Que prévoit la loi pour les Hackers éthiques ?

En complétant le code de la défense, la loi du 7 octobre 2016 pour une République numérique entérine la protection des hackers éthiques. En tout cas ceux qui signalent une faille informatique découverte par leurs soins à l’Agence nationale pour la sécurité des systèmes d’information (Anssi). La législation confirme ainsi le rôle central de cette dernière dans le signalement des vulnérabilités.

« Ce texte va surtout permettre une officialisation », explique à Silicon.fr François Coupez, avocat associé du cabinet Atipic. « L’Anssi apparaît bien comme le second point de contact officiel, en plus du responsable du système d’information objet des vulnérabilités ». Ce point de contact « est utile pour les cas où les ‘hackers éthiques’ supposeraient qu’ils ne peuvent joindre directement l’entité dont le SI est vulnérable, quelle qu’en soit la raison : responsable supposé peu réceptif, responsable déjà contacté en vain, etc. ».

Protéger le hacker dit « éthique »

Pour distinguer le hacker éthique du pirate (l’article 323-1 du code pénal sanctionne le piratage frauduleux d’au moins deux ans d’emprisonnement et de 60 000 euros d’amende), l’article 47 de la loi numérique complète le code de la défense par un article L2321-4 ainsi rédigé :

« Pour les besoins de la sécurité des systèmes d’information, l’obligation prévue à l’article 40 du code de procédure pénale n’est pas applicable à l’égard d’une personne de bonne foi qui transmet à la seule autorité nationale de sécurité des systèmes d’information une information sur l’existence d’une vulnérabilité concernant la sécurité d’un système de traitement automatisé de données.

L’autorité préserve la confidentialité de l’identité de la personne à l’origine de la transmission ainsi que des conditions dans lesquelles celle-ci a été effectuée.

L’autorité peut procéder aux opérations techniques strictement nécessaires à la caractérisation du risque ou de la menace mentionnés au premier alinéa du présent article aux fins d’avertir l’hébergeur, l’opérateur ou le responsable du système d’information. »

Sécuriser les agents de l’Anssi

Rappelons que l’article 40 du code pénal cité dans cet article L2321-4 indique : « Toute autorité constituée, tout officier public ou fonctionnaire qui, dans l’exercice de ses fonctions, acquiert la connaissance d’un crime ou d’un délit est tenu d’en donner avis sans délai au procureur de la République et de transmettre à ce magistrat tous les renseignements, procès-verbaux et actes qui y sont relatifs. »

Or, dans la loi portée par Axelle Lemaire, cette obligation prévue à l’article 40 ne s’applique pas aux white hats. Ce qui arrivait déjà, en fait, avant la promulgation du texte. « D’après ce qu’a pu indiquer à certaines occasions l’Anssi elle-même, la pratique interne était déjà de ne pas appliquer l’article 40 dans les hypothèses similaires à celles visées par cet article L2321-4 du code de la défense nouvellement créé. Et ce afin de faciliter les remontées d’informations. Ce que la loi République numérique légitime dorénavant via cet article, et c’est une très bonne chose pour la sécurité juridique des agents de l’Anssi », ajoute François Coupez…[lire la suite]

Notre métier : Sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la Protection des Données Personnelles (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Denis JACOPINI anime dans toute le France et à l’étranger des conférences, des tables rondes et des formations pour sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la protection de leurs données personnelles (Mise en Place d’un Correspondant Informatique et Libertés (CIL) dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article