Désormais, en Belgique, le piratage éthique des entreprises est autorisé !
La Belgique vient d'adopter une nouvelle loi qui autorise, sous certaines conditions, le piratage éthique d'une entreprise de façon à mettre en avant les faiblesses de son système informatique.
Tout d'abord, qu'est-ce que le piratage éthique ? Lorsqu'un hacker éthique, ou white hat, s'en prend au système d'une entreprise, ce n'est pas dans l'objectif de lui demander une rançon, ni de voler des données pour les revendre sur le Dark Web, mais c'est à des fins non malveillantes. Pour cela, il va rechercher les failles dans le système, les mauvaises configurations, etc... Dans le but de se frayer un chemin.
Que cette activité soit réalisée dans un cadre professionnel ou comme un loisir, la trouvaille du hacker éthique peut être récompensée par une somme d'argent, notamment dans le cadre d'un programme bug bounty. Ainsi, le hacker obtient une compensation financière pour son travail et l'entreprise impactée peut renforcer la sécurité de son système, de son application, de son site Web.
Une loi qui change beaucoup de choses en Belgique
Jusqu'ici, pour un hacker éthique, il était nécessaire d'avoir une autorisation ou d'agir dans le cadre d'une mission pour rechercher des vulnérabilités dans le système d'une entreprise. Ce qui est logique, finalement.
Sauf que désormais, avec cette nouvelle loi, un hacker éthique peut rechercher des failles de sécurité dans le système d'une entreprise sans qu'il soit punissable. Enfin, il faut tout de même respecter les règles du jeu. Le hacker éthique ne doit pas causer de dommage au système piraté et s'il découvre une faille, elle doit être signalée dans les 72 heures qui suivent auprès du CCB (Centre pour la Cybersécurité Belgique). Autrement dit, le CCB doit être informé de la découverte avant même l'entreprise concernée.
Pour réaliser une éventuelle démonstration, le hacker éthique doit utiliser un compte de tests, et si la faille lui donne accès à des données personnelles, il doit suivre les règles du fameux RGPD.
Enfin, certaines techniques sont explicitement interdites : le phishing, les attaques par brute force, les attaques DDoS, la suppression de données, les attaques par ingénierie sociale, ou encore l'installation d'un logiciel malveillant. De quoi fixer la limite entre un acte malveillant et un acte non malveillant.
Cette nouvelle loi est entrée en vigueur le 15 février 2023. Hackers éthiques belges, à vous de jouer !
Que pensez-vous de cette décision ?
Clairement pas idiot, si derrière cela permet aux gérants d’entreprise ou autre dirigeants de prendre conscience de certains dangers, un petit coup de pression ça peut faire du bien au long terme
Je suis clairement contre. Sans prévenir au préalable, cela risque d’affoler encore plus les équipes de sécurités. Il faut penser aux humains qui bosse à contrôler et comprendre ce qui se passe.
A mon sens je trouve ça stupide.
Tu ne fait pas des tests sur une faille potentielle sur un serveur en production, c’est comme si je concevais un char et que je vérifiais pendant le conflit Russie/Ukraine qu’il ne présente aucune faiblesse.
Une faille de sécurité pour la découvrir et bien la documenter, il faut très souvent l’exploiter, si une faille trouvée par un whitehat termine en service down par mégarde où simplement que c’était pas prévu de base, comment la juridiction traite ce cas?