Le 4 décembre 2025, le Parlement portugais a adopté une réforme majeure de sa loi sur la cybercriminalité, plaçant la cybersécurité au cœur de sa stratégie nationale. Cette évolution législative vise explicitement à protéger les chercheurs en sécurité informatique, longtemps exposés à des risques pénaux malgré leur rôle central dans la détection des failles. Pour les autorités, cette décision répond à une urgence opérationnelle, dans un contexte de menaces numériques croissantes visant aussi bien les infrastructures civiles que les systèmes liés à la défense.
Cybersécurité et loi : le Portugal crée un cadre légal protecteur pour les chercheurs
La réforme adoptée par le Portugal introduit un principe clé pour la cybersécurité : la reconnaissance de l’intérêt public de la recherche en sécurité informatique. Concrètement, la loi modifie le cadre pénal afin d’exempter certains actes techniques, jusqu’alors assimilés à des infractions, lorsqu’ils sont réalisés dans un objectif strict de recherche. Cette évolution, inscrite dans l’article 8.º-A intitulé « actes non punissables en raison de l’intérêt public pour la cybersécurité », marque une rupture claire avec une approche exclusivement répressive, selon BleepingComputer.
Dans le détail, la législation portugaise précise que ces actes doivent viser uniquement l’identification de vulnérabilités existantes. Ainsi, un chercheur en cybersécurité peut analyser un système sans autorisation préalable, à condition de respecter un cadre strict. Cette reconnaissance juridique met fin à une insécurité chronique pour les chercheurs, souvent contraints d’opérer dans une zone grise, malgré leur contribution directe à la sécurité nationale. Selon CyberMaterial, cette clarification légale aligne le Portugal sur les meilleures pratiques internationales en matière de recherche responsable.
Cependant, le législateur portugais a volontairement posé des limites précises. La loi exclut toute recherche poursuivant un objectif de profit illicite ou d’exploitation malveillante. Les activités doivent être réalisées sans intention de gain économique autre que la rémunération professionnelle normale, un point souligné par BleepingComputer. Ce cadrage vise à éviter toute confusion entre recherche légitime et cybercriminalité déguisée.
Recherche de failles : un modèle encadré et contrôlé
Si la réforme constitue une avancée notable pour la cybersécurité, elle s’accompagne d’obligations lourdes pour les chercheurs. Le texte impose notamment un signalement immédiat des vulnérabilités découvertes. Les chercheurs doivent informer à la fois le propriétaire du système concerné, le contrôleur de données et le Centre national de cybersécurité portugais. Cette exigence, détaillée par ThaiCERT, place l’État au centre du dispositif de coordination et de supervision.
Par ailleurs, la loi interdit formellement le recours à des techniques considérées comme nuisibles ou trompeuses. Sont explicitement proscrites les attaques par déni de service, les campagnes d’hameçonnage, l’ingénierie sociale, le vol de mots de passe ou encore le déploiement de logiciels malveillants. Cette liste vise à protéger les systèmes critiques, y compris ceux relevant de la défense, contre toute perturbation volontaire sous couvert de recherche.
Un autre point central concerne la gestion des données. Les informations collectées lors des travaux de cybersécurité doivent rester strictement confidentielles. La loi impose leur suppression dans un délai maximal de dix jours après la correction de la vulnérabilité, selon SCWorld. Cette contrainte temporelle répond à des impératifs de protection des données sensibles, notamment lorsqu’il s’agit d’infrastructures stratégiques ou de systèmes utilisés par les forces armées.
Cette architecture réglementaire traduit une volonté claire : encourager la recherche tout en conservant un haut niveau de contrôle étatique. Pour les autorités portugaises, il s’agit de tirer parti de l’expertise civile sans fragiliser les capacités de défense numérique du pays.
Cybersécurité : une décision stratégique du Portugal
Au-delà de la sphère académique, la décision du Portugal s’inscrit dans une logique de défense et de souveraineté numérique. Les systèmes militaires, les réseaux gouvernementaux et les infrastructures critiques sont aujourd’hui des cibles privilégiées de la cybercriminalité et des opérations d’ingérence étatique. Dans ce contexte, favoriser la recherche en cybersécurité devient un multiplicateur de puissance, en permettant une détection précoce des failles exploitables par des acteurs hostiles.
Selon BleepingComputer, la réforme vise explicitement à renforcer la résilience globale du pays face aux cybermenaces. En sécurisant juridiquement les chercheurs, le Portugal espère accroître le volume et la qualité des remontées de vulnérabilités, y compris sur des systèmes sensibles. Cette approche s’inspire de modèles déjà observés dans certains pays alliés, où la coopération entre chercheurs indépendants, institutions publiques et acteurs de la défense est devenue un pilier de la sécurité nationale.
La création de ce cadre légal pourrait également renforcer l’attractivité du Portugal pour les talents en cybersécurité. Dans un marché marqué par une pénurie mondiale de compétences, offrir une sécurité juridique constitue un avantage stratégique. Cette réforme pourrait inciter davantage de chercheurs internationaux à collaborer avec des entités portugaises, contribuant indirectement au renforcement des capacités de défense cyber du pays.
Alors que les cadres juridiques restent hétérogènes au sein de l’Union, Lisbonne prend une longueur d’avance en reconnaissant officiellement le rôle des chercheurs comme acteurs de sécurité, et non comme menaces potentielles. Pour les experts, cette clarification pourrait servir de référence dans les discussions futures sur l’harmonisation des législations en matière de cybersécurité et de cyberdéfense.
