Actualité web & High tech sur Usine Digitale

Recevez chaque jour toute l'actualité du numérique

x

[Avis d'expert] Le bug bounty et le droit

Twitter Facebook Linkedin Google + Email
×

Cette semaine, l'avocat Eric Caprioli nous éclaire sur le bug bounty. Légal ou pas ?

[Avis d'expert] Le bug bounty et le droit
[Avis d'expert] Le bug bounty et le droit © Igor Stevanovic

Le bug bounty est un moyen moderne et efficace d’externaliser la détection des vulnérabilités en matière de cybersécurité des organisations (entreprises et administrations). Il porte sur des sites web, des applications ou des équipements et permet de procéder aux corrections qui découlent des découvertes de failles ou bugs, rémunérées par des primes. Cette activité a des conséquences sur le plan de la sécurité de l’entreprise ainsi que sur l’encadrement contractuel de cette pratique.  

 

externalisation du service de sécurité numérique 

Le bug bounty consiste donc à faire appel aux compétences de personnes chevronnées en informatique, professionnelles ou amatrices que l’on appelle des "chercheurs en sécurité", afin de détecter des bugs et des failles de sécurité dans un périmètre prédéfini. Ces personnes agissent en accord avec l’organisation cible via une plate-forme.

Ainsi, un certain nombre de plateformes proposent leurs services afin de faire le lien entre les entreprises qui désirent opter pour cette solution et les chercheurs de failles. Par exemple, Yes We Hack et sa plateforme européenne Bounty Factory (ou Yogosha ou Bugbountyzone) permet de mettre en relation des entreprises qui publient sous forme de programme leurs besoins (le scope, les règles à respecter, et le type de hunters à qui s’adresse l’annonce, … ). On doit distinguer le bug bounty privé (sélection des meilleurs hunters du domaine) et le bug bounty public, ouvert à tous les hunters inscrits sur la plate-forme. Le bug bounty vient utilement compléter les traditionnels audits de sécurité et tests d’intrusion. En principe, les opérations interviennent dans la durée contrairement aux audits ou tests qui révèlent la situation de vulnérabilité à un instant T.

 

 cadre juridique des plateformes

La plateforme joue le rôle d’intermédiaire et deux contrats sont conclus : d’une part, entre la plate-forme et le chercheur et d’autre part, entre la plateforme et l’organisation cliente. Le contrat domine les relations entre les intervenants.

Les plateformes sont définies par l’article L.111-7-I-2° code consom et l’article 242 bis-I  CGI comme la mise "en relation par voie électronique des personnes en vue de la fourniture d’un service". L’article 242 bis du CGI instaure pour les plateformes une obligation d’information à destination des chercheurs quant à leurs obligations fiscales et sociales. Elle réunit une communauté de chercheurs et doit être en mesure d’accompagner ses clients de la rédaction du programme jusqu’à l’aide aux correctifs.

Sur le plan contractuel, la plateforme sera soumise à une obligation de confidentialité afin de ne pas divulguer les informations auxquelles elle aura eu accès. Pour ce faire, elle devra respecter les normes ISO et procéder au chiffrement des données. Il nous semble important que la plateforme ait recours à des partenaires et prestataires de services européens pour des questions de souveraineté et de conformité légale. Il incombe à la plateforme de verser les primes aux chercheurs selon les barèmes établis après avoir déduit sa propre rémunération.

 

Quid des chercheurs ?

Les chercheurs par opposition à leurs homologues illégaux ne sont pas exposés aux sanctions prévues par le code pénal en matière d’atteinte aux systèmes d’information. En effet, aucune fraude ne peut être caractérisée car l’intrusion, l’intervention dans le système d’information et l’accès à des données sont à l’initiative de l’entreprise cliente elle-même. L’élément intentionnel fait défaut pour la constitution de l’infraction, sauf en cas de non respect du contrat (CGU).

Le but du contrat sera d’assurer la sécurité de l’entreprise utilisatrice : éviter la fuite d’informations causée par les chercheurs, assurer la communications de toutes les informations à l’entreprise initiatrice du programme, garantir la confidentialité des découvertes et leurs non exploitations à des fins malveillantes ou encore préciser la responsabilité des chercheurs en cas de défaillance. Toute action en dehors du périmètre et des obligations définies pourra donner lieu à la mise en cause de la responsabilité pénale (amende, prison…) ou civile (dommages et intérêts) du chercheur. Il pourra par exemple s’exposer aux sanctions en matière d’atteinte aux droits de la personne résultant des fichiers ou des traitements informatiques (art. 226-16 à 226-24 du Code pénal).

Une clause du contrat prévoira la protection des données couvertes par le secret professionnel et la protection des données personnelles manipulées par le chercheur lors de ses tests. La confidentialité est un point à prévoir concernant toutes les informations dont le hunter aura eu connaissance ainsi que la durée de l’interdiction de les révéler (en général, il s’engage à les détruire). En ce qui concerne la récompense, le chercheur n’est récompensé qu’après avoir fait remonter une vulnérabilité dont la valeur aura été préalablement déterminée. L’identification du chercheur s’opère par leur authentification et/ou par le biais d’un prestataire de service de paiement assujettis aux règles de lutte anti-blanchiment et qui procède au règlement des primes aux titulaires de comptes (obligatoire pour s’inscrire).

 

les initiateurs d’un programme

L’entreprise devra s’assurer que la plateforme met en œuvre tous les moyens  afin d’assurer la sécurité des données qui y transitent. Cette sécurité concerne aussi bien les méthodes de stockage des vulnérabilités découvertes que la souveraineté de ladite plateforme sous réserve que la plateforme respecte les règles en terme de confidentialité des données comme la sécurisation de son propre périmètre.

La mise en œuvre de programmes de bug bounty est un moyen pour les entreprises de respecter l’obligation de sécurité des données personnelles et d’éviter des sanctions. Le RGPD (articles 32 à 34) oblige la sécurité des traitements en mettant notamment en œuvre des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » (Article 32) et de procéder aux notifications des violations de données personnelles.  

Concernant le contrat avec la plateforme de bug bounty, l’entreprise s’engagera à renoncer à toute poursuite (contrefaçon, poursuites pénale ou civile…) à l’encontre des hunters lorsqu’ils respectent les termes du programme et du contrat. L’entreprise devra aussi garantir les hunters et la plateforme contre tout recours de tiers relatif à la réalisation du bug bounty (ex : hébergement par un tiers). L’organisme qui initie un programme devra cependant, mettre en œuvre les ressources humaines idoines pour trier et corriger les vulnérabilités remontées par les hunters.

Au vu de la sécurité que confère un programme de Bug Bounty, sans que les risques soient trop importants et sous réserve de son encadrement, l’activité de bug bounty est donc parfaitement légale. Dès lors que l’on suit les règles ainsi tracées, il apporte les réponses adaptées aux nouveaux besoins de sécurité des systèmes d’information.

 

Eric A. Caprioli, Avocat à la Cour, Docteur en droit, Membre de la délégation française aux Nations Unies, Vice-Président du CESIN, Société d’avocats membre du réseau JurisDéfi

Les avis d'experts et points de vue sont publiés sous la responsabilité de leurs auteurs et n’engagent en rien la rédaction.

 

 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale