NL FR

BSC: Responsible Disclosure Policy

Que cela implique-t-il ?

Assurer la sécurité des informations et des systèmes est d’une importance capitale pour BSC. La correction des vulnérabilités fait donc partie des priorités de l’organisation. Lors de la découverte de vulnérabilités dans notre infrastructure, nous vous demandons d’informer BSC immédiatement, afin que nous puissions prendre des mesures le plus rapidement possible pour prévenir tout abus éventuel. BSC opte pour une politique de divulgation coordonnée des vulnérabilités (mieux connue sous le nom de « Politique de Divulgation Responsable »), au sein de laquelle vous pouvez volontairement tester et signaler des problèmes relatifs à la sécurité des informations, des processus et des systèmes de BSC de manière appropriée.

Cette « Politique de Divulgation Responsable » s’applique à tous les systèmes et applications de BSC. En cas de doute, nous vous demandons de nous contacter à l’adresse RDP@securecommunications.be.

Ce que nous vous demandons

Si vous découvrez une vulnérabilité dans l’un de nos systèmes, nous vous demandons de signaler la vulnérabilité dans les plus brefs délais après sa découverte. Vous pouvez le faire en envoyant un e-mail à RDP@securecommunications.be. Nous vous prions de respecter les directives suivantes :

  • Contactez-nous dès que possible. Envoyez vos découvertes à RDP@securecommunications.be.

  • Fournissez suffisamment d’informations pour reproduire la vulnérabilité afin que nous puissions résoudre le problème le plus rapidement possible. En général, l’adresse IP ou l’URL du système concerné et une description de la vulnérabilité suffisent, mais des détails supplémentaires peuvent être nécessaires pour des vulnérabilités plus complexes.

  • Laissez vos coordonnées, de sorte que BSC puisse vous contacter pour collaborer à une solution sécurisée. Veuillez indiquer au minimum votre nom, votre adresse e-mail et/ou votre numéro de téléphone. Il est possible de signaler sous un pseudonyme, mais assurez-vous que nous puissions vous joindre pour d’éventuelles questions supplémentaires.

  • Ne pas abuser du problème, par exemple en téléchargeant plus de données que nécessaire pour prouver la faille ou en consultant, supprimant ou modifiant des données de tiers.

  • Ne pas partager le problème avec d’autres jusqu’à ce qu’il soit résolu et supprimer immédiatement toutes les données confidentielles obtenues par le biais de la faille après sa correction.

  • Ne pas utiliser d’attaques sur la sécurité physique, d’ingénierie sociale, de déni de service distribué, de spam ou d’applications tierces.

  • Confirmer que vous avez agi et continuerez d’agir conformément à cette Politique de Divulgation Responsable.

Ce que nous vous promettons

Si vous respectez les conditions ci-dessus de la Politique de Divulgation Responsable et ne commettez pas d’autres violations, nous vous promettons :

  • De ne pas prendre de mesures juridiques à votre encontre.

  • De répondre dans un délai raisonnable, si possible dans les 10 jours ouvrables, à votre signalement avec notre évaluation de celui-ci et une date de solution éventuelle.

  • De traiter votre signalement de manière confidentielle et de ne pas partager vos informations personnelles sans votre consentement, sauf si cela est nécessaire pour se conformer à une obligation légale.

  • De vous tenir informé de l’avancement de la résolution du problème.

  • De nous efforcer de résoudre tous les problèmes dans un délai raisonnable.

  • Nous pouvons choisir d’ignorer les signalements de moindre qualité et/ou ayant un impact limité sur la sécurité de nos systèmes.

En résumé

Si vous avez des questions, nous vous encourageons à les adresser à RDP@securecommunications.be. En cas de doute sur l’applicabilité de cette politique, veuillez d’abord nous contacter via cette adresse e-mail pour demander une autorisation explicite.

Nous nous réservons le droit de modifier le contenu de cette Politique à tout moment, ou de mettre fin à la Politique. Vous trouverez toujours la dernière version de notre Politique sur notre site web.