Divulgation des vulnérabilités
Chez TKH Security, nous considérons la sécurité de nos systèmes, de notre réseau et de nos produits comme une priorité absolue. Néanmoins, il est possible qu’une vulnérabilité soit découverte, et nous apprécions toute découverte/information afin que nous puissions prendre des mesures dès que possible. Nous apprécions une coopération étroite avec vous pour mieux protéger nos clients et nos systèmes.
Notification
Nous vous demandons de bien vouloir nous faire part de vos constatations le plus rapidement possible après leur découverte à privacy-security@tkhsecurity.com.
Ce que nous vous demandons :
- Signalez dès que possible afin d’éviter que des personnes malveillantes ne découvrent la vulnérabilité et n’en tirent profit ;
- Signalez à l’organisation de manière confidentielle afin d’éviter que d’autres personnes n’aient accès à ces informations ;
- Fournissez suffisamment d’informations pour reproduire le problème afin que nous puissions le résoudre le plus rapidement possible. Une description de la vulnérabilité est généralement suffisante, mais les vulnérabilités plus complexes peuvent nécessiter davantage d’informations ;
- Ne divulguez pas la vulnérabilité ou le problème à d’autres personnes tant qu’il n’est pas résolu ;
- Ne placez pas votre propre porte dérobée dans un système d’information afin de démontrer ultérieurement la vulnérabilité, car cela peut causer des dommages supplémentaires et entraîner des risques de sécurité inutiles ;
- Abuser d’une vulnérabilité sans aller au-delà de ce qui est nécessaire pour déterminer la vulnérabilité ;
- Ne copiez pas, ne modifiez pas et ne supprimez pas les données du système. Une autre solution consiste à dresser la liste des répertoires d’un système
- N’apportez aucune modification au système ;
- N’accédez pas au système de manière répétée et ne le partagez pas avec d’autres personnes ;
- N’utilisez pas d’attaques par force brute, d’ingénierie sociale, de sécurité physique, d’ingénierie sociale, de déni de service distribué, de spam ou d’applications tierces pour accéder aux systèmes.
Ce que nous promettons
- Nous répondons à votre rapport dans les 5 jours en indiquant notre évaluation du rapport et une date prévue pour la recherche d’une solution ;
- Si vous avez respecté les conditions susmentionnées, nous n’entamerons pas de poursuites judiciaires à votre encontre concernant le rapport ;
- Nous traiterons votre rapport de manière confidentielle et ne partagerons pas vos informations personnelles avec des tiers sans votre autorisation, à moins que cela ne soit nécessaire pour répondre à une obligation légale. Il est possible de faire un signalement sous un pseudonyme ou de manière anonyme ;
- Nous vous tiendrons informé de l’avancement de la résolution du problème ;
- Dans le rapport sur le problème signalé, nous indiquerons, si vous le souhaitez, votre nom en tant que découvreur ;
- Nous nous efforçons de résoudre tous les problèmes le plus rapidement possible et nous sommes heureux de participer à toute publication concernant le problème une fois qu’il a été résolu.
Notre politique de divulgation coordonnée des vulnérabilités n’est pas une invitation à scanner activement notre réseau ou nos systèmes à la recherche de points faibles. Nous surveillons nous-mêmes le réseau de notre entreprise, ce qui signifie qu’il y a de fortes chances que nous découvrions votre analyse, ce qui pourrait entraîner des coûts inutiles. Cette politique a été élaborée sur la base des lignes directrices Coordinated Vulnerability Disclosure policy (CVD) du National Cyber Security Center (NCSC).