Politique de divulgation des vulnérabilités de Proximus

Lignes directrices pour le signalement des failles de sécurité

Signaler des vulnérabilités

Nous apprécions l'expertise et l'aide de la communauté de la cybersécurité pour nous aider à maintenir nos normes de sécurité élevées. Vous pouvez utiliser ce site pour signaler toute vulnérabilité de sécurité suspectée liée à nos services ou produits.

Si vous êtes au courant d'une vulnérabilité qui pourrait affecter les services ou produits de Proximus, veuillez nous contacter via le lien indiqué sous "Comment signaler une vulnérabilité". Nos spécialistes en sécurité examineront toutes les soumissions et, si nécessaire, travailleront avec vous pour s'assurer que nous pouvons résoudre tout problème potentiel le plus rapidement possible.

Règles d'engagement

Directives de la politique de divulgation des vulnérabilités

Dans le but d'améliorer la performance et la sécurité de nos réseaux et systèmes d'information, nous avons adopté une politique de divulgation coordonnée des vulnérabilités. Cette politique permet aux personnes signalant des vulnérabilités de rechercher de manière bienveillante d'éventuelles vulnérabilités dans les systèmes, équipements et produits de notre organisation ou de nous transmettre toute information qu'elles découvrent à propos d'une vulnérabilité.

Toutefois, l'accès à nos systèmes informatiques et équipements n'est permis que dans le but d'améliorer la sécurité, de nous informer des vulnérabilités existantes et dans le strict respect des autres conditions énoncées dans ce document.

Notre politique concerne les vulnérabilités de sécurité susceptibles d'être exploitées par des tiers ou de perturber le bon fonctionnement de nos produits, services, réseaux ou systèmes d'information.

La personne signalant une vulnérabilité est également autorisée à introduire ou à tenter d'introduire des données dans notre système informatique, sous réserve des objectifs et conditions de cette politique.

Notre organisation s'engage à appliquer cette politique de bonne foi et à ne pas intenter d'action en justice, ni civile ni pénale, contre une personne signalant une vulnérabilité qui respecte les conditions de la politique.

La personne signalant une vulnérabilité doit être exempte de toute intention frauduleuse, de toute volonté de nuire, d'utiliser ou de causer des dommages au système visité ou à ses données. Cela s'applique également aux systèmes tiers situés en Belgique ou à l'étranger.

En cas de doute sur l'une des conditions de notre politique, la personne signalant la vulnérabilité doit d'abord consulter notre point de contact et obtenir son approbation écrite avant d'agir.

La personne signalant la vulnérabilité s'engage à respecter strictement le principe de proportionnalité dans toutes ses activités, c'est-à-dire à ne pas perturber la disponibilité des services fournis par le système et à ne pas exploiter la vulnérabilité au-delà de ce qui est strictement nécessaire pour démontrer la faille de sécurité. Leur approche doit rester proportionnée : si le problème de sécurité a été démontré à petite échelle, aucune autre action ne doit être entreprise.

L'objectif de notre politique n'est pas de permettre une connaissance intentionnelle du contenu des données, des données de communication ou des données personnelles, et une telle connaissance ne pourrait survenir qu'incidemment dans le cadre de la recherche de vulnérabilités.

  • Soumettez vos rapports en anglais
  • Faites preuve de prudence et de retenue en ce qui concerne les données personnelles et ne participez pas intentionnellement à des attaques contre des tiers, à des attaques de social engineering, à des attaques par déni de service, à des attaques physiques contre des biens de Proximus, au spamming ou à tout autre comportement gênant pour les autres utilisateurs.
  • Fournissez une preuve de concept (Proof-of-Concept) ou suffisamment d'informations pour permettre la reproduction de la vulnérabilité, afin qu'elle puisse être vérifiée, reproduite et que des solutions possibles soient identifiées. En général, l'identification de la cible vulnérable, une description de la vulnérabilité et des opérations effectuées pour exploiter la vulnérabilité suffisent, mais plus de détails et d'informations peuvent être nécessaires dans le cas de vulnérabilités complexes.
  • N'abusez pas de la vulnérabilité en perturbant le système avec vos actions.
  • Ne partagez pas d'informations sur la vulnérabilité avec d'autres personnes tant qu'elle n'a pas été résolue conformément aux délais de la politique de divulgation responsable de Proximus.
  • Soumettez une vulnérabilité par rapport, sauf si vous devez enchaîner des vulnérabilités pour démontrer l'impact.
  • Vulnérabilités de sécurité suspectées pouvant être exploitées à des fins illégales et qui se produisent :
  • Sur nos sites (www.proximus.com; www.proximus.be; www.scarlet.be; www.tango.lu; www.bics.com; www.telindus.com & www.skynet.be)
  • Dans nos produits et services, systèmes informatiques et réseaux.
  • Les systèmes dépendant de tiers sont exclus du champ d'application de cette politique, sauf si le tiers accepte explicitement ces règles à l'avance.

Lors de la soumission de vulnérabilités, veuillez tenir compte (1) du scénario d'attaque / exploitabilité et (2) de l'impact de sécurité du bug.

Les actions suivantes ne sont pas autorisées :

  • copier ou modifier des données du système informatique ou supprimer des données de ce système ;
  • modifier les paramètres du système informatique ;
  • installer des logiciels malveillants : virus, vers, chevaux de Troie, etc. ;
  • attaques par déni de service distribué (DDOS) ;
  • attaques de social engineering ;
  • attaques par hameçonnage (phishing) ;
  • spamming ;
  • vol de mots de passe ou attaques par force brute ;
  • installer un dispositif pour intercepter, stocker ou apprendre des communications (électroniques) qui ne sont pas accessibles au public ;
  • l'interception intentionnelle, le stockage ou la réception de communications non accessibles au public ou de communications électroniques ;
  • l'utilisation intentionnelle, le maintien, la communication ou la distribution du contenu de communications non publiques ou de données d'un système informatique dont la personne signalant la vulnérabilité devrait raisonnablement savoir qu'elles ont été obtenues de manière illégale.
  • Traiter les rapports soumis de manière confidentielle et ne pas partager les données personnelles de la personne signalant la vulnérabilité avec des tiers sans leur autorisation, sauf si cela est nécessaire pour se conformer à des obligations légales.
  • Proximus apprécie votre aide pour optimiser la sécurité de ses systèmes et réseaux et prendra contact avec vous dans un délai de 2 jours ouvrables. Il va de soi que nous pourrons vous joindre via l'adresse e-mail ou d'autres informations de contact que vous avez laissées. Nous vous tiendrons également informé des développements ultérieurs.
  • Proximus n'exploite pas de programme de récompenses pour les bugs ou de programme de "hall of fame".

Le traitement des données personnelles est large et inclut le stockage, la modification, la récupération, la consultation, l'utilisation ou la divulgation de toute information pouvant se rapporter à une personne physique identifiée ou identifiable. Le caractère "identifiable" de la personne ne dépend pas de la simple volonté du responsable du traitement des données de l'identifier, mais de la possibilité d'identifier, directement ou indirectement, la personne avec l'aide de ces données (par exemple : une adresse e-mail, un numéro d'identification, un identifiant en ligne, une adresse IP ou des données de localisation).

Dans ce cas, assurez-vous de respecter vos obligations en matière de protection des données personnelles (RGPD) en tant que responsable du traitement - par exemple : respecter les principes de nécessité et de proportionnalité, mettre en œuvre des mesures de sécurité adéquates.

Vous devez supprimer immédiatement toutes les données personnelles à la fin de la procédure de signalement ou, en cas de contestation ou de procédure judiciaire, à la fin de la procédure si les données personnelles sont pertinentes dans un tel contexte.

Vous vous engagez à ne pas divulguer, utiliser ou abuser des données à caractère personnel obtenues ou traitées dans le cadre de la présente politique.

Si vous traitez des données à caractère personnel, stockées et/ou traitées par Proximus, d'une manière incompatible avec la présente politique ou à des fins autres que la recherche de vulnérabilités potentielles dans les systèmes, produits et équipements de Proximus, vous reconnaissez que vous serez considéré comme un responsable du traitement et que vous assumerez l'entière responsabilité du traitement effectué de cette manière.

Si vous souhaitez signaler un autre type de problème, veuillez suivre la procédure suivante: CSIRT RFC2350 Description version 1.9

Comment signaler une vulnérabilité ?

Veuillez nous aider en fournissant autant d'informations que possible sur le problème que vous avez découvert. Si vous ne l'avez pas encore fait, n'oubliez pas de consulter les règles et les lignes directrices précédemment annoncées avant de soumettre les informations.

Signaler une vulnérabilité