Responsible Disclosure Policy

Chez Sibelga, la sécurité de nos informations et systèmes est primordiale. Vous avez découvert une vulnérabilité ? Faites-le nous savoir afin que nous puissions intervenir rapidement. C'est pourquoi nous avons une politique de divulgation coordonnée des vulnérabilités, appelée ‘Responsible Disclosure Policy’.

Explications

Bien que nous mettions beaucoup d'efforts dans la sécurisation de nos systèmes, il se peut qu'une vulnérabilité passe inaperçue. Si vous trouvez une vulnérabilité (potentielle) susceptible de causer des problèmes ou des fuites de données, veuillez nous en informer. Cela nous permet de mieux protéger nos clients et nos systèmes.

Ce que nous vous demandons

Lorsque vous souhaitez signaler une vulnérabilité, nous vous demandons de procéder comme suit:

  • Partagez vos constatations en envoyant un e-mail ; si vous souhaitez partager des captures d'écran ou un rapport formel, vous pouvez les joindre au format PDF.
  • N'exploitez pas la vulnérabilité ou le problème que vous avez découvert. Par exemple, ne téléchargez pas ou ne supprimez pas de données et ne modifiez jamais les données d'autrui.
  • Ne divulguez pas le problème à d'autres personnes tant qu'il n'est pas résolu. Nous vous demandons également de ne pas publier d'informations avant que nous ne les ayons lues et vérifiées, afin d'éviter la divulgation accidentelle d'informations sensibles
  • Fournissez des informations précises dans votre rapport, notamment : Détails de la constatation, classification des risques, mesures à prendre pour reproduire la situation et solutions/meilleures pratiques possibles.
  • Ne commencez pas à envoyer des messages inutiles ou à vous adresser à des groupes de personnes pour leur demander des mises à jour ou des récompenses, par exemple.
  • Après avoir clôturé la constatation, vous devez supprimer toutes les informations sensibles obtenues au cours des tests.

Ce que nous vous promettons

Si vous suivez ce processus de divulgation responsable, nous promettons de :

  • analyser votre rapport et de répondre dans les 5 jours ouvrables.
  • ne pas engager des poursuites judiciaires si vous suivez la procédure de divulgation. 
  • traiter votre rapport avec la plus stricte confidentialité et ne pas partager vos données et votre rapport avec des tiers, sauf obligation légale.
  • vous tenir informé de l'avancement de la résolution du problème.

Nous ne disposons actuellement d'aucun programme de récompense pour le signalement de vulnérabilités.

Définition d'une vulnérabilité

Sibelga considère qu'une faille de sécurité est une vulnérabilité dans nos sites web ou notre infrastructure qui affecte la confidentialité, l'intégrité et/ou la disponibilité de ces systèmes. Cette définition étant large, nous comprenons qu'elle puisse soulever des questions sur ce qui est ou n'est pas considéré comme une vulnérabilité pour Sibelga. 

Qu'est-ce qui n'est PAS considéré comme une vulnérabilité ?

  • Activation ou désactivation de l’auto-complétion dans les formulaires.
  • Attributs de cookies manquants sur les cookies non critiques, par exemple, flags HTTP-only manquants sur les cookies analytiques.
  • Présence ou absence d'en-têtes HTTP, tels que : X-Frame-Options, CSP, no-sniff, etc. Sauf s'il s'agit d'une recommandation sur une autre vulnérabilité.
  • DNS dangling et prise de contrôle de sous-domaines.
  • Certaines vulnérabilités à faible risque ou déjà connues. Bien qu'il s'agisse de vulnérabilités en soi, elles sont déjà corrigées par SIBELGA ou constituent un risque accepté.
  • Vulnérabilités du même type, qui sont signalées séparément. Par exemple, XSS dans plusieurs paramètres ou des redirections non validées à différents endroits. Ces éléments sont considérés comme une seule et même vulnérabilité.

Qu'est-ce qui est considéré comme une vulnérabilité ?

  • Accès non autorisé aux données des clients, y compris, mais sans s'y limiter, les noms, les informations relatives aux commandes et d'autres données personnelles.
  • Remote Code Execution (RCE).
  • Server-Side Request Forgery (SSRF).
  • Cross-site Scripting (XSS).
  • Cross-site Request Forgery (CSRF).
  • Les attaques par injection, telles que l'injection SQL (SQLi).
  • XML External Entity Attacks (XXE).
  • Vulnérabilités en matière de contrôle d'accès (vulnérabilités liées aux références directes d'objets non sécurisées, etc.
  • Vulnérabilités de type Path/Directory traversal.

En cas de doute, n'hésitez pas à signaler une vulnérabilité (potentielle) à notre équipe.

Signaler une vulnérabilité

Si vous avez trouvé quelque chose dont vous pensez que nous le considérons comme une vulnérabilité, ou si vous voulez attirer notre attention sur autre chose, nous vous demandons de le faire par e-mail ; d'autres options sont actuellement à l'étude.
Veuillez nous contacter à l'adresse suivante : responsibledisclosure@sibelga.be

Confidentialité 

Vous pouvez consulter notre politique de confidentialité pour plus d'informations sur la manière dont nous traitons vos données personnelles.