A l’heure où les cyberattaques deviennent de plus en plus fréquentes et sophistiquées (notamment grâce à l’IA et au deep learning), les entreprises sont naturellement tenues de réagir. Comment ? En investissant massivement dans des mesures de protection pour sécuriser leur système d’information. C’est tout l’intérêt des pentests, ou tests d’intrusion, des audits de sécurité dont le but est d’évaluer les risques potentiels pour les corriger à temps. Cela dit, cette pratique comporte des risques juridiques pour les prestataires. Lesquels ? C’est ce que nous allons découvrir tout de suite.
Pentest : les risques juridiques
Vous ne le saviez peut-être pas, mais les opérations menées par les pentesters dans le cadre de leur mission peuvent entraîner des situations de non-conformité et engager leur responsabilité, principalement d’ordre contractuelle vis-à-vis du client. En effet, en cas d’intrusion involontaire dans un réseau voisin non couvert par le contrat initial, ou en cas d’investigations menées sur un système d’information qui n’appartient pas au client, les pentesters peuvent être tenus responsables.
En outre, il est possible que les pentesters commettent un délit d’accès et de maintien frauduleux sur un système de traitement automatisé de données, un acte réprimé par l’article 323-1 du Code pénal. Pour être inculpé de ce délit, il faut prouver la matérialité de l’infraction, ainsi que l’intention frauduleuse de l’auteur de l’intrusion. La jurisprudence a précisé que le critère de « défaut d’autorisation » doit être patent. Autrement dit, l’absence d’autorisation expresse du maître du système doit être évidente.
Par conséquent, il est essentiel pour les entreprises de délimiter clairement le périmètre de l’audit pour éviter les intrusions involontaires et protéger les pentesters de toute responsabilité, quelle qu’elle soit. De son côté, le pentester a tout à gagner en souscrivant une assurance responsabilité civile, en vue de couvrir les risques liés à la pratique d’un test d’intrusion. Il est également recommandé qu’ils concluent des contrats aussi clairs et complets que possible avec leurs clients, définissant notamment les termes et conditions de leurs services. L’objectif évident de ces précautions est de protéger les prestataires, tout en garantissant la sécurité des systèmes d’information des entreprises clientes.
Zoom sur le contrat de pentest
Rappelons, au risque de nous répéter, qu’il est essentiel pour les pentesters de conclure des contrats clairs, complets et précis avec leurs clients. Or, force est de constater que la plupart des prestataires font l’impasse sur le préambule, ou du moins n’y prête pas l’attention qu’il faut. Grave erreur ! Il faut savoir que tout l’intérêt du préambule est de décrire le contexte dans lequel le pentester exercera sa mission. Entre autres éléments objectifs, ce préambule doit faire mention du domaine d’activité du client, du SI audité ou encore des raisons qui ont amené le client à choisir ce prestataire plutôt qu’un autre. L’autre intérêt non moins important du préambule du contrat est d’aider le juge à connaître les intentions des deux parties en cas de litige.
Par ailleurs, il ne faut pas perdre de vue que lors d’une mission de pentest, l’autorisation du client est un élément déterminant, car c’est elle qui déterminera toute éventuelle poursuite dans le cadre des articles 323-1 et suivants du Code pénal. Au-delà du préambule, le corps du contrat doit intégrer un certain nombre d’articles, notamment : la désignation des responsables du projet, les délais de réalisation, la désignation des outils et techniques utilisés, le périmètre technique de l’intrusion, les ressources mises à disposition par le pentesteur…