Politique de divulgation coordonnée de vulnérabilités

Security Monitoring Centre B.V.
Date de la dernière version : 29 avril 2024

Chez Security Monitoring Centre B.V. (SMC), nous nous efforçons de fournir à nos clients des solutions fiables et sûres. Nous prenons la sécurité très au sérieux et la protection de nos systèmes est notre priorité absolue.

Cela ne signifie pas que nos systèmes sont toujours exempts de vulnérabilités. C’est pourquoi nous aimons travailler avec des personnes capables de détecter ces vulnérabilités et nous avons créé cette politique de divulgation coordonnée des vulnérabilités (CVD).

Si vous avez découvert une faille de sécurité ou une vulnérabilité dans nos produits ou services, nous vous serions reconnaissants de bien vouloir nous la signaler de manière responsable. Cela nous aidera à mieux protéger nos clients et nos systèmes.

Avez-vous découvert une vulnérabilité ?

Si c’est le cas, informez-nous d’abord avant d’informer le monde extérieur afin que nous puissions prendre des mesures nous-mêmes en premier lieu.

Envoyez vos résultats par e-mail à [email protected]. Veuillez crypter vos résultats afin de sécuriser de manière adéquate ces informations critiques et de respecter les règles de conduite ci-dessous.

Règles de bonne conduite

Ce qu’il faut faire:

• Signaler la vulnérabilité dès que possible après l’avoir découverte.
• Veuillez fournir suffisamment de détails pour que nous puissions corriger la vulnérabilité dès que possible. L’adresse IP de l’ordinateur ou l’URL du système informatique et une description de la vulnérabilité suffisent généralement. Les vulnérabilités complexes peuvent nécessiter plus d’explications
• Veuillez laisser vos coordonnées (une adresse e-mail et/ou un numéro de téléphone) afin que nous puissions vous contacter ultérieurement
• Lorsque vous soumettez un rapport, n’incluez pas de données personnelles obtenues à partir de notre système.
• Traitez les informations en votre possession de manière responsable. N’abusez pas de la vulnérabilité ou du problème que vous avez découvert, par exemple en téléchargeant plus de données que nécessaire pour démontrer la vulnérabilité ou en supprimant ou modifiant les données d’autrui.
• Ne partagez pas les informations relatives à la vulnérabilité avec d’autres personnes tant que celle-ci n’a pas été corrigée.

Ce qu’il ne faut pas faire:

• Ne copiez pas, ne modifiez pas et ne supprimez pas les données de notre système. Si votre recherche nécessite une copie des données du système, ne copiez pas plus que ce qui est nécessaire à votre recherche ;
• Ne pas modifier ou endommager le système ;
• N’utilisez pas de logiciels malveillants ;
• N’essayez pas de pénétrer dans le système plus que nécessaire ; Ne partagez pas l’accès obtenu avec d’autres personnes ;
• N’utilisez pas l’ingénierie sociale pour accéder à notre système ;
• N’utilisez pas la “force brute” (par exemple la saisie répétée de mots de passe) pour accéder au système ;
• Ne créez pas de failles dans notre système ;
• Ne pas divulguer ou publier des données personnelles ou relatives aux clients ; et
• Ne perturbez pas nos services (en ligne).

Ce que l’on peut attendre de SMC:

• Nous vous enverrons immédiatement une confirmation de la réception de votre notification de vulnérabilité (au plus tard 3 jours ouvrables après l’envoi).
• Nous vous ferons savoir comment nous traiterions le rapport, si nous y donnions suite ou non et quand nous le ferions. Notre objectif est de remédier aux faiblesses le plus rapidement possible.
• Nous travaillons en étroite collaboration avec vous pour comprendre la nature du problème et établir un calendrier pour le résoudre et le rendre public.
• Nous vous tiendrons au courant de l’évolution de la résolution du problème.
• Nous vous informerons lorsque la vulnérabilité aura été corrigée afin de pouvoir la tester à nouveau et la confirmer.
• Si vous avez suivi les instructions ci-dessus, nous ne prendrons aucune mesure juridique à votre encontre concernant le rapport.
• Nous traitons votre rapport de manière strictement confidentielle et ne transmettons pas vos données personnelles à des tiers sans votre consentement.
• Dans les informations publiques concernant le problème signalé, nous mentionnons votre nom en tant que découvreur du problème (sauf demande contraire de votre part).

Récompenses

Nous apprécions grandement les efforts que vous déployez pour nous aider à optimiser nos systèmes et nos processus. C’est pourquoi, dans la plupart des cas, vous pouvez prétendre à une récompense monétaire appropriée. Le montant de la récompense est déterminé en fonction de la gravité de la vulnérabilité et de la qualité de votre rapport. La récompense minimale est un bon d’achat de 50 euros.

Nous ne récompenserons pas quand:

• Le problème avait déjà été signalé. Dans ce cas, seul le premier signataire est récompensé
• Vous vivez dans un pays figurant sur une liste de sanctions ;
• La question est déjà connue de tous ; ou
• Non-respect des règles de la présente politique en matière de CVD.

Le SMC tient à remercier chaque individu qui soumet un rapport sur une vulnérabilité afin de nous aider à améliorer la sécurité globale du SMC.

Si vous avez des questions concernant la présente politique en matière de CVD, veuillez nous contacter à l’adresse suivante :
[email protected] et/ou via le numéro de téléphone 02/787.71.25.

***