Que les hackers éthiques soient rassurés: leurs intrusions "de courtoisie" sur les réseaux informatiques des entreprises, des services publics et des organisations afin de détecter leurs vulnérabilités ne seront bientôt plus punissables. Le Centre pour la cybersécurité a en effet décidé d'offrir un cadre juridiquement fiable aux entreprises dans le but d'autoriser cette pratique.
Le Code pénal reste toutefois inchangé et toute tentative de piratage informatique sans autorisation restera passible d'une condamnation.
Déclaration standard
Concrètement, toutes les entreprises et institutions de notre pays recevront des pouvoirs publics une déclaration standard qu'elles pourront afficher sur leur site web. Par cette déclaration, elles autoriseront les agents externes à s'infiltrer sur leur réseau dans le but de les avertir de toute faille de sécurité.
Les entreprises auront également la possibilité d'adapter le document qui leur sera transmis, et seuls les hackers éthiques qui se conformeront aux lignes directrices de cette déclaration pourront dormir sur leurs deux oreilles.
L'État n'a donc pas décidé de supprimer le piratage éthique du Code pénal en en faisant une exception. Le piratage est punissable dans notre pays depuis 2000 et le restera, même lorsque la démarche est pavée de bonnes intentions. Une augmentation de la peine est toutefois prévue si l'agent extérieur s'introduit sur le réseau "avec une intention frauduleuse".
Mais l'analyse juridique du Centre pour la cybersécurité indique que lorsque l'entreprise annonce publiquement une politique dite de "divulgation responsable", comme se nomme le signalement de vulnérabilités informatiques, l'entreprise donne une autorisation tacite aux hackers d'agir conformément aux orientations définies. La déclaration s'assimile alors à une autorisation et le hacker n'est plus punissable aux yeux de la loi.
Security researchers
"La semaine dernière, nous avons soumis le modèle que nous prévoyons de transmettre aux entreprises aux hackers éthiques, qui préfèrent d'ailleurs se qualifier de security researchers", explique Miguel De Bruycker, directeur du Centre pour la cybersécurité, qui relève de l'autorité du Premier ministre Charles Michel (MR). "Notre texte a été positivement accueilli par la communauté des pirates informatiques. Il ressort également de nos concertations que d'autres pays européens souhaitent emprunter la même voie."
Koen Geens (CD&V), ministre de la Justice, a fait savoir dans une réponse parlementaire à Brecht Vermeulen (N-VA) qu'il diffusera le manuel établi par le Centre pour la cybersécurité dès qu'il aura été transmis aux partenaires du gouvernement.
LARS BOVÉ