Politique de divulgation des vulnérabilités logicielles
Introduction
La présente politique de divulgation des vulnérabilités s’applique à toute vulnérabilité que vous souhaiteriez signaler à Trust International B.V. Nous vous invitons à lire attentivement cette politique avant de soumettre un rapport et à agir en conformité avec ses dispositions. Nous valorisons l’engagement des personnes qui consacrent temps et efforts à signaler des vulnérabilités de sécurité conformément à cette politique. Toutefois, nous n’offrons aucune garantie de récompense financière pour les divulgations de vulnérabilités.
Signalement
Si vous pensez avoir identifié une vulnérabilité de sécurité, veuillez transmettre votre rapport à l’adresse suivante: recall@trust.com
Dans votre rapport, veuillez inclure les informations suivantes:
- Ressource concernée (adresse web, adresse IP, nom du produit ou service) où la vulnérabilité est observable.
- Titre de la vulnérabilité.
- Description détaillée de la vulnérabilité (incluant un résumé, des fichiers justificatifs et, si possible, des mesures d’atténuation ou recommandations).
- Impact potentiel (quelles actions un attaquant pourrait-il entreprendre ?).
- Étapes pour reproduire la vulnérabilité, sous forme d’une preuve de concept non destructive et bénigne. Cela facilite un triage rapide et précis, tout en réduisant le risque de rapports dupliqués ou d’exploitation malveillante, notamment pour les prises de contrôle de sous-domaines
Caractéristiques
Après réception de votre rapport, nous y répondrons dans un délai de 5 jours ouvrables et viserons à effectuer un triage dans les 10 jours ouvrés. Nous vous tiendrons informé(e) de l’avancement du traitement.
La priorité de remédiation est déterminée en fonction de l’impact, de la gravité et de la complexité d’exploitation. Le traitement des rapports peut prendre du temps. Vous pouvez demander des mises à jour, mais veuillez limiter ces demandes à une fois tous les 14 jours afin de permettre à nos équipes de se concentrer sur la remédiation.
Une fois la vulnérabilité corrigée, nous vous informerons et vous pourriez être invité(e) à vérifier que la solution répond adéquatement au problème.
Après résolution, nous accueillons favorablement les demandes de divulgation publique de votre rapport, en coordonnant avec vous pour unifier les conseils aux utilisateurs concernés.
Recommandations
À NE PAS FAIRE:
- Enfreindre une loi ou réglementation en vigueur.
- Accéder à des données inutiles, excessives ou volumineuses.
- Modifier des données dans les systèmes ou services de l’organisation.
- Utiliser des outils de scan intrusifs ou destructeurs pour détecter des vulnérabilités.
- Tenter ou signaler une forme de déni de service, par exemple en saturant un service avec un volume élevé de requêtes.
- Perturber les services ou systèmes de l’organisation.
Divulgation
Avant toute divulgation publique, nous effectuerons les actions suivantes, le cas échéant:
- Trier et valider le rapport de vulnérabilité.
- Vous communiquer le calendrier de remédiation et de divulgation, si applicable (nous pourrions demander une prolongation de la période d’embargo).
- Coordonner avec d’autres parties dans le cadre d’une divulgation multi-parties.
- Obtenir un identifiant CVE (Common Vulnerability Enumeration) pour le suivi.
- Vous informer de la stratégie de remédiation.
- Le cas échéant, publier la divulgation sur www.trust.com
Accords clients et considérations juridiques
Les droits des clients en matière de garanties, de support et de maintenance des produits ou services de Trust International B.V. sont exclusivement régis par nos Conditions Générales de Vente Standard et tout autre accord applicable entre Trust International B.V. et le client.
La présente politique n’altère ni n’étend les droits existants des clients, ni ne crée de nouvelles garanties, explicites ou implicites. Toute information soumise à Trust International B.V. concernant des vulnérabilités potentielles, y compris les détails d’un rapport, devient la propriété exclusive de Trust International B.V. et peut être utilisée à notre discrétion, sans obligation de compensation ou de reconnaissance pour la partie ayant soumis le rapport.