proportionnées pour démontrer l'existence d’une vulnérabilité. À moins qu'une récompense n’ait été convenue à l'avance (comme, par exemple, dans le cadre d'un programme de bug bounty ou d'un contrat de pentest), le chercheur ne peut pas demander de récompense ou de paiement.
L'une des conditions légales imposées est que la vulnérabilité découverte doit être signalée aussi vite que possible à l’organisation responsable du système informatique et au Centre pour la Cybersécurité Belgique (CCB) selon la procédure prévue à cet effet.
Enfin, la personne ne peut en aucun cas divulguer publiquement ou à des tiers la vulnérabilité découverte sans l'autorisation du CCB.