Politique de divulgation responsable

Doccle considère qu’il est très important que ses informations et ses systèmes soient sécurisés. Malgré notre plus grande préoccupation quant à la sécurité de ces systèmes, il est possible qu’il existe encore une vulnérabilité.

Si vous avez découvert une vulnérabilité dans l’un de nos systèmes, nous aimerions avoir votre avis afin que nous puissions prendre des mesures le plus rapidement possible. Nous aimerions travailler avec vous pour mieux protéger notre public et nos systèmes.

C’est pourquoi nous avons opté pour une « Politique de divulgation responsable », afin que vous puissiez nous informer lorsque vous découvrez une vulnérabilité.

Cette politique de divulgation responsable s’applique à tous les systèmes Doccle. Si vous avez des doutes, nous vous demandons de nous contacter pour plus de clarté via security@doccle.be.

Que vous demandons-nous ?

Si vous découvrez une vulnérabilité dans l’un de nos systèmes, nous vous demandons :

Signaler la vulnérabilité

  • Signalez la vulnérabilité dès que possible après sa découverte. Envoyez vos découvertes par e-mail à security@doccle.be et cryptez-les avec notre clé PGP pour éviter que les informations ne tombent entre de mauvaises mains.
  • Fournissez suffisamment d’informations pour reproduire la vulnérabilité afin que nous puissions résoudre le problème le plus rapidement possible. En règle générale, l’adresse IP ou l’URL du système concerné et une description de la vulnérabilité suffisent, mais des vulnérabilités plus complexes peuvent nécessiter davantage.
  • Laissez vos coordonnées afin que Doccle puisse vous contacter pour travailler ensemble sur un résultat sécurisé. Laissez au moins votre nom, votre adresse email et/ou votre numéro de téléphone. Le signalement sous un pseudonyme est possible, mais assurez-vous que nous pouvons vous contacter si nous avons des questions supplémentaires.
  • Confirmez que vous avez agi et continuerez d’agir conformément à cette ‘Politique de divulgation responsable’.

Règles que vous devez respecter

  • Ne pas divulguer la vulnérabilité jusqu’à ce que nous ayons pu la corriger. Voir ci-dessous pour une éventuelle publication ultérieure.
  • Ne pas abuser de la vulnérabilité en copiant, supprimant, modifiant ou visualisant inutilement des données. Ou, par exemple, en téléchargeant plus de données que nécessaire pour démontrer la vulnérabilité.

N’appliquez pas les actions suivantes:

  • Placement de malware (virus, ver, cheval de Troie, etc.).
  • Copier, modifier ou supprimer des données dans un système.
  • Apporter des modifications au système.
  • Accéder à plusieurs reprises au système ou partager l’accès avec d’autres.
  • Utilisation d’outils d’analyse automatisés.
  • Utiliser ce que l’on appelle l’accès aux systèmes par « brute forcing ».
  • Utiliser le déni de service ou l’ingénierie sociale (phishing, vishing, spam, …).

Ne pas utiliser d’attaques contre la sécurité physique, l’ingénierie sociale, le déni de service distribué, le spam ou les applications tierces.

Supprimez toutes les données obtenues via la vulnérabilité immédiatement après le rapport.

Ne réaliser aucune action qui pourrait avoir un éventuel impact sur le bon fonctionnement du système, tant en termes de disponibilité et de performances, mais également en termes de confidentialité et d’intégrité des données.

Les actions dans le cadre de cette politique doivent se limiter à la réalisation de tests pour identifier les vulnérabilités potentielles et au partage de ces informations avec Doccle.

Si vous souhaitez publier sur la vulnérabilité après la suppression de la vulnérabilité, nous vous demandons de nous en informer au moins un mois avant la publication et de nous donner la possibilité de répondre. Notre identification, directement ou indirectement, dans une publication n’est possible qu’après notre accord exprès.

Ce que nous promettons

  • Si vous avez respecté les termes ci-dessus de la Politique de divulgation responsable et n’avez commis aucune autre violation, nous n’engagerons aucune action en justice contre vous.
  • Nous répondrons à votre rapport dans un court délai, si possible dans les 10 jours ouvrables, avec notre évaluation du rapport et une éventuelle date prévue pour une solution.
  • Nous traiterons votre signalement de manière confidentielle et ne partagerons pas vos données personnelles avec des tiers sans votre autorisation, sauf si cela est nécessaire pour respecter une obligation légale.
  • Nous vous tiendrons informés de l’avancée de la résolution du problème.
  • Nous nous efforçons de résoudre tous les problèmes dans un court laps de temps.
  • Nous pouvons choisir d’ignorer les rapports de moindre qualité.

Si vous avez des questions, nous vous encourageons à les adresser à security@doccle.be

Si vous avez des doutes sur l’applicabilité de cette politique, veuillez d’abord nous contacter via cette adresse e-mail pour demander une autorisation explicite.

Droit applicable: Le droit belge s’applique aux litiges relatifs à l’application de la présente politique.

Durée: Les règles du contrat sont applicables à partir du 01/10/2023 jusqu’à ce qu’elles soient éventuellement modifiées ou annulées par Doccle. Ces modifications ou annulations seront annoncées sur le site Doccle et s’appliqueront automatiquement 30 jours après leur annonce.

Ce texte est une œuvre dérivée de « Responsible Disclosure » de Floor Terra, utilisée sous licence Creative Commons Naamsvermelding 3.0 licence.

initgriti

Doccle collabore également avec Intigriti.com.. Si vous êtes chercheur pour Intigriti, nous vous demandons de partager vos découvertes via la plateforme Intigriti.