www.belgium.be Logo of the federal government

Foire aux questions (FAQ) sur les politiques de divulgation coordonnée des vulnérabilités et les bug bounties.

Les présentes FAQ vise à exposer les concepts, les objectifs, les questions juridiques et les bonnes pratiques liées à l’adoption de politiques de divulgation coordonnée de vulnérabilités (ou Coordinated Vulnerability Disclosure Policies – « CVDP ») dans l’état actuel de la législation en Belgique – voir les Guides sur le site du CCB.

L’attention des lecteurs est attirée sur le fait que les documents élaborés par le CCB ne constituent nullement une modification des règles légales existantes. L’accès non autorisé au système informatique d’un tiers, même avec de bonnes intentions est une infraction pénale.

Le participant à une CVDP doit être conscient qu’il ne bénéficie pas d’une exclusion générale de responsabilité lorsqu’il participe à une telle politique : il doit agir avec précaution et respecter scrupuleusement toutes les conditions de la politique, ainsi que les dispositions légales applicables.

1. Qu’est-ce qu’une politique de divulgation coordonnée des vulnérabilités (ou en anglais « coordinated vulnerability disclosure policy » – CVDP) ?

C’est un ensemble de règles préalablement déterminées par une organisation responsable de systèmes d’information autorisant des participants (ou « hackers éthiques ») à rechercher, avec de bonnes intentions, de potentielles vulnérabilités dans ses systèmes, ou à lui transmettre toute information pertinente à ce sujet. Ces règles, généralement rendues publiques sur un site internet, permettent de fixer un cadre juridique à la collaboration entre l’organisation responsable et les participants à la politique. Elles doivent notamment assurer la confidentialité des informations échangées et encadrer, de manière responsable et coordonnée, une éventuelle divulgation des vulnérabilités découvertes.

Ainsi, la notion de « divulgation » ne doit pas être comprise comme impliquant nécessairement une communication publique de la vulnérabilité mais plutôt une communication du participant vers l’organisation responsable. Si la divulgation de la vulnérabilité par le participant à l’organisation responsable est obligatoire, la divulgation publique de la vulnérabilité (par le participant ou l’organisation concernée) est, en revanche, facultative dans le cadre d’une CVDP.

Une vulnérabilité est un défaut ou une faiblesse, une erreur de conception ou de mise en œuvre, une absence de mise à jour au regard des connaissances techniques actuelles et qui peut compromettre la sécurité de technologies de l’information. Une vulnérabilité peut conduire potentiellement à un événement inattendu ou indésirable, et être exploitée par des tiers malveillants en vue de violer l’intégrité, l’authenticité, la confidentialité, la disponibilité d’un système ou d’endommager.

2. Qu’est-ce qu’un programme de récompense pour la découverte de vulnérabilités (ou « bug bounty » en anglais) ?

Un programme de récompense pour la découverte de vulnérabilités est un ensemble des règles définies par une organisation pour octroyer des récompenses aux participants qui identifieraient des vulnérabilités dans les technologies qu’elle utilise. Cette récompense peut prendre la forme d’une somme d’argent, de cadeaux ou d’une reconnaissance publique (classement parmi les meilleurs participants, publication, conférence, etc).

Il s’agit d’une forme de politique de divulgation coordonnée de vulnérabilités, qui prévoit l’octroi d’une récompense pour le participant, en fonction du nombre, de l’importance ou de la qualité des informations transmises.

Cette forme de politique est plus attrayante pour les éventuels participants et offre souvent de meilleurs résultats pour les organisations. L’organisation peut notamment faire appel à une plate-forme de bug bounty qui lui offre une assistance technique et administrative pour la gestion de son programme de récompense pour la découverte de vulnérabilités (rôle de coordinateur).

Par exemple : www.intigriti.com (Belgique); www.yeswehack.com ou www.yogosha.com (France); www.hackerone.com, www.bugcrowd.com (USA).

3. Qu’est-ce qu’un coordinateur ?

Un coordinateur est une personne physique ou morale qui sert d’intermédiaire entre le participant et l’organisation responsable d’un système d’information en fournissant une assistance logistique, technique et juridique, ou encore d'autres fonctions, afin de faciliter leur collaboration.

A défaut de coordinateur désigné dans la politique, ce rôle est alors joué par le Centre pour la Cybersécurité Belgique (CCB - vulnerabilityreport@cert.be).

4. Qu’est-ce qu’un participant à une CVDP ou « hacker éthique » ?

C’est une personne bien intentionnée qui souhaite contribuer, avec l’autorisation de l’organisation responsable, à l’amélioration de la sécurité de systèmes d’information. Celui-ci peut, par exemple, réaliser des tests d'intrusion ou utiliser d’autres méthodes pour vérifier la sécurité de systèmes d’information.

Il s’oppose au hacker qui utilise ses compétences pour tenter d’accéder à un système sans autorisation et avec de mauvaises intentions. Le participant entend quant à lui avertir le responsable du système d’information, ou un coordinateur, des éventuelles vulnérabilités découvertes afin de les éliminer.

5. Est-ce légal de participer à une CVDP ou à un programme de récompense pour la découverte de vulnérabilités en Belgique?

Une CVDP ou un programme de récompense pour la découverte de vulnérabilités constitue une forme de contrat d’adhésion dans lequel les principales dispositions contractuelles sont fixées par l’organisation responsable d’un système d’information et ensuite acceptées par le participant lorsque celui-ci décide librement de participer au programme mis en place.

L’adoption d’une telle politique clarifie la situation juridique des participants en leur permettant de prouver, moyennant le respect des conditions énoncées dans la politique, l’existence d’une autorisation préalable d’accès aux systèmes informatiques concernés et dès lors l’absence d’une intrusion illicite (voir Guide sur les politiques de divulgation coordonnée de vulnérabilités. Partie II : Aspects légaux).

A l’inverse, il n’est pas légal en Belgique, même avec de bonnes intentions, de procéder à des tests de sécurité informatique sur les systèmes d’une organisation qui ne dispose pas préalablement d’une CVDP ou ne participe pas un programme de récompense pour la découverte de vulnérabilités. Il s’agirait dans ce cas de tentatives ou d’intrusions non autorisées dans un système informatique, lesquelles sont pénalement sanctionnables.

De même, il n’est pas légal de détenir (de partager ou de vendre) des informations sur des vulnérabilités informatiques ou « exploits » (programmes informatiques qui utilisent la vulnérabilité), obtenus suite à une intrusion non autorisée dans un système informatique et ce même si la personne en question n’est pas responsable de l’intrusion non autorisée concernée.

6. Quels sont les avantages d’une CVDP ou d’un programme de récompense pour la découverte de vulnérabilités ?

Une CVDP peut procurer de manière loyale et licite à l’organisation responsable des informations sur les vulnérabilités de ses systèmes, en lui permettant d’agir de manière appropriée et en temps opportun. Celle-ci permet ainsi de prévenir efficacement ou de limiter, dans la mesure du possible, les risques et les dommages potentiels que pourraient lui causer ces vulnérabilités.

En complément à d’autres mesures techniques et organisationnelles, la mise en place d’une CVDP constitue une mesure technique et organisationnelle appropriée en vue de prévenir les incidents qui compromettraient la sécurité de ses réseaux et systèmes d'information (et de ses données à caractère personnel). Elle présente l’avantage indéniable d’identifier les vulnérabilités et d’y remédier avant qu’un incident de sécurité ne se produise. Bien entendu, l’attractivité et l’efficacité de la politique sont augmentées lorsque l’organisation responsable décide d’accorder des récompenses aux participants en fonction de l’importance et de la qualité des informations fournies (dans le cadre d’un programme de récompense pour la découverte de vulnérabilités ou bug bounty).

Même lorsque l’organisation octroie des récompenses et fait appel à un coordinateur externe (plate-forme de hacking éthique), les coûts liés à la mise en place d’une politique de divulgation coordonnée de vulnérabilités sont, en général, mieux maîtrisés que ceux liés à la réalisation d’audits par des entreprises externes. En effet, l’octroi d’une récompense dans le cadre d’un programme de récompense pour la découverte de vulnérabilités résulte d’une obligation de résultat dans le chef du participant alors que l’auditeur externe n’est généralement tenu qu’à une obligation de moyens. Ce dernier devrait ainsi être rémunéré pour l’ensemble de ses prestations même s’il ne trouve pas de vulnérabilités ou des vulnérabilités mineures à l’issue de ses recherches.

Les standards techniques internationaux en matière de sécurité des technologies de l’information conseillent d’ailleurs explicitement la mise en œuvre d’une CVDP (voy. par exemple : les normes internationales ISO/IEC 29147 et 30111). L’adoption d’une CVDP encourage également des connaissances et des recherches en matière de cybersécurité.

Cette démarche implique l’engagement de l’organisation concernée de traiter les informations fournies par les participants et d’essayer de remédier aux vulnérabilités identifiées, ou à tout le moins d’informer les utilisateurs des risques encourus. Cet engagement peut par ailleurs constituer un argument marketing et être mis en avant dans la communication de l’organisation. La confiance dans les systèmes d’information est assurément un élément important pour les utilisateurs ou les consommateurs.

Une CVDP permet l’établissement d’un cadre juridique entre des hackers éthiques et l’organisation, ce qui renforce la confidentialité des informations, encadre au mieux une éventuelle divulgation publique, et évite d’éventuelle atteinte à la réputation de l’organisation.

Enfin, la mise en œuvre d’une politique de divulgation coordonnée permet de prouver les efforts de l’organisation pour le respect de ses obligations légales de sécurité de ses réseaux et systèmes d’information : Règlement général sur la protection des données UE n°2016/679 (« RGPD »), loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique (« loi NIS »), règles de responsabilité civile, Code de droit économique, etc. (voir Guide sur les politiques de divulgation coordonnée de vulnérabilités. Partie I : Bonnes pratiques).

7. Que se passe-t-il si un participant ne respecte pas les conditions de la CVDP ?

Le participant à une CVDP doit respecter strictement les conditions de la CVDP et les dispositions légales applicables.

A défaut, le participant ne bénéficiera plus de la protection de la CVDP et pourra être considéré comme un criminel, indépendamment de ses bonnes intentions.

8. Comment devient-on un hacker éthique ?

L’accès à la profession de participant à une CVDP ou “hacker éthique” n’est pas règlementée. Tout le monde peut donc se déclarer comme “hacker éthique”.

Le hacker éthique peut néanmoins démontrer ses compétences par ses diplômes, ses formations, son expérience professionnelle ou encore réussir des tests auprès de l’organisation responsable (ou d’un coordinateur gestionnaire d’une plate-forme de bug bounty par exemple).

On peut mentionner qu’il existe aussi des formations reconnues en la matière (voir notamment la certification « Certified Ethical Hacker - (CEH) » organisée par l’organisation International Council of Electronic Commerce Consultants (EC-Council) et qui est reconnue par l’American National Standards Institute (ANSI)).

9. Qui dois-je contacter si l’organisation responsable du système d’information ne dispose pas d’une CVDP ?

Lorsqu’il n’existe pas de CVDP ou de programme de récompense pour la découverte de vulnérabilités (privé ou public), le hacker éthique ne dispose pas d’une autorisation pour tester la sécurité du système d’information de l’organisation responsable.

Le hacker éthique devrait, en première ligne, essayer de contacter des professionnels qui sont coordinateurs externes dans le cadre de CVDP ou gestionnaires de programmes de récompense pour la découverte de vulnérabilités (bug bounty) pour les informer de la situation et leur demander conseil.

A défaut d’aide d’un tiers « coordinateur », le Centre pour la Cybersécurité Belgique pourra, en seconde ligne, fournir une assistance au hacker éthique (vulnerabilityreport@cert.be).

10. Que se passe-t-il en cas de traitement de données à caractère personnel dans le cadre d’une CVDP?

L’objet d’une CVDP n’est pas d’effectuer intentionnellement des traitements de données à caractère personnel mais il est possible que le participant doive, même de manière fortuite, traiter des données à caractère personnel dans le cadre de ses recherches de vulnérabilités.

Or, le traitement de données à caractère personnel a une portée large et inclut notamment la conservation, la modification, l'extraction, la consultation, l'utilisation ou la communication de toute information pouvant se rapporter à une personne physique identifiée ou identifiable. Le caractère « identifiable » de la personne ne dépend pas de la simple volonté d'identification de celui qui traite les données mais de la possibilité d'identifier, directement ou indirectement, la personne à l'aide de ces données (par exemple : une adresse de courriel, numéro d'identification, identifiant en ligne, adresse IP ou encore des données de localisation).

Le responsable du traitement est la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement.

Dès lors que la CVDP constitue une forme de contrat d’adhésion qui lie le hacker éthique à l'égard de l’organisation responsable, il s’avère nécessaire d’y préciser les obligations des parties en matière de traitements de données à caractère personnel, notamment les finalités et les moyens essentiels des éventuels traitements effectués dans le cadre de cette politique (voir Guide – partie I Bonnes pratiques et partie II Aspects légaux).