Désormais, en Belgique, le piratage éthique des entreprises est autorisé
La Belgique vient d'adopter une nouvelle loi qui autorise, sous certaines conditions, le piratage éthique d'une entreprise de façon à mettre en avant les faiblesses de son système informatique.
Tout d'abord, qu'est-ce que le piratage éthique ? Lorsqu'un hacker éthique, ou white hat, s'en prend au système d'une entreprise, ce n'est pas dans l'objectif de lui demander une rançon, ni de voler des données pour les revendre sur le Dark Web, mais c'est à des fins non malveillantes. Pour cela, il va rechercher les failles dans le système, les mauvaises configurations, etc... Dans le but de se frayer un chemin.
Que cette activité soit réalisée dans un cadre professionnel ou comme un loisir, la trouvaille du hacker éthique peut être récompensée par une somme d'argent, notamment dans le cadre d'un programme bug bounty. Ainsi, le hacker obtient une compensation financière pour son travail et l'entreprise impactée peut renforcer la sécurité de son système, de son application, de son site Web. Une loi qui change beaucoup de choses en Belgique
Jusqu'ici, pour un hacker éthique, il était nécessaire d'avoir une autorisation ou d'agir dans le cadre d'une mission pour rechercher des vulnérabilités dans le système d'une entreprise. Ce qui est logique, finalement.
Sauf que désormais, avec cette nouvelle loi, un hacker éthique peut rechercher des failles de sécurité dans le système d'une entreprise sans qu'il soit punissable. Enfin, il faut tout de même respecter les règles du jeu. Le hacker éthique ne doit pas causer de dommage au système piraté et s'il découvre une faille, elle doit être signalée dans les 72 heures qui suivent auprès du CCB (Centre pour la Cybersécurité Belgique). Autrement dit, le CCB doit être informé de la découverte avant même l'entreprise concernée.
Pour réaliser une éventuelle démonstration, le hacker éthique doit utiliser un compte de tests, et si la faille lui donne accès à des données personnelles, il doit suivre les règles du fameux RGPD. Enfin, certaines techniques sont explicitement interdites : le phishing, les attaques par brute force, les attaques DDoS, la suppression de données, les attaques par ingénierie sociale, ou encore l'installation d'un logiciel malveillant. De quoi fixer la limite entre un acte malveillant et un acte non malveillant.
Cette nouvelle loi est entrée en vigueur le 15 février 2023. Hackers éthiques belges, à vous de jouer !
Partager
ADVERTISING
