Chaque système informatique ou réseau peut comporter des vulnérabilités. Ces vulnérabilités peuvent être détectées tant par des personnes bien intentionnées que par des personnes mal intentionnées. En dehors de l’existence d’une politique de divulgation coordonnée des vulnérabilités (CVD) ou bug bounty, la peur d’être poursuivi en justice empêche souvent les personnes bien intentionnées de rechercher et de signaler ces vulnérabilités.

Dans le cadre de la mise en œuvre de la stratégie nationale en matière de cybersécurité et de la loi NIS2, un cadre légal a été adopté en Belgique pour résoudre cette situation.

Celui-ci permet à toute personne physique ou morale, qui agit sans intention frauduleuse ou dessein de nuire, de rechercher et de signaler des vulnérabilités existantes dans des réseaux et systèmes d’information situés en Belgique pour autant que certaines conditions soient strictement respectées (voir les explications détaillées à ce propos).

A. Contexte

Le Centre pour la Cybersécurité Belgique (ci-après, le « CCB ») peut, en sa qualité de CSIRT national, recevoir le signalement de potentielle vulnérabilité par des personnes physiques ou morales (voir les articles 22 et 23 de la loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique – ci-après « loi NIS2 »).

Une vulnérabilité est définie à l’article 8, 15° de la loi NIS2 comme « une faiblesse, susceptibilité ou faille de produits TIC ou de services TIC qui peut être exploitée par une cybermenace ».

Si une organisation responsable dispose d’une politique de divulgation coordonnée des vulnérabilités (ci-après, CVD), les chercheurs qui découvrent une vulnérabilité doivent contacter directement l’organisation concernée et suivre les exigence de sa CVD. En cas de difficultés (par exemple à défaut de réaction dans un délai raisonnable de l'organisation responsable), si la vulnérabilité potentielle concerne un système, un processus ou un contrôle qui ne figure pas dans la CVD, ou si le chercheur estime qu'il n'est pas en mesure de se conformer à certaines dispositions de la CVD, il peut toujours signaler une vulnérabilité au CCB.. Lorsque la vulnérabilité peut concerner d’autres organisations qui ne disposent elles pas d’une CVD, celle-ci doit également être signalée au CCB.

La procédure de signalement d’une vulnérabilité décrite ci-après est bien distincte des règles légales applicables aux personnes qui signalent des violations du droit européen ou du droit national constatés sur base d’informations obtenues dans un cadre professionnel. Ainsi, le signalement d’une violation des règles légales de protection de la vie privée et des données à caractère personnel ou de la sécurité des réseaux et des systèmes d'information devra respecter les règles légales prévues à ce effet (voir notamment la loi du 28 novembre 2022 sur la protection des personnes qui signalent des violations au droit de l'Union ou au droit national constatées au sein d'une entité juridique du secteur privé et la loi du 8 décembre 2022 relatif aux canaux de signalement et à la protection des auteurs de signalement d'atteintes à l'intégrité dans les organismes du secteur public fédéral et au sein de la police intégrée), éventuellement combinée avec les règles de la présente procédure.

B. Quelles sont vos obligations dans le cadre de la recherche d’une vulnérabilité et de son signalement?

1° vous ne devez pas agir au-delà de ce qui est nécessaire et proportionné pour vérifier l'existence d'une vulnérabilité et la signaler (voir ci-après le point C « proportionnalité et nécessité des actions »).

2° vous devez agir sans intention frauduleuse ou dessein de nuire.

Vous ne pouvez pas utiliser vos recherches pour des motifs frauduleux ou dans l’intention de nuire. Par exemple, vous ne pouvez pas tenter de monnayer les informations découvertes auprès de l’organisation responsable ou de tiers (sauf bien entendu, si une récompense ou une rémunération a été explicitement et préalablement prévue dans le cadre d’une convention de pentest, de bug bounty, etc). De même et sans accord contractuel de l’organisation responsable, vous ne pouvez pas utiliser la vulnérabilité découverte dans le but d’en tirer un avantage personnel ou pour un tiers.

Lorsque cela est possible et pour établir vos bonnes intentions, faites-vous connaître préalablement auprès de l’organisation responsable, lors de vos recherches, par exemple par l’utilisation d’un en-tête (header) ou d’un autre paramètre identifiable.

3° sans retard injustifié et au plus tard dans les 24 heures suivant la découverte d'une vulnérabilité potentielle, vous devez adresser une notification simplifiée de la vulnérabilité à l'organisation responsable et au CCB, selon la procédure décrite au point D.

Le signalement d'une vulnérabilité se fait en deux étapes : d'abord une notification simplifiée dans les 24h, puis une notification complète dans les 72h au plus tard. L'objectif de la première notification est d'informer l'organisation concernée et le CCB qu'une vulnérabilité potentielle a été découverte. Elle contient une identification des systèmes concernés et une description simplifiée de la vulnérabilité potentielle.

4° sans retard injustifié et au plus tard dans les 72 heures suivant la découverte d’une vulnérabilité potentielle, vous devez adresser une notification complète de la vulnérabilité à l’organisation responsable et au CCB, selon la procédure décrite au point D.

La notification complète contient une description détaillée de la vulnérabilité, y compris les étapes précises pour la reproduire, ainsi que d’autres informations techniques telles que les détails de la configuration, le système d’exploitation, les outils utilisés, etc.

Lorsque plusieurs personnes ont participé aux recherches, la notification simplifiée et la notification complète peuvent être effectuées au nom de plusieurs personnes qui en assument alors collectivement la responsabilité. Par facilité, plusieurs vulnérabilités concernant la même organisation responsable peuvent être également communiquées dans une seule notification simplifiée ou complète. Il est toutefois nécessaire de réaliser à chaque fois une notification distincte par organisation concernée.

Afin d’établir la rapidité de vos signalements, il vous est recommandé de conserver les preuves des actions entreprises (logging) vis-à-vis du système, du processus ou du contrôle concerné et de communiquer ces informations au CCB au moment des signalements. Dans le respect des deux délais, il est également recommandé de faire le signalement avant toute résistance active de l’organisation responsable (par ex., la fermeture des ports) et/ou tout acte d’enquête criminelle, afin de souligner la rapidité des signalements.

5° vous ne devez pas divulguer publiquement les informations relatives à la vulnérabilité découverte, sans l’accord du CCB (qui prendra également en compte la position et le contexte de l’organisation concernée).

6° concernant les réseaux et systèmes d’information de certaines organisations (SGRS, VSSE, OCAM, ministère de la Défense, services de police, missions diplomatiques et consulaires belges en dehors de l’UE, établissements nucléaires de classe I et NCCN) ou instances judiciaires, (et pour les informations traitées par ou pour elles), vous devez, avant de commencer votre recherche, conclure un accord écrit de recherche de vulnérabilité avec le service concerné.

C. Proportionnalité et nécessité des actions

Vos actions doivent être limitées strictement à ce qui est nécessaire et proportionné pour permettre la découverte et le signalement d’une vulnérabilité dans un réseau ou système d’information.

Peuvent être considérés comme de tels actions :

• l’accès ou la tentative d’accès non autorisée à un système informatique (art. 550bis 1 et 4 du Code pénal ; art. 524 et 527 du nouveau Code pénal) ;
• le dépassement ou la tentative de dépassement d’une autorisation d’accès à un système informatique (art. 550bis 2 et 4 du Code pénal ; art. 525 et 527 du nouveau Code pénal) ;
• la reprise ou la copie de données informatiques (art. 550bis, § 3 du Code pénal ; art. 526 du nouveau Code pénal) ;
• l’élaboration ou la détention de hacking tools ( 550bis, § 5 du Code pénal ; art. 528 du nouveau Code pénal) ;
• la détention, la révélation, l’usage ou la divulgation d’information issues d’un accès non autorisé – par exemple, des informations disponibles sur internet (art. 550bis 7 du Code pénal ; art. 530 du nouveau Code pénal) ;
• l’introduction ou la modification de données dans un système informatique (art. 550ter du Code pénal ; art. 531-533 du nouveau Code pénal) ;
• l’interception ou la tentative d’interception de communications (art. 314bis du Code pénal ; 342-346 du nouveau Code pénal ; et/ou l’art. 145 de la loi du 13 juin 2005 relative aux communications électroniques) ;
• la violation d’une obligation de secret professionnel ou d’une obligation contractuelle de confidentialité (art. 458 du Code pénal ; art. 352 du nouveau Code pénal).

Vos actions et vos méthodes de recherches doivent rester nécessaire et proportionnée au regard de l’objectif poursuivi de vérifier l’existence d’une vulnérabilité en vue d’améliorer la sécurité du système, du processus ou du contrôle concerné. Les techniques utilisées doivent donc être strictement nécessaires et proportionnées à la démonstration d’une faille de sécurité.

Si la démonstration est possible à petit échelle, vous ne pouvez pas aller plus loin dans votre recherche. Le but n’est pas d’utiliser la vulnérabilité afin d’examiner jusqu’où on peut pénétrer dans un système, un processus ou un contrôle. De même, il n’est pas justifié de perturber la disponibilité des services fournis par l’équipement concerné.

Si cela n’est pas strictement nécessaire à la démonstration de l’existence d’une vulnérabilité, l’utilisation et la conservation de données issues du système, processus ou contrôle ne peuvent pas être effectuées. De même, toutes les données collectées devraient être supprimées dans un délai raisonnable après le signalement. Si cela s’avère nécessaire de conserver ces données encore pendant un certain temps ou si une procédure judiciaire est en cours, vous devez veiller à ce que ces données sont conservées en toute sécurité durant cette période.

Peuvent être considérés comme des actions disproportionnées et/ou non nécessaires : 

• l’installation d’un logiciel malveillant (malware) : virus, vers (worm), chevaux de Troie (trojan horse, ou autre ;
• des attaques par déni de service (Distributed Denial Of Service- DDOS) ;
• des attaques par ingénierie sociale (social engineering) ;
• des attaques par hameçonnage (phishing) ;
• des attaques par courriels indésirables (spamming) ;
• des vol de mots de passe ou l’attaque en force de mots de passe (brute force) ;
• la suppression de données du système informatique ;
• la réalisation d’un dommage prévisible causé au système visité ou encore à ses données ;
• d’autres infractions du Code pénal qui ne sont pas mentionnées dans la liste ci-dessus (p.ex. cambriolage, vol, agression, etc).

Enfin, vous devez tenir compte également du fait que si vos recherches de vulnérabilité sont réalisées sur des réseaux ou systèmes d’information situés en tout ou en partie en dehors du territoire belge, la présente procédure de signalement ne vous protégera qu’en Belgique et non dans les autres pays concernés.

D. Comment signaler une vulnérabilité de sécurité au CSIRT national (CCB)?

Vous devez adresser exclusivement les informations découvertes à l'adresse courriel suivante: vulnerabilityreport[at]ccb.belgium.be, avec le formulaire suivant: 

Le formulaire complété doit nous parvenir en format Word, ODT ou PDF, protégé avec un mot de passe ou dans un fichier.zip protégé avec un mot de passe (pour éviter un éventuel blocage par nos filtres anti-virus).

Le fichier doit avoir une taille maximum de 7 MB.