Politique de divulgation des vulnérabilités

Objectif

ViaXoft accorde une importance particulière à développer et fournir des produits et services respectueux des bonnes pratiques en termes de sécurité de l’information et de protection de la vie privée. C’est pourquoi une attention particulière est portée au traitement des signalements permettant de détecter des vulnérabilités sur les systèmes concernés.

 

La présente politique vise donc à établir un cadre permettant aux chercheurs en sécurité de signaler d’éventuelles vulnérabilités dans le respect de la réglementation applicable et de la politique de sécurité numérique de ViaXoft.

Cadre légal

ViaXoft rappelle que tout signalement de vulnérabilités doit se faire dans le respect les exigences légales et réglementaires applicables, et doit notamment prendre en compte :

  • le Règlement (UE) 2016/679 (Règlement Général sur la Protection des Données – RGPD) ;
  • les articles 323-1 à 323-8 du Code Pénal (FR) sur les atteintes aux systèmes de traitement automatisé de données.

Actions interdites

En soumettant un signalement de vulnérabilité, vous vous engagez notamment à ne pas :

  • Effectuer des tests ou des recherches susceptibles de nuire ou de mettre en danger ViaXoft, ses employés, ses clients ou d’autres personnes ou entités tierces ;
  • Apporter des modifications au système d’information de ViaXoft ;
  • Perturber, compromettre ou nuire à un produit ou à des données de ViaXoft ;
  • Introduire des logiciels malveillants (virus, vers, cheval de Troie, etc.) dans un système;
  • Accéder à des informations personnelles appartenant à ViaXoft, à ses employés, à ses clients ou à d’autres personnes ou entités tierces, ou les divulguer ;
  • Compromettre ou divulguer des données confidentielles ou exclusives appartenant au ViaXoft, à ses employés, à ses clients ou à d’autres personnes ou entités tierces ;
  • Tester la sécurité physique de toute propriété ou installation du ViaXoft, ou des propriétés ou installations des sociétés affiliées du ViaXoft ou de tiers apparentés ;
  • Effectuer tout type de test de déni de service ou surcharger une fonction informatique ;
  • Effectuer des opérations d’ingénierie sociale, de spam ou d’hameçonnage (phishing ou spear phishing) ;
  • Divulguer à des tiers les détails des rapports de vulnérabilité soumis avant que ViaXoft ne puisse confirmer la correction complète du problème identifié (le cas échéant) ;
  • Soumettre de rapports purement spéculatifs ;
  • Soumettre de rapports de vulnérabilités automatisés sans analyse humaine à posteriori.

Modalités de signalement

Lors de la transmission d’un signalement, ViaXoft demande que vous :

  • Décriviez la vulnérabilité supposée et, si possible, incluiez une preuve de concept pour faciliter notre analyse et l’analyse de votre rapport.
  • Décriviez les méthodes que vous avez employées pour identifier la vulnérabilité alléguée ainsi que toute correction connue ou possible.

 

Les signalements devront être transmis par courriel chiffré à l’adresse security@viaxoft.com ( ).

Lors de la soumission des signalements, veuillez noter que, bien que ViaXoft apprécie sincèrement les rapports de vulnérabilité, aucune compensation monétaire (« bounties ») ou non-monétaire ne sera fournie. Ce programme vise uniquement à faciliter le signalement et la résolution responsables des vulnérabilités de sécurité numérique.