Sommaire

Rappel sur l’éthique des tests Test:éthique Test d’intrusion

En France, les tests d’intrusion sont encadrés par un cadre légal relativement important. En effet, plusieurs articles du Code pénal mettent en évidence les délits informatiques à l’encontre des systèmes de traitements automatisés de données (STAD).

Code pénal, art. 323-1 :

Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un STAD est puni de deux ans d’emprisonnement et de 30  000 euros d’amende.

« Frauduleusement » est le terme le plus important au sein de cette phrase. En effet, avant la réalisation des tests d’intrusion, client et auditeur doivent se mettre d’accord sur le périmètre à auditer ainsi que sur les actions à faire ou ne pas faire (cf. chapitre Introduction aux tests d’intrusion, section Quelles sont les différentes phases d’un test d’intrusion ?).

Ainsi, le mandat d’autorisation est l’élément permettant à l’auditeur de se dégager de toute responsabilité vis-à-vis de l’audit de sécurité. En effet, s’il y a autorisation, il ne peut y avoir fraude.

Le lecteur curieux pourra également s’intéresser aux articles 323-2 et 323-3 du Code pénal.

En France, l’Agence nationale de la sécurité des systèmes ...