Skip to main content
Centre fiduciaire

Politique de divulgation des vulnérabilités

Introduction

Forward Thinking Systems donne la priorité à la sécurité de ses clients, collègues et partenaires en protégeant leurs données. Nous reconnaissons l'importance de la collaboration avec des experts indépendants, des organismes industriels mondiaux, des partenaires et la communauté mondiale au sens large pour repérer les failles technologiques potentielles. La présente politique de divulgation des vulnérabilités (la "PVD") vise à fournir aux chercheurs en sécurité un cadre clair pour les processus de détection des vulnérabilités et décrit les méthodes que nous préférons utiliser pour nous signaler les vulnérabilités.

Cette politique précise quels sont les systèmes et les domaines de recherche couverts, comment signaler les vulnérabilités à Forward Thinking Systems, et indique le délai que nous demandons aux chercheurs en sécurité pour ne pas divulguer publiquement les vulnérabilités.

Nous vous encourageons à nous contacter conformément à cette politique pour nous signaler des vulnérabilités potentielles dans nos produits.

Autorisation

Si vous vous efforcez de bonne foi de respecter cette politique au cours de vos recherches et enquêtes en matière de sécurité, nous reconnaîtrons que vos recherches sont autorisées. Nous collaborerons avec vous pour traiter et résoudre rapidement le problème, et Forward Thinking Systems s'abstiendra de suggérer ou de rechercher une action en justice en rapport avec vos conclusions. Si un tiers entame une procédure judiciaire à votre encontre pour des actions entreprises conformément à cette politique, nous vous ferons part de cette autorisation.

Lignes directrices

Dans le cadre de cette politique, la "recherche" est définie comme des activités dans lesquelles vous.. :

  • Informez-nous dès que possible lorsque vous découvrez un problème de sécurité potentiel ou réel.
  • Mettre tout en œuvre pour prévenir les atteintes à la vie privée, la dégradation de l'expérience des utilisateurs, toute perturbation des systèmes de production et la manipulation ou la destruction de données.
  • N'utilisez les exploits que dans la mesure nécessaire pour confirmer la présence d'une vulnérabilité. Ne pas utiliser un exploit pour compromettre ou exfiltrer des données, établir l'accès à un système ou utiliser l'exploit pour accéder à d'autres systèmes.
  • Nous accorder un délai raisonnable pour résoudre le problème avant de le rendre public.
  • Ne soumettez pas un nombre important de rapports de mauvaise qualité.

Après avoir confirmé la présence d'une vulnérabilité ou découvert des données sensibles (telles que des données d'identification personnelle, des informations ou des dossiers financiers, ou des informations exclusives ou des secrets commerciaux d'un tiers), vous devez interrompre tous les tests, nous en informer immédiatement et vous abstenir de partager ces données avec qui que ce soit d'autre.

Important

Lorsque vous signalez des problèmes, veuillez omettre toute information sensible ou personnelle (telle que des données d'identification personnelle, des informations ou des dossiers financiers, ou des informations exclusives ou des secrets commerciaux d'un tiers) dans les éléments de preuve fournis.

Vous ne pouvez accéder et interagir qu'avec des comptes dont vous êtes propriétaire ou avec des comptes pour lesquels vous avez reçu l'autorisation explicite de leur(s) titulaire(s). Les méthodes employées pour examiner ou valider une question doivent être conformes à ce qui est généralement considéré comme raisonnable et de bonne foi, comme par exemple, mais sans s'y limiter :

  • Ne pas causer de dommages potentiels ou réels à nos systèmes, applications ou utilisateurs. Par exemple, déployer des attaques par force brute pour accéder à nos applications, produits ou services. DDOS ou tout autre test perturbateur.
  • Le scraping et le fuzzing automatisés ou la réalisation de scans importants ou aveugles à l'aide d'outils d'automatisation sont strictement interdits.
  • Ne pas mener d'attaques visant les centres de données, les partenaires, les sociétés affiliées et/ou les biens du personnel.
  • Ne pas mener d'activités d'ingénierie sociale (par exemple, hameçonnage, smishing, vishing) pour obtenir l'accès à un membre du personnel, un collègue, une application, un produit ou un service de Forward Thinking Systems.
  • N'exploitez pas une vulnérabilité (connue ou non) pour visualiser des données non autorisées ou corrompues. Lors de la validation d'une exfiltration, ne testez que la quantité minimale nécessaire pour démontrer ou valider le problème. Abstenez-vous de télécharger plus de données qu'il n'est absolument nécessaire pour démontrer le problème, ou de modifier ou supprimer des données.

Signalement des vulnérabilités

Si une vulnérabilité est découverte, le chercheur doit fournir un résumé détaillé de la vulnérabilité, y compris (mais sans s'y limiter) les éléments suivants :

  • Des descriptions claires de la vulnérabilité et de son impact potentiel ;
  • Le nom du produit, la version et la configuration de tout logiciel ou matériel susceptible d'être affecté ;
  • Instructions étape par étape pour reproduire le problème ;
  • une preuve de concept ; et des suggestions de mesures correctives ou d'atténuation, le cas échéant.

Nous acceptons les rapports de vulnérabilité soumis par courrier électronique à l'adresse suivante [email protected]. Les rapports peuvent être soumis de manière anonyme si nécessaire. Si vous nous communiquez vos coordonnées, nous accuserons réception de votre rapport dans les trois jours ouvrables.

En soumettant une vulnérabilité, vous reconnaissez que toute récompense potentielle est laissée à la discrétion de Forward Thinking Systems, que vous n'attendez aucune compensation et que vous renoncez expressément à toute demande de rémunération future à l'encontre de Forward Thinking Systems.

Ce que nous attendons de votre candidature

Pour nous aider à traiter les demandes de vulnérabilité et à les classer par ordre de priorité, nous vous recommandons d'envoyer vos rapports de vulnérabilité :

  • Décrire l'endroit où la vulnérabilité a été découverte et l'impact potentiel de l'utilisation de l'exploit.
  • Fournir une description détaillée des étapes nécessaires pour reproduire la vulnérabilité (des captures d'écran ou des scripts de démonstration sont recommandés).
  • Sont divulgués en anglais, si possible.

Que pouvez-vous attendre de nous ?

Si vous choisissez de nous communiquer vos coordonnées, nous nous engageons à vous contacter le plus rapidement et le plus ouvertement possible.

  • Nous accuserons réception de votre rapport de vulnérabilité dans les trois jours ouvrables.
  • Dans la mesure de nos possibilités, nous vous confirmerons l'existence de la vulnérabilité et nous serons aussi ouverts que possible sur notre processus de remédiation, y compris sur les problèmes ou les défis qui peuvent retarder la résolution du problème.
  • Nous nous efforcerons de maintenir un dialogue ouvert pour discuter de la ou des questions.

Questions

Les questions relatives à cette politique peuvent être envoyées directement à [email protected]. Nous vous invitons également à nous contacter pour nous faire part de vos suggestions en vue d'améliorer cette politique.

Juridique

Accord de non-divulgation : Tous les détails concernant les vulnérabilités que vous découvrez doivent être traités de manière confidentielle par Forward Thinking Systems. Vous vous engagez à ne pas partager publiquement, ni à divulguer à des parties externes (à l'exclusion de Forward Thinking Systems), des données confidentielles ou des informations sensibles sans avoir reçu au préalable le consentement écrit de l'équipe de sécurité de l'information de Forward Thinking Systems. Si l'équipe de sécurité de l'information de Forward Thinking Systems le demande, vous acceptez de renvoyer ou de détruire immédiatement toutes les copies de ces données confidentielles, ainsi que toutes les notes qui s'y rapportent.

Vous devez vous conformer à toutes les lois, règles et réglementations applicables (y compris celles qui vous concernent) en ce qui concerne vos activités liées au PDV de Forward Thinking Systems. Si une récompense est approuvée, elle ne vous sera pas attribuée si vous figurez (a) sur une liste de personnes soumises à des restrictions ou à des sanctions du gouvernement américain ou si vous êtes affilié à des entités soumises à des restrictions ou à des sanctions ou (b) si vous vous trouvez dans un pays soumis à un embargo américain (États-Unis).

Forward Thinking Systems se réserve le droit de modifier les termes et conditions de ce PDV de temps à autre et votre participation au programme PDV constitue une acceptation de tous les termes. Veuillez consulter régulièrement cette politique, car nous mettons régulièrement à jour les conditions et l'éligibilité du PDV, qui entrent en vigueur dès leur publication. Nous nous réservons le droit d'annuler ce programme PDV à tout moment.