ISGroup Conseil en Cybersécurité

Directives de divulgation de vulnérabilités

Toute technologie comporte des bugs. Si vous avez découvert une vulnérabilité de sécurité affectant les systèmes, produits ou services d’ISGroup SRL, nous souhaitons en être informés afin de pouvoir la corriger.

En soumettant une vulnérabilité au Programme de divulgation des vulnérabilités d’ISGroup SRL, vous reconnaissez avoir lu et accepté ces directives.

Important : ISGroup SRL n’offre pas de récompenses financières pour la divulgation de vulnérabilités. Les contributions valides seront reconnues dans notre Security Hall of Fame.

Philosophie de divulgation des vulnérabilités

Les chercheurs (Finders) doivent…

  • Respecter les règles. Opérer dans le cadre des règles établies par l’équipe de sécurité d’ISGroup SRL, ou s’exprimer en cas de désaccord profond avec celles-ci.
  • Respecter la confidentialité. Faire preuve de bonne foi pour ne pas accéder aux données d’un autre utilisateur ni les détruire.
  • Être patients. Faire preuve de bonne foi pour clarifier et soutenir leurs rapports sur demande.
  • Ne pas nuire. Agir pour le bien commun en signalant rapidement toutes les vulnérabilités découvertes. Ne jamais exploiter délibérément autrui sans autorisation.

L’équipe de sécurité d’ISGroup devra…

  • Prioriser la sécurité. Faire preuve de bonne foi pour résoudre les problèmes de sécurité signalés rapidement et de manière transparente.
  • Respecter les chercheurs. Accorder aux chercheurs une reconnaissance publique pour leurs contributions via le Security Hall of Fame d’ISGroup.
  • Récompenser la recherche de manière appropriée. Bien qu’ISGroup ne fournisse pas de primes financières, nous accorderons un crédit public important pour les découvertes valides.
  • Ne pas nuire. Ne pas prendre de mesures punitives déraisonnables à l’encontre des chercheurs, telles que des menaces juridiques ou des signalements aux autorités, lorsque les directives sont respectées.

Safe Harbor (Port sûr)

Nous nous engageons à protéger les intérêts des chercheurs. La divulgation de vulnérabilités est intrinsèquement complexe, mais plus le comportement d’un chercheur est conforme à ces directives, plus nous serons en mesure de vous protéger si une situation de divulgation difficile venait à s’aggraver.

Processus de soumission

  1. Consultez la politique du programme avant toute soumission, car elle prévaut sur ces directives en cas de conflit.
  2. Si vous pensez avoir découvert une vulnérabilité, veuillez soumettre un rapport détaillé à : [email protected]
    Le rapport doit inclure :
    • Une description claire du problème.
    • Des étapes concises et reproductibles ou une preuve de concept fonctionnelle.
    • L’impact attendu.
  3. Les rapports manquant de détails peuvent entraîner des retards importants dans la remédiation.

Le rapport sera mis à jour avec les étapes clés, notamment :

  • La validation de la vulnérabilité.
  • Les demandes d’informations complémentaires.
  • La notification d’inclusion dans le Hall of Fame, le cas échéant.

Processus de divulgation des vulnérabilités

  • Par défaut : Si aucune des parties ne soulève d’objection, le contenu du rapport sera rendu public dans les 30 jours suivant la remédiation.
  • Accord mutuel : Le chercheur et ISGroup peuvent convenir d’un calendrier de divulgation personnalisé.
  • Divulgation protectrice : Si des preuves d’exploitation active ou de dommage imminent existent, ISGroup peut publier immédiatement les détails de la remédiation.
  • Extension : Certaines vulnérabilités peuvent nécessiter plus de 30 jours pour être corrigées ; ISGroup restera en communication avec le chercheur.
  • Dernier recours : Si 180 jours se sont écoulés sans qu’ISGroup ne fournisse de calendrier de divulgation, le chercheur peut divulguer publiquement.

Programmes privés

Certains chercheurs peuvent être invités à des programmes privés. La participation est facultative et soumise à une stricte confidentialité. Les chercheurs souhaitant divulguer publiquement ne devraient pas rejoindre de programmes privés.

Alternatives :

  • Soumettre directement à ISGroup en dehors du programme.
  • Utiliser un tiers de confiance pour obtenir de l’aide à la divulgation.

Reconnaissance publique

Vous pouvez recevoir une reconnaissance publique dans le ISGroup Security Hall of Fame si :

  1. Vous êtes le premier à signaler une vulnérabilité spécifique.
  2. La vulnérabilité est confirmée comme valide.
  3. Vous respectez ces directives.

Les chercheurs qui préfèrent l’anonymat peuvent demander une reconnaissance sous pseudonyme.

Politique de Bug Bounty

ISGroup SRL ne fournit pas de récompenses monétaires pour les rapports de vulnérabilité. La reconnaissance se fera uniquement via le Hall of Fame.
Nous accueillons la participation de mineurs ; cependant, les primes ne sont pas applicables. Les mineurs recevront tout de même une reconnaissance publique avec le consentement d’un parent ou d’un tuteur.

Définitions

  • Équipe de sécurité : Individus responsables de traiter les problèmes de sécurité dans les systèmes d’ISGroup.
  • Chercheur (Finder) : Quiconque enquête et signale un problème de sécurité potentiel.
  • Rapport : Description écrite par le chercheur d’une vulnérabilité potentielle.
  • Vulnérabilité : Un bug ou un défaut de conception permettant une action allant à l’encontre de la politique de sécurité prévue.
  • Programme : Politique publiée par ISGroup guidant la recherche en sécurité.

In

Leave a Reply

Your email address will not be published. Required fields are marked *