1. Qu’est-ce qu’une politique de divulgation coordonnée des vulnérabilités (ou en anglais « coordinated vulnerability disclosure policy » – CVDP) ?

C’est un ensemble de règles préalablement déterminées par une organisation responsable de systèmes d’information autorisant des participants (ou « hackers éthiques ») à rechercher, avec de bonnes intentions, de potentielles vulnérabilités dans ses systèmes, ou à lui transmettre toute information pertinente à ce sujet. Ces règles, généralement rendues publiques sur un site internet, permettent de fixer un cadre juridique à la collaboration entre l’organisation responsable et les participants à la politique. Elles doivent notamment assurer la confidentialité des informations échangées et encadrer, de manière responsable et coordonnée, une éventuelle divulgation des vulnérabilités découvertes. Ainsi, la notion de « divulgation » ne doit pas être comprise comme impliquant nécessairement une communication publique de la vulnérabilité mais plutôt une communication du participant vers l’organisation responsable.

Si la divulgation de la vulnérabilité par le participant à l’organisation responsable est obligatoire, la divulgation publique de la vulnérabilité (par le participant ou l’organisation concernée) est, en revanche, facultative dans le cadre d’une CVDP. Une vulnérabilité est une faiblesse, une susceptibilité ou une faille d’un réseau et système d’information qui peut être exploitée par une cybermenace. Une vulnérabilité peut conduire potentiellement à un événement inattendu ou indésirable, et être exploitée par des tiers malveillants en vue de violer l’intégrité, l’authenticité, la confidentialité, la disponibilité d’un système ou d’endommager.

2. Qu’est-ce qu’un programme de récompense pour la découverte de vulnérabilités (ou « bug bounty » en anglais) ?

Un programme de récompense pour la découverte de vulnérabilités est un ensemble des règles définies par une organisation pour octroyer des récompenses aux participants qui identifieraient des vulnérabilités dans les technologies qu’elle utilise. Cette récompense peut prendre la forme d’une somme d’argent, de cadeaux ou d’une reconnaissance publique (classement parmi les meilleurs participants, publication, conférence, etc). Il s’agit d’une forme de politique de divulgation coordonnée de vulnérabilités, qui prévoit l’octroi d’une récompense pour le participant, en fonction du nombre, de l’importance ou de la qualité des informations transmises. Cette forme de politique est plus attrayante pour les éventuels participants et offre souvent de meilleurs résultats pour les organisations. L’organisation peut notamment faire appel à une plate-forme de bug bounty qui lui offre une assistance technique et administrative pour la gestion de son programme de récompense pour la découverte de vulnérabilités (rôle de coordinateur). 

3. Qu’est-ce qu’un coordinateur ?

Un coordinateur est une personne physique ou morale qui sert d’intermédiaire entre le participant et l’organisation responsable d’un système d’information en fournissant une assistance logistique, technique et juridique, ou encore d'autres fonctions, afin de faciliter leur collaboration. A défaut de coordinateur désigné dans la politique, ce rôle est alors joué par le Centre pour la Cybersécurité Belgique (CCB - vulnerabilityreport@cert.be).

4. Qu’est-ce qu’un participant à une CVDP ou « hacker éthique » ?

C’est une personne bien intentionnée qui souhaite contribuer, avec l’autorisation de l’organisation responsable, à l’amélioration de la sécurité de systèmes d’information. Celui-ci peut, par exemple, réaliser des tests d'intrusion ou utiliser d’autres méthodes pour vérifier la sécurité de systèmes d’information. Il s’oppose au hacker qui utilise ses compétences pour tenter d’accéder à un système sans autorisation et avec de mauvaises intentions. Le participant entend quant à lui avertir le responsable du système d’information, ou un coordinateur, des éventuelles vulnérabilités découvertes afin de les éliminer.

5. Est-ce légal derechercher et de signaler des vulnérabilités en Belgique (dans le cadre d’une CVDP, d’un programme de récompense ou même en dehors de telles politiques) ?

Une CVDP ou un programme de récompense pour la découverte de vulnérabilités constitue une forme de contrat d’adhésion dans lequel les principales dispositions contractuelles sont fixées par l’organisation responsable d’un système d’information et ensuite acceptées par le participant lorsque celui-ci décide librement de participer au programme mis en place. L’adoption d’une telle politique clarifie la situation juridique des participants en leur permettant de prouver, moyennant le respect des conditions énoncées dans la politique, l’existence d’une autorisation préalable d’accès aux systèmes informatiques concernés et dès lors l’absence d’une intrusion illicite (voir Guide sur les politiques de divulgation coordonnée de vulnérabilités. Partie II : Aspects légaux).

Depuis l’adoption de nouvelles dispositions légales en 2023, le CCB peut également recevoir le signalements de potentielles vulnérabilités par des personnes physiques ou morales. Ce régime légal peut également s’appliquer lorsque des difficultés se présentent dans le cadre d’une CVDP ou d’un programme de récompense. Il est néanmoins soumis à des conditions, notamment la limitation stricte aux actions nécessaires et proportionnées, l’absence d’intention frauduleuse ou dessein de nuire, ou encore la notification et le signalement, le plus rapidement possible, respectivement à l’organisation responsable du système et au CCB. Pour plus d’informations, consultez notre page Signalement des vulnérabilités au CCB.

En dehors des cadres précités, il n’est pas légal de détenir (de partager ou de vendre) des informations sur des vulnérabilités informatiques ou « exploits » (programmes informatiques qui utilisent la vulnérabilité), obtenus suite à une intrusion non autorisée dans un système informatique et ce même si la personne en question n’est pas responsable de l’intrusion non autorisée concernée.

6. Quels sont les avantages d’une CVDP ou d’un programme de récompense pour la découverte de vulnérabilités ?

Une CVDP peut procurer de manière loyale et licite à l’organisation responsable des informations sur les vulnérabilités de ses systèmes, en lui permettant d’agir de manière appropriée et en temps opportun. Celle-ci permet ainsi de prévenir efficacement ou de limiter, dans la mesure du possible, les risques et les dommages potentiels que pourraient lui causer ces vulnérabilités. En complément à d’autres mesures techniques et organisationnelles, la mise en place d’une CVDP constitue une mesure technique et organisationnelle appropriée en vue de prévenir les incidents qui compromettraient la sécurité de ses réseaux et systèmes d'information (et de ses données à caractère personnel). Elle présente l’avantage indéniable d’identifier les vulnérabilités et d’y remédier avant qu’un incident de sécurité ne se produise.

Bien entendu, l’attractivité et l’efficacité de la politique sont augmentées lorsque l’organisation responsable décide d’accorder des récompenses aux participants en fonction de l’importance et de la qualité des informations fournies (dans le cadre d’un programme de récompense pour la découverte de vulnérabilités ou bug bounty). Même lorsque l’organisation octroie des récompenses et fait appel à un coordinateur externe (plate-forme de hacking éthique), les coûts liés à la mise en place d’une politique de divulgation coordonnée de vulnérabilités sont, en général, mieux maîtrisés que ceux liés à la réalisation d’audits par des entreprises externes. En effet, l’octroi d’une récompense dans le cadre d’un programme de récompense pour la découverte de vulnérabilités résulte d’une obligation de résultat dans le chef du participant alors que l’auditeur externe n’est généralement tenu qu’à une obligation de moyens. Ce dernier devrait ainsi être rémunéré pour l’ensemble de ses prestations même s’il ne trouve pas de vulnérabilités ou des vulnérabilités mineures à l’issue de ses recherches. Les standards techniques internationaux en matière de sécurité des technologies de l’information conseillent d’ailleurs explicitement la mise en œuvre d’une CVDP (voy. par exemple : les normes internationales ISO/IEC 29147 et 30111).

L’adoption d’une CVDP encourage également des connaissances et des recherches en matière de cybersécurité. Cette démarche implique l’engagement de l’organisation concernée de traiter les informations fournies par les participants et d’essayer de remédier aux vulnérabilités identifiées, ou à tout le moins d’informer les utilisateurs des risques encourus. Cet engagement peut par ailleurs constituer un argument marketing et être mis en avant dans la communication de l’organisation. La confiance dans les systèmes d’information est assurément un élément important pour les utilisateurs ou les consommateurs. Une CVDP permet l’établissement d’un cadre juridique entre des hackers éthiques et l’organisation, ce qui renforce la confidentialité des informations, encadre au mieux une éventuelle divulgation publique, et évite d’éventuelle atteinte à la réputation de l’organisation. Enfin, la mise en œuvre d’une politique de divulgation coordonnée permet de prouver les efforts de l’organisation pour le respect de ses obligations légales de sécurité de ses réseaux et systèmes d’information : Règlement général sur la protection des données UE n°2016/679 (« RGPD »), loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique (« loi NIS »), règles de responsabilité civile, Code de droit économique, etc. (voir Guide sur les politiques de divulgation coordonnée de vulnérabilités. Partie I : Bonnes pratiques).

7. Que se passe-t-il si un participant ne respecte pas les conditions de la CVDP ?

Le participant à une CVDP doit, en principe, respecter strictement les conditions de la politique de l’organisation responsable du système informatique. A titre d’alternative et si toutes les conditions légales sont respectées (dont un signalement au CCB), le participant peut également appliquer la procédure de signalement des vulnérabilités tel que évoquée à la question 5. En dehors de ces situations, le participant ne bénéficie pas d’une protection légale et pourrait être poursuivi pour ses actions de recherches de vulnérabilités.

8. Comment devient-on un hacker éthique ?

L’accès à la profession de participant à une CVDP ou “hacker éthique” n’est pas règlementée. Tout le monde peut donc se déclarer comme “hacker éthique”. Le hacker éthique peut néanmoins démontrer ses compétences par ses diplômes, ses formations, son expérience professionnelle ou encore réussir des tests auprès de l’organisation responsable (ou d’un coordinateur gestionnaire d’une plate-forme de bug bounty par exemple). On peut mentionner qu’il existe aussi des formations reconnues en la matière (voir notamment la certification « Certified Ethical Hacker - (CEH) » organisée par l’organisation International Council of Electronic Commerce Consultants (EC-Council) et qui est reconnue par l’American National Standards Institute (ANSI)).

9. Qui dois-je contacter si l’organisation responsable du système d’information ne dispose pas d’une CVDP ?

Lorsqu’il n’existe pas de CVDP ou de programme de récompense pour la découverte de vulnérabilités (privé ou public), le hacker éthique devra respecter les conditions légales de la procédure de signalement des vulnérabilités pour être autorisé, au regard du droit belge, à tester la sécurité du système d’information de l’organisation responsable.

10. Que se passe-t-il en cas de traitement de données à caractère personnel dans le cadre d’une CVDP ?

L’objet d’une CVDP n’est pas d’effectuer intentionnellement des traitements de données à caractère personnel mais il est possible que le participant doive, même de manière fortuite, traiter des données à caractère personnel dans le cadre de ses recherches de vulnérabilités. Or, le traitement de données à caractère personnel a une portée large et inclut notamment la conservation, la modification, l'extraction, la consultation, l'utilisation ou la communication de toute information pouvant se rapporter à une personne physique identifiée ou identifiable. Le caractère « identifiable » de la personne ne dépend pas de la simple volonté d'identification de celui qui traite les données mais de la possibilité d'identifier, directement ou indirectement, la personne à l'aide de ces données (par exemple : une adresse de courriel, numéro d'identification, identifiant en ligne, adresse IP ou encore des données de localisation). Le responsable du traitement est la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement.

Dès lors que la CVDP constitue une forme de contrat d’adhésion qui lie le hacker éthique à l'égard de l’organisation responsable, il s’avère utile d’y préciser les obligations des parties en matière de traitements de données à caractère personnel, notamment les finalités et les moyens essentiels des éventuels traitements effectués dans le cadre de cette politique (voir Guide – partie I Bonnes pratiques et partie II Aspects légaux).