Retour à l'aperçu

Divulgation coordonnée des vulnérabilités

Consultez la politique de l'Institut de Médecine Tropicale concernant la divulgation coordonnée des vulnérabilités dans ses systèmes.

À l'IMT, nous accordons une grande importance à la sécurité de nos systèmes. Malgré les mesures mises en place, il peut subsister des vulnérabilités.

Si vous avez identifié une vulnérabilité dans l'un de nos systèmes, nous vous serions reconnaissants de nous en informer afin que nous puissions prendre des mesures appropriées dans les plus brefs délais.

Nous souhaitons collaborer avec vous afin de mieux protéger nos parties prenantes et nos systèmes.

Ce que nous vous demandons

Si vous avez trouvé une vulnérabilité dans l’un des systèmes de l’IMT, nous vous demandons de :

  • Signaler la vulnérabilité dès que possible après sa découverte via informatica@itg.be. Veuillez chiffrer votre e-mail afin d’éviter que les informations ne tombent entre de mauvaises mains. Découvrez comment faire dans Outlook ou Gmail.

  • Fournir suffisamment d’informations pour reproduire la vulnérabilité afin que nous puissions la corriger dans les plus brefs délais. En général, l’adresse IP ou l’URL du système concerné ainsi qu’une description de la vulnérabilité suffisent, mais des informations supplémentaires peuvent être nécessaires pour des cas plus complexes.

  • Fournir vos coordonnées afin que nous puissions vous contacter et collaborer pour parvenir à une solution sécurisée. Veuillez au minimum indiquer votre nom, adresse e-mail et/ou numéro de téléphone. Il est possible de signaler une vulnérabilité sous pseudonyme, mais veillez à ce que nous puissions vous contacter en cas de questions supplémentaires.

  • Confirmer que vous avez agi et continuerez d’agir conformément à la présente politique de divulgation responsable.

Règles à respecter

  • Ne pas divulguer publiquement la vulnérabilité tant que nous ne l'avons pas corrigée. Voir ci-dessous pour une éventuelle publication ultérieure.

  • Ne pas exploiter la vulnérabilité en copiant, supprimant, modifiant ou consultant des données de manière inutile, ni en téléchargeant plus de données que nécessaire pour démontrer la vulnérabilité.

  • Ne pas effectuer les actions suivantes :

    • Installer des logiciels malveillants (virus, ver, cheval de Troie, etc.).

    • Copier, modifier ou supprimer des données dans un système.

    • Apporter des modifications au système.

    • Accéder de manière répétée au système ou partager cet accès avec d’autres.

    • Utiliser des outils de scan automatisés.

    • Utiliser des techniques dites de « brute force » pour accéder aux systèmes.

    • Utiliser des attaques par déni de service ou des techniques d’ingénierie sociale (phishing, vishing, spam, etc.).

    • Ne pas recourir à des attaques sur la sécurité physique, à l’ingénierie sociale, à des attaques par déni de service distribué, au spam ou à des applications tierces.

    • Supprimer immédiatement toutes les données obtenues via la vulnérabilité après le signalement.

    • Ne pas effectuer d'actions susceptibles d'affecter le bon fonctionnement du système, notamment en termes de disponibilité, de performance, de confidentialité ou d'intégrité des données.

Les actions dans le cadre de cette politique doivent se limiter à des tests visant à identifier des vulnérabilités potentielles et au partage de ces informations avec l'IMT.

Nos engagements

  • Nous répondrons dans un délai raisonnable avec notre évaluation de votre signalement et un calendrier estimé de résolution.

  • Si vous avez respecté les conditions ci-dessus et n'avez commis aucune autre infraction, nous n'engagerons pas de poursuites judiciaires à votre encontre.

  • Nous traiterons votre signalement de manière confidentielle et ne partagerons pas vos données personnelles avec des tiers sans votre consentement, sauf si cela est nécessaire pour respecter une obligation légale. Le signalement sous pseudonyme est possible.

  • Nous vous tiendrons informé de l'avancement de la résolution du problème.

  • Dans toute communication de l'IMT relative au problème signalé, nous mentionnerons votre nom en tant que découvreur si vous le souhaitez.

  • Nous nous efforçons de résoudre tous les problèmes dans les meilleurs délais.

  • Nous nous réservons le droit d'ignorer les signalements de qualité insuffisante.

En cas de doute sur l’applicabilité de cette politique, veuillez d’abord nous contacter via cette adresse e-mail afin de demander une autorisation explicite.

Nous nous réservons le droit de modifier ou de mettre fin à cette politique à tout moment.

Ce texte est une adaptation de 'Responsible Disclosure' de Floor Terra, utilisé sous licence Creative Commons Attribution 4.0 International.

Contact

N'hésitez pas à nous contacter si vous avez des questions.

informatica@itg.be