Responsible Disclosure

Nous accordons une grande importance à la sécurisation de nos informations et de nos systèmes informatiques.

Malgré toutes les mesures de protection mises en place, il se peut qu’une ou plusieurs vulnérabilités subsistent.

Vous avez identifié une faille de sécurité dans notre système ?
Comment signaler une faille ?
Quelques règles à suivre
Après la correction, la publication
Notre engagement envers vous
Contact

Vous avez identifié une faille de sécurité dans notre système ?

Nous souhaitons collaborer avec vous pour renforcer la sécurité de nos systèmes et protéger les usagers et partenaires de nos services.

La présente politique de divulgation responsable définit les modalités de cette collaboration et s’applique à tous les systèmes d’Iriscare.

Pour toute question, n’hésitez pas à nous contacter via l’adresse cybersecurity@ccc-ggc.brussels.

Comment signaler une faille ?

Vous avez identifié une vulnérabilité dans l’un de nos systèmes ?

Signalez-la-nous le plus rapidement possible via notre formulaire en ligne ou par e-mail à l’adresse cybersecurity@ccc-ggc.brussels.

Donnez-nous un maximum d’informations pour que nous puissions reproduire et résoudre le problème dans les meilleurs délais.

Généralement, l’adresse IP, l’URL du système affecté, ainsi qu’une description de la faille rencontrée suffisent. Toutefois, dans certains cas plus complexes, des précisions supplémentaires peuvent être nécessaires.

Laissez-nous vos coordonnées (nom, adresse e-mail et/ou numéro de téléphone) afin que nous puissions travailler ensemble pour obtenir un meilleur résultat. Vous pouvez également utiliser un pseudonyme, si vous le souhaitez, pour autant que nous puissions vous contacter en cas de questions supplémentaires.

Quelques règles à suivre

Ne divulguez pas la vulnérabilité identifiée tant que nous ne l’avons pas corrigée. (Envie de publier votre découverte ? C’est possible en suivant les modalités décrites au point « Publication »).

N’exploitez pas la vulnérabilité en copiant, supprimant, modifiant, analysant ou téléchargeant des données, au-delà de ce qui est nécessaire pour démontrer la faille.

N’effectuez pas les actions suivantes :
- Installer des logiciels malveillants (virus, ver, cheval de Troie, etc.) ;
- Copier, modifier ou supprimer des données ;
- Apporter des modifications au système ;
- Accéder de manière répétée ou partager l’accès au système ;
- Utiliser des outils d’analyse automatisés ;
- Lancer des attaques par force brute pour accéder au système ;

Ne recourez à aucune technique de piratage malveillante (sécurité physique, ingénierie sociale, déni de service distribué, spam, applications tierces, hameçonnage, etc.).

Supprimez immédiatement toutes les données obtenues lors de votre piratage éthique une fois que vous avez signalé la ou les failles à notre administration.

N’exécutez aucune action susceptible de compromettre la disponibilité, la performance, la confidentialité ou l’intégrité de nos systèmes.

Les actions réalisées dans le cadre de cette politique doivent se limiter à l’identification des vulnérabilités potentielles et au partage de informations correspondantes avec notre administration.

Après la correction, la publication

Nous comprenons que vous souhaitiez partager votre découverte avec la communauté.

Ainsi, si, après correction, vous souhaitez publier des informations sur la vulnérabilité découverte, veuillez :

Nous en informer au moins un mois avant la publication ;
Nous laisser la possibilité de formuler une réponse ou un commentaire ;
Ne mentionner Iriscare dans la publication qu’après avoir obtenu notre accord explicite.

Notre engagement envers vous

Si vous avez respecté les conditions détaillées dans la présente politique de divulgation responsable, et que vous n’avez commis aucune autre infraction, nous nous engageons à :

N’intenter aucune action en justice contre vous ;
Répondre à votre rapport dans un court délai, si possible dans les cinq jours ouvrables, avec notre examen du rapport et une date prévue pour la résolution de la faille ;
Traiter votre signalement de manière confidentielle et ne pas partager vos données personnelles avec des tiers sans votre autorisation, sauf en cas d’obligation légale ;
Vous tenir informé e de l’avancement de la résolution du problème ;
Résoudre tous les problèmes identifiés dans les délais les plus brefs possibles.

Nous nous réservons toutefois le droit d’écarter les signalements incomplets ou présentant des lacunes de qualité.

Contact

Pour toute question concernant l’application de cette politique, et avant toute action technique, nous vous invitons à nous contacter via l’adresse cybersecurity@ccc-ggc.brussels.

Nous nous réservons le droit de modifier ou de mettre fin à cette politique à tout moment.

Merci pour votre collaboration.