De quoi s'agit-il ?
Une vulnérabilité (vulnerability) est une faiblesse ou une lacune, d’ordre technique ou humain, dont une ou plusieurs menaces peuvent tirer parti et qui peut entraîner un accès non autorisé, une modification ou une suppression d’informations et de données.
Athumi attache une grande importance à la sécurité des informations et des systèmes que nous gérons et partageons avec nos clients. Dans la mesure du possible, Athumi met en place des mesures techniques et organisationnelles appropriées, conformément à la politique de sécurité de l’information d’Athumi, elle-même alignée sur le Cadre de classification de l’information du Gouvernement flamand et les mesures minimales y afférentes.
Bien que nous accordions beaucoup d’attention et de soin à la sécurisation de nos systèmes, il est possible qu’une vulnérabilité subsiste. Si vous découvrez une telle vulnérabilité dans l’un de nos systèmes, nous vous invitons à nous en informer afin que nous puissions prendre au plus vite les mesures adéquates. Cette politique de divulgation coordonnée des vulnérabilités (également connue sous le nom de « Responsible Disclosure Policy ») vous permet de nous informer lorsque vous en découvrez une.
Lorsque vous découvrez une vulnérabilité
Veuillez l’indiquer dès que possible à security@athumi.eu et inclure dans votre signalement :
- L’URL ou l’adresse IP où vous avez découvert la vulnérabilité, une description de vos constatations, de préférence accompagnée d’une explication de la manière dont vous êtes parvenu à ces constatations afin que nous puissions les reproduire.
- Vos coordonnées (au minimum : nom, adresse e-mail, numéro de téléphone) afin que nous puissions vous joindre pour d’éventuelles questions complémentaires.
Aidez-nous alors à protéger nos services et systèmes en :
- adoptant un comportement éthique et en n’influençant pas négativement le fonctionnement de nos systèmes par les techniques utilisées et les outils employés. Le non-respect de ce point ne peut être toléré.
- n’exploitant pas vous-même la vulnérabilité (p. ex. ne pas utiliser un accès éventuel pour télécharger des données supplémentaires, DDoS, spam, attaques d’ingénierie sociale, etc.) et en supprimant d’éventuelles données reçues par inadvertance en concertation avec Athumi.
- n’utilisant pas activement de techniques d’attaque telles que brute force, DDoS, spam, ingénierie sociale ou autres dans le but de détecter des vulnérabilités.
- ne partageant pas la vulnérabilité avec des tiers et en la traitant de manière confidentielle jusqu’à sa résolution.
- tenant compte, lors du signalement de vulnérabilités dans des composants tiers, que lorsqu’il s’agit de vulnérabilités connues, nous les suivons et priorisons en interne sur la base du score CVSS de la vulnérabilité et du risque éventuellement associé pour Athumi.
- confirmant que vous respecterez le contenu du présent document.
Nous garantissons alors
- de traiter votre signalement de manière confidentielle ainsi que les données à caractère personnel que vous partagez.
- de réagir, de vous associer à l’évaluation et à la résolution de la vulnérabilité et de vous en informer.
- de n’entreprendre aucune action juridique à votre encontre.
Remarque
Athumi ne vous accordera aucune compensation financière pour le signalement de vulnérabilités. Nous vous mentionnerons toutefois dans notre « Security Hall of Fame ».
Security Hall of Fame
Nous listerons ici les personnes qui nous ont aidés en signalant des vulnérabilités.
_
Il s’agit de la version 1.0 de ce document.