Programme de divulgation de vulnérabilités

Un programme de divulgation des vulnérabilités (VDP) est un cadre structuré permettant aux chercheurs en sécurité de documenter et de soumettre les vulnérabilités de sécurité aux organisations. Les programmes de divulgation des vulnérabilités aident les organisations à atténuer les risques en prenant en charge et en permettant la divulgation et la correction des vulnérabilités avant que les pirates ne les exploitent. Ces programmes couvrent généralement tous les actifs accessibles au public et accessibles sur Internet.

Les programmes de divulgation des vulnérabilités permettent aux utilisateurs d’effectuer une gestion des vulnérabilités techniques et aident les utilisateurs à protéger leurs systèmes et leurs données, à prioriser les investissements défensifs et à mieux évaluer les risques. L’objectif de la divulgation des vulnérabilités est de réduire le risque associé à l’exploitation des vulnérabilités. Cependant, l’interaction avec les pirates éthiques doit être soumise à des règles de base essentielles convenues entre le chercheur et l’organisation. Les politiques de divulgation des vulnérabilités documentent les règles de base de l’engagement les plus critiques.

PROCÉDURE DE DIVULGATION DES VULNÉRABILITÉS

Cette politique de divulgation des vulnérabilités s’applique à toutes les vulnérabilités que vous envisagez de signaler. Il est recommandé de lire entièrement cette politique de divulgation des vulnérabilités avant de signaler une vulnérabilité et de toujours agir en conformité avec celle-ci. Nous apprécions ceux qui prennent le temps et les efforts nécessaires pour signaler les failles de sécurité conformément à cette politique. Cependant, nous n’offrons pas de récompenses monétaires pour les divulgations de vulnérabilités et n’assumons aucune responsabilité juridique pour les actes illicites que vous pourriez commettre.

RAPPORTS

Si vous pensez avoir trouvé une faille de sécurité, veuillez nous envoyer votre rapport en utilisant l’e-mail suivant contact@hacktu.ci. Dans votre rapport, veuillez inclure des détails sur :

L’URL ou l’IP où la vulnérabilité peut être observée
Une brève description du type de vulnérabilité (exemple : « vulnérabilité XSS »)
Étapes à reproduire. Celles-ci servent de preuve de concept bénignes et inoffensives. Cela permet de s’assurer que le rapport peut être trié rapidement et avec précision.

À QUOI S’ATTENDRE

Une fois que vous avez soumis votre rapport, nous ferons de notre mieux pour y répondre dans les 10 jours ouvrables et tenterons de trier votre rapport dans les 14 jours ouvrables. Nous nous efforcerons également de vous tenir informé des progrès enregistrés dans le traitement de la vulnérabilité. La priorité des mesures correctives est évaluée en examinant l’impact, la gravité et la complexité de l’exploit.

Une fois la vulnérabilité traitée, nous faciliterons la divulgation de votre rapport, en prenant le soin de vous mentionner et offrir la possibilité d’être affiché sur notre plateforme.

RÈGLES

Il est strictement proscrit de :

Enfreindre toute loi ou réglementation applicable en vigueur ;
Accéder à des quantités de données inutiles, excessives ou importantes
Modifier les données dans les systèmes ou services ;
Utiliser des outils d’analyse à haute intensité, invasifs ou destructeurs pour trouver des vulnérabilités sur notre plateforme ;
Tenter toute forme de déni de service (DoS, DDoS, etc.) ;
Interrompre les services ou les systèmes de la plateforme ;
Soumettre des rapports détaillant les vulnérabilités non exploitables ou des rapports indiquant que les services ne sont pas entièrement conformes aux « meilleures pratiques », par exemple des en-têtes de sécurité manquants ;
Communiquer toute vulnérabilité ou détail associé autrement que par les moyens indiqués ;
Réaliser des attaques de type Ingénierie sociale, « hameçonnage » ou attaque physique contre les contributeurs du projets ;
Exiger une compensation financière afin de divulguer toute vulnérabilité.

Il est fortement recommandé de :

Agir dans le respect des règles de protection des données et ne pas violer la vie privée des utilisateurs, des contributeurs, des sous-traitants, des services ou des systèmes de la plateforme.
Supprimer en toute sécurité toutes les données récupérées au cours de votre recherche dès qu’elles ne sont plus nécessaires ou dans les deux (02) semaines suivant la résolution de la vulnérabilité, selon la première éventualité (ou comme l’exige la loi sur la protection sur la protection des données à caractère personnel)

LÉGALITÉS

Cette politique est conçue pour être compatible avec les bonnes pratiques courantes de divulgation des vulnérabilités. Elle ne vous donne pas la permission d’agir d’une manière qui est incompatible avec la loi, ou qui pourrait amener l’équipe projet ou les organisations partenaires à enfreindre toute obligation légale.

Hacktu Magazine Le magazine de la cybersécurité

Programme de divulgation de vulnérabilités

RAPPORTS

À QUOI S’ATTENDRE

RÈGLES

LÉGALITÉS

Comment vérifier les ports ouverts sur votre système Linux ?

Côte d’Ivoire : Et si les caméras de vidéo-verbalisation étaient « piratables » ?

HAUSSE DES PRIX DE LA DATA MOBILE EN COTE D’IVOIRE : ANALYSE CROISÉE DES VÉRITABLES ENJEUX