La situation actuelle

Les experts en cybersécurité (consultants cyber, pen tester, prestataires RIFI, RSSI, white hat) sont confrontés à un risque pénal important dans l’exercice de leurs missions.

En effet, leurs investigations ou actions réactives comme défensives (excluons d’emblée celles offensives) peuvent les conduire à la commission de diverses infractions pénales :

  • des atteintes aux systèmes de traitement automatisé de données (articles 323-1 à 323-8 du Code pénal), comme un accès frauduleux à un serveur, une extraction ou une détention frauduleuse de leak, détention de logiciels de brute forcing, etc.,
  • et tant d’autres…

Cette exposition au risque pénal demeure problématique, alors même que ces experts sont des alliés précieux dans la lutte contre les cybermenaces.

Ce que prévoit la directive NIS 2

Le législateur européen en a bien conscience, comme en témoigne la directive NIS 2.

Pour savoir l’essentiel au sujet de la directive NIS 2, nous vous invitons à lire notre article « Directive NIS 2 : Présentation » .

Bien que la directive ne consacre aucune obligation contraignante pour les Etats membres, son considérant n°60 les incite vivement à traiter cette problématique :

(Considérant n°60) Les États membres, en coopération avec l’ENISA, devraient adopter des mesures destinées à faciliter la divulgation coordonnée des vulnérabilités en mettant en place une politique nationale pertinente.

Dans le cadre de leur politique nationale, les États membres devraient s’efforcer de relever, dans la mesure du possible, les défis auxquels sont confrontés les experts qui recherchent les vulnérabilités, y compris le risque lié à la responsabilité pénale potentielle, conformément au droit national.

Étant donné que les personnes morales et physiques qui recherchent les vulnérabilités pourraient, dans certains États membres, être exposées à la responsabilité pénale et civile, les États membres sont encouragés à adopter des lignes directrices concernant l’absence de poursuites contre les auteurs de recherches en matière de sécurité de l’information et une exemption de responsabilité civile pour leurs activités.

En clair : les Etats membres, qui doivent faire évoluer leur loi nationale pour y inclure les obligations de la directive NIS 2, sont invités par la même occasion à réfléchir à un assouplissement de la responsabilité des experts en cybersécurité lorsque ceux-ci recherchent des vulnérabilités.

Mais qu’est-ce qu’une vulnérabilité ?

La directive NIS 2 nous en donne une définition.

Une vulnérabilité est « une faiblesse, susceptibilité ou faille de produits TIC ou de services TIC qui peut être exploitée par une cybermenace»  (article 6(15) de la directive NIS 2).

Et par cybermenace, on entend « toute circonstance, tout événement ou toute action potentiels susceptibles de nuire ou de porter autrement atteinte aux réseaux et systèmes d’information, aux utilisateurs de tels systèmes et à d’autres personnes, ou encore de provoquer des interruptions de ces réseaux et systèmes»  (article 2(8) du règlement sur la cybersécurité)

Le périmètre des vulnérabilités concernées est donc assez large.

Des assouplissements déjà existants

En France, la loi de programmation militaire du 18 décembre 2013 (LPM 2013) avait déjà apporté quelques assouplissements.

D’une part, elle a modifié l’article L122-6-1 du Code de la propriété intellectuelle pour autoriser les licenciés d’un logiciel à effectuer du reverse engineering à des fins de sécurité.

D’autre part, elle a modifié l’article  323-3-1 du Code pénal pour y ajouter que la recherche ou la sécurité informatique constituait un motif légitime pour l’importation, la détention, l’offre la cession ou la mise à disposition d’ « un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3» .

mais insuffisants

Ces assouplissements demeurent toutefois insuffisants pour protéger efficacement les experts en cybersécurité.

D’abord, ils s’appliquent uniquement à certaines activités ou actions spécifiques (reverse engineering de logiciel exécutable, outils malveillants), de sorte qu’ils ne bénéficient pas au plus grand nombre.

Ensuite, le législateur est intervenu pour créer des exceptions qui s’interprètent de façon subjective et restreinte, ce qui crée un risque d’insécurité juridique pour les professionnels.

Surtout, comment distinguer le gentil hacker du mauvais hacker ?

Les Inconnus avaient en leur temps démontré la complexité de l’exercice au sujet des bons et mauvais chasseurs.

Cette complexité s’applique mutatis mutandis aux experts en cybersécurité : l’éthique d’un individu ne sera pas nécessairement en adéquation avec l’ordre public ni les droits et libertés des tiers…

Les bons réflexes à avoir

En l’attente d’évolution (législation ou lignes directrices), il est recommandé aux experts en cybersécurité :

  • pour les plus téméraires, de boire des tisanes Nuit tranquille ;
  • pour les plus diligents :
    • de s’informer sur le cadre légal de la cybersécurité ;
    • de contractualiser le périmètre de leur intervention ;
    • d’obtenir un mandat écrit de leur client pour la recherche de vulnérabilités sur leur SI ;
    • de conclure un accord de sous-traitance RGPD pour les opérations portant sur des données à caractère personnel.

*

Nous vous invitons aussi à vous inscrire à notre webinar du 27 septembre 2023 sur le cadre légal pour la recherche sur internet de fuites d’information (RIFI).

Le cabinet SHIFT avocats accompagne et conseille les entreprises en Droit du numérique et cybersécurité depuis plus de 20 ans. Contactez-nous pour toute question: contact@shift-avocats.com