Politique de divulgation coordonnée des vulnérabilités

Nous accordons une grande importance à la sécurité de nos systèmes à l’Union Nationale des Mutualités Libérales. Malgré notre inquiétude pour la sécurité de nos systèmes, il est possible qu’il y ait encore un point faible.

Si vous avez découvert une faiblesse dans l’un de nos systèmes, veuillez nous en informer afin que nous puissions prendre des mesures dans les plus brefs délais. Nous souhaitons collaborer avec vous pour mieux protéger nos membres et nos systèmes. 

Nous vous demandons

  • d’envoyer vos constatations par e-mail à it-security.400@ml.be,
  • de crypter vos constatations pour éviter que l’information ne tombe entre de mauvaises mains,
  • de ne pas abuser du problème, par exemple en téléchargeant plus de données que nécessaire pour démontrer la fuite ou en accédant à des données de tiers, en les supprimant ou en les modifiant,
  • de ne pas partager le problème avec d’autres personnes tant qu’il n’est pas résolu et de supprimer toutes les données confidentielles obtenues par le biais de la fuite immédiatement après que la fuite ait été corrigée,
  • de ne pas utiliser d’attaques contre la sécurité physique, l’ingénierie sociale, le déni de service distribué, le spam ou les applications tierces,
  • de fournir suffisamment d’informations pour reproduire le problème afin que nous puissions le résoudre le plus rapidement possible. Habituellement, l’adresse IP ou l’URL du système affecté et une description de la vulnérabilité suffisent, mais les vulnérabilités plus complexes peuvent nécessiter des informations plus détaillées.

 

Ce que nous promettons :

  • nous répondrons à votre signalement dans un délai de 10 jours ouvrables en vous informant de notre examen du signalement et d’une date de résolution prévue,
  • si vous avez suivi les instructions ci-dessus, nous n’engagerons aucune action en justice contre vous concernant le signalement,
  • nous traiterons votre signalement de manière confidentielle et ne partagerons pas vos données personnelles avec des tiers avec des tiers sans votre accord, sauf si une obligation légale le requiert. Il est possible d’établir votre signalement sous un pseudonyme,
  • nous vous tiendrons informé(e) de l’avancée dans la résolution du problème,
  • dans le rapport sur le problème signalé, nous mentionnerons, si vous le souhaitez, votre nom en tant que découvreur, sous réserve de votre consentement explicite.