Impunité du piratage éthique : un avis juridique clarifie la situation
Sur mandat de l'Institut national de test de cybersécurité NTC, le cabinet d'avocats Walder Wyss a rédigé un avis de droit détaillé intitulé "Punissabilité du piratage éthique". L'une des conclusions de cette expertise est que le piratage éthique n'est pas punissable si certaines conditions générales sont respectées.
L'Institut national de test pour la cybersécurité NTC teste ce qui ne l'est pas habituellement. Il examine les produits et infrastructures numériques pour y déceler les vulnérabilités qui ne sont pas ou pas suffisamment testées, y compris à son initiative. Le problème : la réalisation d'analyses de vulnérabilité - dans la mesure où elle implique une intrusion (tentée ou réussie) dans un système de traitement de données tiers (tests d'intrusion) - entre potentiellement en conflit avec l'infraction de piratage informatique de l'article 143bis, alinéa 1 du Code pénal. Selon ce dernier, est puni "celui qui, par le biais d'installations de transmission de données, s'introduit sans autorisation dans un système de traitement de données d'autrui spécialement protégé contre son accès". En bref : sans mandat explicite et sans consentement, la détection de failles de sécurité est punissable selon le droit suisse dès que la sécurité d'accès d'un système étranger est franchie ou que l'on tente de le faire. En outre, le code pénal punit la manipulation et la modification de données.
État de nécessité justifié
Si des normes pénales sont enfreintes dans le cadre d'analyses de vulnérabilité, il est possible, dans certaines circonstances, d'invoquer l'état de nécessité justifié selon l'art. 17 CP. L'intrusion dans un système n'est justifiée que s'il existe des indices concrets qu'un système est affecté par des failles de sécurité potentielles. En outre, la découverte, la documentation et l'information sur ces failles de sécurité doivent avoir pour but d'éviter des accès malveillants. D'un point de vue subjectif, il est présupposé que le bénéficiaire de l'état d'urgence doit connaître la situation d'urgence et agir pour sauver le bien juridique menacé.
Publication des résultats des analyses de vulnérabilité
Avant une publication détaillée, les failles de sécurité identifiées et documentées devraient être entièrement corrigées. Si ce n'est pas le cas, le niveau de détail d'une publication devrait être réduit aux informations nécessaires. Cela permet d'avertir les utilisateurs du système de manière appropriée et de leur donner la possibilité de se protéger.
En publiant cet avis de droit, le NTC contribue à l'actuelle cyberstratégie nationale de la Confédération, qui vise à institutionnaliser le piratage informatique éthique. Le laboratoire de test et de contrôle du canton de Zoug travaille en étroite collaboration avec des instituts de recherche, des entreprises privées de cybersécurité et des experts internationaux. Le NTC existe depuis décembre 2020.
Source et informations complémentaires : www.ntc.swiss
