Le piratage éthique légalisé en Belgique
Rendu transparent, il doit permettre d’anticiper et de repousser les attaques des hackers sur les systèmes informatiques
Le piratage informatique est un véritable fléau. Pas un particulier, pas une entreprise, pas une institution qui puisse prétendre lui échapper en toutes circonstances. Une solution existe toutefois pour s’en prémunir: faire appel à des «pirates éthiques» qui forcent «légalement» la porte d’entrée des systèmes informatiques afin d’en détecter les failles. Au bout du compte, ils contribuent à en améliorer la sécurité.
Jusqu’à présent, le piratage éthique était globalement interdit en Belgique. Désormais, il sera autorisé pourvu que certaines procédures soient correctement suivies, telles que le signalement en temps opportun et l'absence d'auto-profit. Ce changement de paradigme est souligné comme une première en Europe.
La volonté du législateur est d’encadrer une pratique qui peut s’avérer précieuse en termes de sécurité informatique. Il existait jusqu’ici un cadre juridique concocté par le Centre pour la cybersécurité afin de permettre aux organisations d’autoriser les «intrusions de courtoisie» sur leurs réseaux informatiques. Mais cette procédure était très peu utilisée, donc insuffisamment efficace, d’où l’idée d’autoriser les intrusions «bienveillantes» même si elles proviennent des pirates eux-mêmes.
Des conditions strictes à respecter
«Ce cadre réglementaire ne leur donne évidemment pas un blancseing pour s’introduire de n’importe quelle manière dans les systèmes» a tenu à nuancer Phedra Clouner, la directrice adjointe du Centre pour la cybersécurité Belgique (CCB) sur les ondes de la RTBF. «Mais si certaines conditions très strictes sont respectées, alors là les personnes qui font part de vulnérabilités trouvées dans des systèmes qui ne leur appartiennent pas sont effectivement protégées.»
Sans surprise, l’intrusion «bienveillante» doit être proportionnée. Elle ne peut aller au-delà de la détection de la faille. Pas question de récolter au passage des datas. Une fois les faiblesses identifiées, le pirate éthique doit en informer les autorités et le propriétaire du système informatique défaillant.
Autrefois, une telle intrusion aurait valu à son auteur de se retrouver devant le juge, avec pour conséquence qu’il aurait préféré taire sa découverte. La loi du 6 juillet 2017, dite «pot-pourri V», avait alourdi les sanctions prévues contre les pirates informatiques, les plafonds des peines d’emprisonnement passant de 2 ans à 3 ans et de 3 ans à 5 ans. Quant au recours au pirate éthique, il était le plus souvent interdit comme expliqué cidessus. Le système informatique défaillant restait ainsi potentiellement à la merci des hackers.
La volonté du législateur est d’encadrer une pratique qui peut s’avérer précieuse en termes de sécurité informatique.
Aujourd'hui, eu égard au nouveau cadre juridique, les autorités belges espèrent que des «découvreurs» leur rapporteront leurs observations et qu’il sera ainsi possible de remédier aux failles. Dire que la Belgique est un immense terrain de jeu pour les hackers est un lieu commun. La présence des institutions européennes, de l’Otan et de nombreuses multinationales en fait un haut-lieu de l’information stratégique.
Sans aller jusque-là, on se souvient de la cyberattaque lancée contre l'intercommunale luxembourgeoise des soins de santé Vivalia et revendiquée par le groupe ransomware Lockbit. Les failles des systèmes informatiques des hôpitaux belges étaient pourtant connues des initiés. Avec la nouvelle loi, de tels incidents pourraient être évités.
Pour que l’agneau ne se transforme pas en loup, la nouvelle loi interdit bien sûr au pirate éthique le hacking et le phishing. Elle lui refuse également de faire publiquement mention de sa découverte, histoire de ne pas éveiller la curiosité des hackers qui ont bien souvent un coup d’avance.