Politique de divulgation responsable

Que vous demandons-nous ?

Si vous découvrez une vulnérabilité dans l’un de nos systèmes, nous vous demandons :

Signaler la vulnérabilité

• Signalez la vulnérabilité dès que possible après sa découverte. Envoyez vos découvertes par e-mail à security@doccle.be et cryptez-les avec notre clé PGP pour éviter que les informations ne tombent entre de mauvaises mains.
• Fournissez suffisamment d’informations pour reproduire la vulnérabilité afin que nous puissions résoudre le problème le plus rapidement possible. En règle générale, l’adresse IP ou l’URL du système concerné et une description de la vulnérabilité suffisent, mais des vulnérabilités plus complexes peuvent nécessiter davantage.
• Laissez vos coordonnées afin que Doccle puisse vous contacter pour travailler ensemble sur un résultat sécurisé. Laissez au moins votre nom, votre adresse email et/ou votre numéro de téléphone. Le signalement sous un pseudonyme est possible, mais assurez-vous que nous pouvons vous contacter si nous avons des questions supplémentaires.
• Confirmez que vous avez agi et continuerez d’agir conformément à cette ‘Politique de divulgation responsable’.

Règles que vous devez respecter

• Ne pas divulguer la vulnérabilité jusqu’à ce que nous ayons pu la corriger. Voir ci-dessous pour une éventuelle publication ultérieure.
• Ne pas abuser de la vulnérabilité en copiant, supprimant, modifiant ou visualisant inutilement des données. Ou, par exemple, en téléchargeant plus de données que nécessaire pour démontrer la vulnérabilité.

N’appliquez pas les actions suivantes:

• Placement de malware (virus, ver, cheval de Troie, etc.).
• Copier, modifier ou supprimer des données dans un système.
• Apporter des modifications au système.
• Accéder à plusieurs reprises au système ou partager l’accès avec d’autres.
• Utilisation d’outils d’analyse automatisés.
• Utiliser ce que l’on appelle l’accès aux systèmes par « brute forcing ».
• Utiliser le déni de service ou l’ingénierie sociale (phishing, vishing, spam, …).

Ne pas utiliser d’attaques contre la sécurité physique, l’ingénierie sociale, le déni de service distribué, le spam ou les applications tierces.

Supprimez toutes les données obtenues via la vulnérabilité immédiatement après le rapport.

Ne réaliser aucune action qui pourrait avoir un éventuel impact sur le bon fonctionnement du système, tant en termes de disponibilité et de performances, mais également en termes de confidentialité et d’intégrité des données.

Les actions dans le cadre de cette politique doivent se limiter à la réalisation de tests pour identifier les vulnérabilités potentielles et au partage de ces informations avec Doccle.

Si vous souhaitez publier sur la vulnérabilité après la suppression de la vulnérabilité, nous vous demandons de nous en informer au moins un mois avant la publication et de nous donner la possibilité de répondre. Notre identification, directement ou indirectement, dans une publication n’est possible qu’après notre accord exprès.

Ce que nous promettons

• Si vous avez respecté les termes ci-dessus de la Politique de divulgation responsable et n’avez commis aucune autre violation, nous n’engagerons aucune action en justice contre vous.
• Nous répondrons à votre rapport dans un court délai, si possible dans les 10 jours ouvrables, avec notre évaluation du rapport et une éventuelle date prévue pour une solution.
• Nous traiterons votre signalement de manière confidentielle et ne partagerons pas vos données personnelles avec des tiers sans votre autorisation, sauf si cela est nécessaire pour respecter une obligation légale.
• Nous vous tiendrons informés de l’avancée de la résolution du problème.
• Nous nous efforçons de résoudre tous les problèmes dans un court laps de temps.
• Nous pouvons choisir d’ignorer les rapports de moindre qualité.