Divulgation coordonnée de vulnérabilités (CVD)

Une politique CVD ou un programme de récompense/bug bounty pour la découverte de vulnérabilités est une forme de contrat dont les principales dispositions contractuelles sont fixées par l'organisation responsable d'un système d'information spécifique, puis acceptées par le participant lorsque ce dernier décide librement de prendre part au programme mis en place. L'adoption d'une telle politique clarifie la situation juridique des participants en leur permettant de prouver, sous réserve du respect des conditions fixées dans la politique, l'existence d'une autorisation préalable d'accès aux systèmes informatiques concernés et donc l'absence d'intrusion illégale (voir Guide sur les politiques de divulgation coordonnée de vulnérabilités. Partie II : Aspects juridiques).

Depuis l'adoption de la procédure légale de signalement en 2023, le CCB peut également recevoir des signalements de vulnérabilités potentielles concernant des produits TIC ou des services TIC soumis au droit belge (même lorsque l'organisation ne dispose pas d'une politique CVD ou d'un programme de bug bounty). Cette procédure légale peut également être appliquée dans le cadre d'une politique CVD existante ou d'un programme de récompense. Toutefois, si le chercheur souhaite bénéficier d'une protection juridique, il doit respecter certaines conditions, notamment la limitation stricte aux actions nécessaires et proportionnées, l'absence d'intention frauduleuse ou malveillante, ainsi que la notification et le signalement à l'organisation responsable et au CCB. Pour plus d'informations, consultez notre page Signalement de vulnérabilités au CCB.

En dehors de la procédure susmentionnée, il n'est pas légal de détenir (partager ou vendre) des informations sur des vulnérabilités informatiques ou des « exploits » (programmes informatiques qui exploitent la vulnérabilité) obtenues à la suite d'une intrusion non autorisée dans un système informatique, même si la personne en question n'est pas responsable de l'intrusion non autorisée en question.

L'utilisation de la procédure légale de signalement de vulnérabilités n'est pas obligatoire, mais elle est fortement encouragée, car elle permet au chercheur de bénéficier d'une protection juridique (au pénal et au civil), le cas échéant. Si le chercheur ne respecte pas les conditions de la procédure légale de signalement des vulnérabilités ou celles de la politique CVD/bug bounty applicable, il ou elle peut être tenu(e) responsable lors de la recherche et du signalement d'une vulnérabilité.

Il convient de noter que les chercheurs qui ne commettent aucune infraction pénale dans le cadre de leurs activités de recherche (telles que celles mentionnées au point C. de notre page relative au signalement de vulnérabilités) n'ont pas nécessairement besoin de la protection offerte par le cadre juridique, car ils n'encourent aucune responsabilité pénale.

Une politique CVD est un ensemble de règles déterminées à l'avance par une organisation responsable de systèmes d'information, autorisant des participants (ou « hackers éthiques ») avec de bonnes intentions à rechercher des vulnérabilités potentielles dans ses systèmes, ou à lui transmettre toute information pertinente à ce sujet. Ces règles, généralement publiées sur un site web, établissent un cadre légal pour la collaboration entre l'organisation responsable et les participants à la politique. Elles doivent notamment garantir la confidentialité des informations échangées et fournir un cadre responsable et coordonné pour toute divulgation des vulnérabilités découvertes. Ainsi, la notion de « divulgation » ne doit pas être comprise comme impliquant nécessairement dans tous les cas une divulgation publique de la vulnérabilité, mais au moins la divulgation par le participant à l'organisation responsable.

Si la divulgation de la vulnérabilité par le participant à l'organisation responsable est obligatoire, la divulgation publique de la vulnérabilité (par le participant ou l'organisation concernée) est en revanche facultative dans le cadre d'une politique CVD. En effet, une vulnérabilité peut potentiellement conduire à un événement inattendu ou indésirable et peut être exploitée par des tiers malveillants dans le but de porter atteinte à l'intégrité, à l'authenticité, à la confidentialité ou à la disponibilité d'un système ou de causer des dommages.

En Belgique, il est également permis de rechercher et de signaler les vulnérabilités potentielles affectant un produit TIC (un élément ou un groupe d’éléments appartenant à un réseau ou à un schéma d’information) ou un service TIC (un service consistant intégralement ou principalement à transmettre, stocker, récupérer ou traiter des informations au moyen de réseaux et de systèmes d’information) soumis au droit belge (produits, systèmes ou réseaux situés en Belgique), lorsqu'une organisation ne dispose pas d'une politique CVD. Dans ce contexte, le chercheur peut demander la divulgation publique de ses conclusions au CCB. Vous trouverez plus d'informations à ce sujet sur notre page Signalement de vulnérabilités au CCB.

Un programme de bug bounty est un ensemble de règles définies par une organisation pour récompenser les participants qui identifient des vulnérabilités dans les technologies qu'elle utilise. Cette récompense peut prendre la forme d'une somme d'argent, de cadeaux ou d'une reconnaissance publique (classement parmi les meilleurs participants, publication, conférence, etc.). Il s'agit d'une forme de politique de divulgation coordonnée de vulnérabilités, dans laquelle le participant est récompensé en fonction du nombre, de l'importance ou de la qualité des informations fournies. Cette forme de politique est plus attrayante pour les participants potentiels et offre souvent de meilleurs résultats pour les organisations. Une organisation peut également faire appel à une plateforme de bug bounty pour fournir une assistance technique et administrative pour la gestion de son programme de récompense pour la découverte de vulnérabilités (rôle de coordinateur).

Afin de récompenser les participants qui utilisent la procédure légale de signalement de vulnérabilités, le CCB a mis en place un Wall of Fame sur son site web.

Un coordinateur CVD est une personne physique ou morale qui agit en tant qu'intermédiaire entre le participant et l'organisation responsable d'un système d'information, en fournissant une assistance logistique, technique et juridique, ou d'autres fonctions, afin de faciliter leur collaboration.

Dans son rôle de coordinateur CVD en Belgique (même en dehors de la procédure légale de signalement de vulnérabilités), le Centre pour la Cybersécurité Belgique (CCB) agit en tant qu'intermédiaire de confiance en facilitant, si nécessaire, les interactions entre la personne physique ou morale qui signale une vulnérabilité potentielle et le fabricant ou le fournisseur des produits TIC ou services TIC potentiellement vulnérables, à la demande de l'une ou l'autre partie. Les chercheurs peuvent contacter le CCB via l'adresse mail indiquée sur la page Signalement de vulnérabilités au CCB.

Un participant à la CVD, un chercheur ou un « hacker éthique » est une personne bien intentionnée qui souhaite contribuer, avec l'autorisation de l'organisation responsable, à l'amélioration de la sécurité des systèmes d'information. Il peut, par exemple, effectuer des tests de pénétration ou utiliser d'autres méthodes pour vérifier la sécurité des systèmes d'information. Il est à l'opposé des cybercriminels, qui utilisent leurs compétences pour tenter d'accéder sans autorisation à un système avec une intention malveillante. Le participant, quant à lui, a pour objectif d'alerter le responsable du système d'information ou un coordinateur des vulnérabilités découvertes afin qu'elles soient éliminées.

Une politique CVD peut fournir à l'organisation responsable des informations sur les vulnérabilités de ses systèmes de manière équitable et légale, lui permettant ainsi de prendre les mesures appropriées en temps utile. Elle lui permet ainsi de prévenir ou de limiter efficacement, dans la mesure du possible, les risques et les dommages potentiels que ces vulnérabilités pourraient causer. Outre d'autres mesures techniques et organisationnelles, la mise en œuvre d'une politique CVD constitue une mesure technique et organisationnelle appropriée pour prévenir les incidents susceptibles de compromettre la sécurité de ses réseaux et systèmes d'information (et de ses données à caractère personnel). Elle présente l'avantage indéniable d'identifier les vulnérabilités et d'y remédier avant qu'un incident de sécurité ne se produise.

Bien entendu, l'attractivité et l'efficacité de la politique sont accentuées lorsque l'organisation responsable décide de récompenser les participants en fonction de l'importance et de la qualité des informations fournies dans le cadre d'un programme de bug bounty. Même lorsque l'organisation accorde des récompenses et fait appel à un coordinateur externe (plateforme de hacking éthique), les coûts liés à la mise en œuvre d'une politique CVD sont généralement mieux maîtrisés (et moins élevés) que ceux généralement associés à la réalisation d'audits par des sociétés externes. En effet, l'octroi d'une récompense dans le cadre d'un programme de bug bounty résulte d'une obligation de résultat de la part du participant, alors que l'auditeur externe n'est généralement lié que par une obligation de moyens. Ce dernier doit donc être rémunéré pour l'ensemble de ses prestations, même s'il ne trouve aucune vulnérabilité ou seulement des vulnérabilités mineures à l'issue de ses recherches. Les normes techniques internationales en matière de sécurité informatique recommandent explicitement la mise en œuvre d'une politique CVD (voir, par exemple, les normes internationales ISO/IEC 29147 et 30111).

L'adoption d'une politique CVD encourage également la connaissance et la recherche dans le domaine de la cybersécurité. Cette approche implique un engagement de la part de l'organisation concernée à traiter les informations fournies par les participants et à tenter de remédier aux vulnérabilités identifiées, ou à tout le moins à informer les utilisateurs des risques encourus. Cet engagement peut également constituer un argument marketing et être mis en avant dans les communications de l'organisation. La confiance dans les systèmes d'information est sans aucun doute un facteur important pour les utilisateurs et les consommateurs. Une politique CVD permet d'établir un cadre juridique entre les hackers éthiques et l'organisation, ce qui renforce la confidentialité des informations, offre le meilleur cadre possible pour toute divulgation publique et évite toute atteinte à la réputation de l'organisation.

Enfin, la mise en œuvre d'une politique CVD permet de prouver les efforts de l'organisation pour se conformer à ses obligations légales en matière de sécurisation de ses réseaux et systèmes d'information, notamment en vertu du règlement général sur la protection des données de l'UE (« RGPD »), la loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique (ci-après « loi NIS2 »), les règles de responsabilité civile, le Code de droit économique, etc. (voir Guide sur les politiques de divulgation coordonnée de vulnérabilités. Partie I : Bonnes pratiques).

Les entités essentielles et importantes au sens de la loi NIS2 sont même tenues d'adopter leur propre politique CVD couvrant leurs réseaux et systèmes d'information (art. 30, § 3, 11°).

Avec la procédure légale de signalement de vulnérabilités, l'organisation et le hacker éthique ne se basent pas uniquement sur une politique CVD ou un programme de bug bounty pour la recherche de vulnérabilités. Les hackers éthiques peuvent utiliser la procédure légale sur le site web du CCB, à condition de respecter les conditions énumérées.

Le fait de disposer d'une politique CVD permet à une organisation d'être mieux préparée à traiter les rapports de vulnérabilité et de disposer de son propre processus dédié, sans nécessairement faire appel au CCB. Cela étant dit, même en présence d'une politique CVD, un participant peut toujours recourir à la procédure légale de signalement de vulnérabilités afin de s'assurer qu'il est suffisamment protégé.

En outre, le fait de disposer d'une politique CVD permet également d'attirer davantage de participants en proposant des récompenses ou des bug bounties, ce qui n'est pas prévu dans le cadre de la procédure légale de signalement.

Un participant à une politique CVD (ou à un programme de prime au signalement de vulnérabilités) doit respecter le champ d'application et les conditions de la politique de l'organisation responsable des produits ou services TIC concernés.

À titre alternatif ou en complément de la politique CVD, un chercheur peut toujours recourir à la procédure légale de signalement des vulnérabilités. Dans ce cas, le participant doit respecter toutes les conditions décrites à la page Signalement de vulnérabilités au CCB.

En dehors de ces situations, un chercheur ne bénéficie d'aucune protection juridique et pourrait être tenu responsable de ses activités de recherche sur les vulnérabilités.

L'accès à la profession de participant à la CVD ou de « hacker éthique » n'est pas réglementé. Tout le monde peut donc se déclarer « hacker éthique ». Cependant, les hackers éthiques peuvent démontrer leurs compétences par des diplômes, une formation, une expérience professionnelle ou en passant des tests auprès de l'organisation responsable (ou d'un coordinateur gérant une plateforme de bug bounty, par exemple). Il existe également des formations reconnues dans ce domaine (voir notamment la certification « Certified Ethical Hacker - (CEH) » organisée par l'International Council of Electronic Commerce Consultants (EC-Council) et reconnue par l'American National Standards Institute (ANSI)).

Les meilleurs hackers éthiques qui interagissent avec le CCB sont mis en avant sur notre Wall of Fame.

En l'absence de politique CVD ou de programme de bug bounty/récompense pour la découverte de vulnérabilités, le hacker éthique peut utiliser la procédure légale de signalement des vulnérabilités, décrite sur notre site web Signalement de vulnérabilités au CCB.

La participation à une politique CVD n'a pas pour but de traiter intentionnellement des données à caractère personnel, mais il est possible que le participant entre en contact avec des données à caractère personnel, même de manière fortuite, dans le cadre de ses recherches de vulnérabilités. Le traitement des données à caractère personnel a une large portée et comprend notamment le stockage, la modification, la récupération, la consultation, l'utilisation ou la divulgation de toute information susceptible de se rapporter à une personne physique identifiée ou identifiable.

Le caractère « identifiable » d'une personne ne dépend pas de la volonté du responsable du traitement d'identifier cette personne, mais de la possibilité d'identifier cette personne, directement ou indirectement, à partir des données (par exemple : une adresse électronique, un numéro d'identification, un identifiant en ligne, une adresse IP ou des données de localisation).

Le responsable du traitement est la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement.

Étant donné que la politique CVD constitue une forme de contrat liant le hacker éthique à l'organisation responsable, il est utile de préciser les obligations des parties en matière de traitement des données à caractère personnel, en particulier les finalités et les moyens essentiels de tout traitement effectué dans le cadre de cette politique (voir notre Guide - Partie I : Bonnes pratiques, et Partie II : Aspects juridiques).

Dans le cadre de la procédure légale, le site web du CCB, décrit ce qu'il faut savoir sur le traitement des données à caractère personnel.

Conformément aux articles 22 et 23 de la loi NIS2, toute personne physique ou morale peut signaler, même de manière anonyme, l'existence d'une vulnérabilité potentielle affectant un produit TIC (un élément ou un groupe d’éléments appartenant à un réseau ou à un schéma d’information) ou un service TIC (un service consistant intégralement ou principalement à transmettre, stocker, récupérer ou traiter des informations au moyen de réseaux et de systèmes d’information) soumis au droit belge (produits, systèmes ou réseaux situés en Belgique)..

Une vulnérabilité est définie comme « une faiblesse, susceptibilité ou faille de produits TIC ou de services TIC qui peut être exploitée par une cybermenace » (art. 8, 15° de la loi NIS2).

Cette procédure est sans préjudice de l'application d'autres procédures légales (relatives aux lanceurs d'alerte, au RGPD, au CRA, etc.). Si la recherche de vulnérabilité est effectuée sur des réseaux ou des systèmes d'information situés en tout ou en partie en dehors du territoire belge, le présent cadre juridique ne protégera le chercheur qu'en Belgique et non dans d'autres pays.

Pour bénéficier de la protection juridique lors de la recherche et de la notification d'une vulnérabilité, les conditions suivantes doivent être respectées (art. 23 de la loi NIS2) :

• agir sans intention frauduleuse ou intention de nuire ;
• dans les 24 heures suivant la découverte d'une vulnérabilité potentielle, envoyer une notification simplifiée (qui comprend l'identification du système concerné et une description simple de la vulnérabilité potentielle) à l'organisation responsable du système et au CCB ;

Ce délai commence à courir à partir du moment où la personne aurait dû raisonnablement avoir connaissance ou découvrir une vulnérabilité potentielle (voir définition), c'est-à-dire après un délai raisonnable d'enquête et de validation permettant d'établir l'existence d'une vulnérabilité potentielle.

• dans les 72 heures suivant la découverte d'une vulnérabilité potentielle, envoyer une notification complète à l'organisation responsable du système (conformément à ses procédures de notification, le cas échéant) et au CCB, conformément à la procédure décrite sur son site web ;
• ne pas aller au-delà de ce qui est nécessaire et proportionné pour vérifier l'existence d'une vulnérabilité et la signaler ;

Toutes les actions du chercheur doivent être strictement limitées à ce qui est nécessaire et proportionné pour permettre la découverte et le signalement d'une vulnérabilité dans un réseau ou un système d'information. Si la démonstration est possible à petite échelle, il ne doit pas étendre ses recherches. De même, rien ne justifie de perturber la disponibilité des services fournis par les équipements concernés. Sur son site web, le CCB mentionne certaines actions (liste non exhaustive) qui peuvent être considérées comme disproportionnées et/ou inutiles.

• ne pas divulguer publiquement des informations relatives à la vulnérabilité et aux systèmes vulnérables, sans l'accord du CCB ;

Une condition supplémentaire (6°) est requise pour les systèmes d'information (ainsi que les informations traitées par ou pour le compte) de certaines organisations (SGRS/ADIV, VSSE, OCAM/OCAD, Ministère de la Défense, services de police, missions diplomatiques et consulaires belges hors UE, organes judiciaires, établissements nucléaires de classe I, NCCN et CCB) : dans ce cas, le chercheur doit obtenir l'accord écrit préalable pour rechercher des vulnérabilités potentielles (cet accord peut, par exemple, prendre la forme d'une politique CVD).

Vous trouverez plus d'informations sur ces conditions sur la page Signalement de vulnérabilités au CCB.

Afin de bénéficier de la protection civile et pénale offerte par le cadre juridique, le signalant doit respecter toutes les conditions (y compris les délais), sous peine de s'exposer à des conséquences juridiques (pénales ou civiles - si des infractions pénales ou civiles ont été commises). Toutefois, le recours à la procédure légale de signalement de vulnérabilités reste volontaire (le chercheur peut utiliser une politique CVD ou de bug bounty applicable).

Si les conditions sont remplies, une cause d'exonération peut être accordée pour une liste limitée d'infractions pénales en vertu des articles 314bis, 550bis et 550ter du Code pénal (nouveaux articles 342, 343, 352, 524 à 533), ainsi qu'à l'article 145 de la loi du 13 juin 2005 relative aux communications électroniques.

Le partage d'informations sur une vulnérabilité potentielle découverte dans un contexte professionnel ne violerait pas non plus l'obligation de confidentialité ou de secret professionnel.

Toute autre responsabilité du déclarant, découlant d'actes ou d'omissions qui ne sont pas nécessaires à l'accomplissement de la procédure de signalement et qui ne respectent pas toutes les exigences légales, reste inchangée. Ces actes ou omissions peuvent continuer à être punis en vertu du droit pénal et civil.

Il est important de noter que cette protection juridique est limitée à l'application du droit belge et ne protège pas contre d'éventuelles infractions commises en vertu du droit d'autres pays.

Si les conditions légales sont remplies et si le chercheur en fait la demande, le CCB s'engage à respecter la confidentialité de son identité.

Pour notifier une vulnérabilité au CCB, un hacker éthique doit suivre la procédure décrite sur la page  Signalement de vulnérabilités au CCB.

Cela implique qu'il remplisse d'abord un formulaire de notification simplifié dans les 24 heures suivant la découverte d'une vulnérabilité potentielle, avec quelques informations préliminaires sur celle-ci, puis un formulaire de notification complet dans les 72 heures suivant la découverte d'une vulnérabilité potentielle, qui fournit plus de détails sur les résultats. Ces formulaires sont, si possible, chiffrés, puis envoyés au CCB via l'adresse mail indiquée sur le site web mentionné ci-dessus.

Une condition légale est que le chercheur ne peut divulguer publiquement des informations relatives à la vulnérabilité et aux systèmes vulnérables sans l'accord du CCB. Le chercheur doit donc demander officiellement au CCB l'autorisation de divulguer publiquement ses conclusions. Il peut envoyer sa demande à l'adresse mail mentionnée dans la procédure de signalement des vulnérabilités.

Dès que la demande est adressée au CCB, un délai de 90 jours commence à courir. Si, à l'expiration de ce délai de 90 jours, le chercheur n'a pas été notifié d'un refus, il peut considérer que la divulgation est autorisée.

Une décision d'autorisation de publication n'implique pas que la vulnérabilité a été validée par le CCB, mais seulement que le CCB ne dispose pas d'informations suffisantes pour s'opposer à la divulgation au motif qu'elle présente un risque pour la sécurité publique (pour les systèmes d'information de l'organisation concernée ou d'autres organisations).

Le CCB peut notamment prendre en compte les éléments suivants lorsqu'il examine s'il convient ou non d'autoriser la divulgation publique d'une vulnérabilité (liste non exhaustive) :

• la gravité de la vulnérabilité et son degré d'exploitabilité ;
• la criticité des organisations affectées par la vulnérabilité (par exemple, entités essentielles ou importantes dans le contexte de la NIS2) ;
• la mesure dans laquelle la vulnérabilité peut être détectée et la probabilité qu'elle soit exploitée par d'autres ;
• la mise en œuvre d'une solution sur les systèmes d'information concernés ;
• la possibilité de valider ou non la vulnérabilité.

Si une organisation est informée d'une vulnérabilité par le CCB, elle doit évaluer si cette vulnérabilité peut être considérée comme une violation de données à caractère personnel qui doit être signalée à l'autorité compétente en matière de protection des données en vertu du RGPD.

En cas de violation potentielle de données à caractère personnel susceptible de présenter un risque pour les droits et libertés des personnes physiques, le CCB rappelle à toutes les organisations concernées qu'il incombe au responsable du traitement d'en informer l'Autorité de protection des données (APD) dans les plus brefs délais et au plus tard dans les 72 heures suivant la constatation de la violation (voir les explications et la procédure à suivre sur le site web de l'APD).