Responsible disclosure policy

Contexte, champ d’application & objectif

Studio Plopsa attache une grande importance à la sécurité de ses données et de ses systèmes d’information. Néanmoins, malgré tous nos efforts et notre vigilance, il peut arriver que certaines vulnérabilités subsistent et soient découvertes, par exemple, par un hacker éthique ou un informaticien.

Studio Plopsa a donc choisi de mettre en place cette politique de divulgation coordonnée des vulnérabilités (également appelée « Responsible Disclosure Policy »), afin que les personnes qui découvrent une vulnérabilité puissent nous en informer de manière confidentielle et sécurisée.

Cette politique de Responsible Disclosure s’applique uniquement aux systèmes et applications appartenant à Studio Plopsa. Sauf mention explicite, les services tiers, fournisseurs et partenaires ne sont pas inclus dans le champ d’application. Le test de ces systèmes est strictement interdit, sauf si Studio Plopsa a donné une autorisation explicite.

Exigences de la politique

Signaler une vulnérabilité
La divulgation responsable consiste à révéler les vulnérabilités de manière responsable, en concertation entre vous et Studio Plopsa. Si vous découvrez une vulnérabilité dans l’un de nos systèmes, vous devez :

  1. Signaler le problème en soumettant les informations décrites ci-dessous via ce formulaire.
    1. Rédigez votre message en anglais.
    2. Expliquez le problème et fournissez suffisamment de détails pour nous permettre d’identifier et/ou de reproduire l’anomalie afin de la corriger le plus rapidement possible.
    3. Fournissez des informations supplémentaires telles que les adresses IP, les URL du système concerné, des captures d’écran, etc.
  2. Laissez vos coordonnées afin que Studio Plopsa puisse vous contacter si nécessaire pour collaborer à une solution. Indiquez au minimum votre nom, votre adresse e-mail et/ou votre numéro de téléphone. Il est possible de signaler sous pseudonyme, mais veillez à ce que nous puissions vous contacter en cas de questions complémentaires.

Règles à respecter (do’s & don’ts)

Ne divulguez aucune information concernant la vulnérabilité par d’autres canaux
Ne partagez aucune information sur la vulnérabilité avec des tiers, que ce soit avant ou après en avoir informé Studio Plopsa, ou même après sa résolution. Un tel comportement sera considéré comme irresponsable et pourra donner lieu à des poursuites civiles. Si, après la correction de la vulnérabilité, vous souhaitez publier des informations à ce sujet, nous vous demandons de nous prévenir au moins un mois avant publication et de nous donner l’occasion de réagir. La mention de Studio Plopsa dans une publication n’est possible qu’après notre approbation explicite.

N’abusez pas de la vulnérabilité découverte
Les actions dans le cadre de cette Responsible Disclosure Policy doivent se limiter à la réalisation de tests permettant d’identifier des vulnérabilités potentielles et au partage de ces informations avec Studio Plopsa :

  • N’effectuez aucune action qui n’est pas absolument nécessaire pour détecter ou signaler une vulnérabilité.
  • Collectez uniquement les informations nécessaires pour nous informer du problème.
  • Ne copiez, supprimez, consultez ou modifiez aucune donnée de Studio Plopsa.

N’exécutez aucune action qui pourrait avoir un impact sur le bon fonctionnement de nos systèmes, que ce soit en termes de disponibilité, de performance, de confidentialité ou d’intégrité des données. Il est donc par exemple interdit d’effectuer les actions suivantes (liste non exhaustive) : installation de malwares ; copie, modification ou suppression de données dans un système ; modification du système ; utilisation de techniques de force brute pour accéder à un système ; attaques par (distributed) denial of service.

N’utilisez pas de méthodes d’attaque testant la sécurité physique de nos bâtiments et locaux

N’utilisez pas de méthodes d’attaque ciblant nos collaborateurs (par ex. via phishing ou autres techniques d’ingénierie sociale)

En cas de doute sur l’applicabilité de cette politique, veuillez d’abord nous contacter via le formulaire mentionné ci-dessus pour demander une autorisation explicite.

Ce que nous promettons

  • Nous répondrons à votre signalement dans un délai de 10 jours ouvrables, avec notre évaluation et une date de résolution estimée. Nous nous efforçons de résoudre tous les problèmes dans les plus brefs délais.
  • Nous vous recontacterons si nous avons besoin d’informations complémentaires.
  • Nous vous tiendrons informé de l’avancement de la résolution du problème signalé.
  • Nous vous remercierons pour tout signalement d’une vulnérabilité de sécurité, et si cette vulnérabilité n’était pas encore connue de nous, nous vous proposerons d’être mentionné dans notre Responsible Disclosure Hall of Fame. Aucune autre forme de compensation ne sera proposée.
  • Nous traiterons votre signalement de manière confidentielle et ne partagerons pas vos données personnelles avec des tiers sans votre consentement, sauf si cela est nécessaire pour respecter une obligation légale.

Considérations supplémentaires

Nous nous réservons le droit d’ignorer les signalements de faible qualité, y compris ceux concernant des vulnérabilités présentant un risque négligeable.
Si vous découvrez une vulnérabilité mais ne respectez pas les règles de divulgation responsable énoncées ci-dessus, nous nous réservons le droit d’engager des actions ou des poursuites judiciaires et/ou de signaler l’affaire à la police.

Nous nous réservons le droit de modifier le contenu de cette politique à tout moment ou d’y mettre fin.

Clause de non-responsabilité légale

Si vous respectez cette politique et agissez de bonne foi :

  • Studio Plopsa n’engagera aucune action en justice contre vous.
  • Vos recherches seront considérées comme autorisées en vertu des lois applicables, y compris le Computer Misuse Act, le RGPD et la législation belge/UE en matière de cybersécurité.
  • Nous collaborerons avec vous pour clarifier tout malentendu et résoudre rapidement les problèmes.

Remarque : la protection légale ne s’étend pas aux actions compromettant intentionnellement la confidentialité des données, la disponibilité des systèmes ou la continuité opérationnelle. Nous nous réservons le droit de signaler toute action non conforme à cette politique aux autorités locales.

Si vous respectez cette politique, vos recherches en sécurité seront considérées comme autorisées en vertu de la législation belge et des directives européennes, y compris NIS2. Studio Plopsa n’engagera pas de poursuites judiciaires contre vous et ne signalera pas vos actions aux autorités, pour autant que vous restiez dans le champ d’application et n’occasionniez pas volontairement de dommages.