Le Centre pour la Cybersécurité Belgique (CCB) a présenté en février 2023 sa nouvelle politique de divulgation coordonnée des vulnérabilités. Celle-ci établit un cadre légal pour les personnes bien intentionnées qui souhaitent signaler des vulnérabilités informatiques. Désormais, quiconque identifie une vulnérabilité informatique peut s’appuyer sur une marche à suivre claire. C’est évidemment aussi une bonne nouvelle pour les organisations touchées par de telles vulnérabilités informatiques.
Le CCB définit une vulnérabilité comme « une faiblesse, une susceptibilité ou une faille d’un réseau et système d’information qui peut être exploitée par une cybermenace ». Cette politique offre un cadre aux hackeurs éthiques, mais également aux professionnels IT qui rencontrent des vulnérabilités dans l’exercice de leur fonction. Elle vous permet également de savoir à quoi vous attendre si une vulnérabilité est découverte dans le réseau ou le système informatique de votre entreprise.
Toute personne ou organisation qui découvre une vulnérabilité dans un système, processus ou contrôle d’une autre organisation est tenu(e) de la signaler le plus rapidement possible à l’organisation responsable et de travailler avec elle à sa résolution. L’objectif est d’améliorer la sécurité et la confidentialité pour les utilisateurs.
La politique de divulgation coordonnée des vulnérabilités s’applique à tous les systèmes, processus et contrôles qui relèvent de la compétence du CCB ou sont gérés directement par le CCB. Les droits et les devoirs du participant (qui détecte la vulnérabilité) comme ceux de l’organisation responsable (qui est propriétaire du système, processus ou contrôle) y sont décrits.
Que faire en cas d’identification d’une vulnérabilité ?
Vous découvrez des vulnérabilités ? Ne faites pas l’autruche ! C’est en substance le message de cette nouvelle politique :
- Vous êtes tenu de signaler la vulnérabilité le plus rapidement possible via le formulaire en ligne que vous trouverez sur le site du CCB, ou par e-mail à vulnerability@cert.be. Vous devez également fournir le plus de renseignements possible : nom et version du produit ou du système touché, description et impact, étapes à accomplir pour reproduire la vulnérabilité, sans oublier d’éventuelles preuves ou captures d’écran.
- Vous avez l’obligation d’informer l’organisation responsable du produit ou du système et de travailler avec elle à la résolution de la vulnérabilité. Vous devez par ailleurs tenir compte des principes de divulgation coordonnée tels que la confidentialité, l’exécution de bonne foi et la proportionnalité.
- Conservez les preuves des actions entreprises (logging) vis-à-vis du produit ou du système concerné et communiquez ces informations au CCB. Vous pourrez ainsi démontrer que vous avez bien signalé la vulnérabilité le plus rapidement possible et que vous n’avez pas profité de la situation.
- Le CCB confirmera votre signalement et vous tiendra au courant de l’avancement du dossier. Il contactera l’organisation responsable afin de l’aider à trouver une solution et à la mettre en place. En outre, le CCB la conseillera en vue d’améliorer la sécurité et la confidentialité pour les utilisateurs.
- La divulgation publique des informations relatives à la vulnérabilité découverte ne peut se faire sans l’accord de l’organisation responsable. Par ailleurs, le CCB vos informera des modalités et de la date de la divulgation publique des informations à la vulnérabilité découverte.
Ce cadre juridique s’est révélé nécessaire afin de rationaliser la procédure entourant les signalements effectués, entre autres, par les hackeurs éthiques. Grâce à des tests et contrôles des systèmes plus fréquents, la cybersécurité de votre organisation, et partant, de toutes les entreprises, en sortira grandement renforcée.
