Politique de divulgation responsable

Chez DPG Media nous attribuons une grande importance à la sécurité de nos systèmes et données. Malgré notre sécurisation précise, une vulnérabilité peut toujours être découverte. Si vous trouvez néanmoins un point faible dans nos systèmes, nous vous prions de nous en informer afin de pouvoir prendre des mesures au plus vite. Nous aimerions travailler ensemble avec vous pour mieux sécuriser nos systèmes, données et utilisateurs.

Sur cette page vous trouverez

  • le point de contact où vous pouvez rapporter des vulnérabilités
  • la procédure que nous suivrons ensemble pour conclure un rapport
  • les accords que vous devez respecter
  • comment nous promettons de réagir sur votre rapport
  • le champ d'application et la loi applicable de notre politique

1 Point de contact

Envoyez vos constatations et vos coordonnées par courriel et exclusivement à security@dpgmedia.be.

2 Procédure

2.1 Rapport

  • Rapportez vos constatations le plus vite possible et exclusivement au point de contact susmentionné.
  • Fournissez assez d'informations sur le problème pour que nous puissions le reproduire et résoudre au plus vite. Généralement l'adresse IP ou l'URL (l'adresse internet) des systèmes affectés suffit, ainsi qu’une description de la vulnérabilité. Un problème de sécurité plus complexe nécessite cependant de plus amples informations.

2.2 Communication

  • Dans les dix jours nous vous enverrons un accusé de réception, vous rappelant aussi de votre obligation de confidentialité et les prochaines étapes de la procédure.
  • Nous vous informerons au moment opportun de notre progrès dans la recherche d'une solution au problème.

2.3 Investigation

  • Dans cette phase nous contrôlerons votre rapport en reproduisant la vulnérabilité.
  • Nous évaluerons aussi précisément la gravité du problème de sécurité rapporté.

2.4 Solution

Le but de notre politique de divulgation responsable de vulnérabilités est de trouver des solutions, ainsi évitant des dommages aux systèmes. Évidemment nous nous engageons à résoudre le problème au plus vite, et ceci en fonction des risques liés à la vulnérabilité.

3 Dispositions

3.1 Votre recherche

Nous vous prions

  • de ne pas abuser du problème de sécurité en téléchargeant, en copiant, en consultant, en supprimant, en modifiant ou en rendant inaccessible plus de données que celles nécessaires pour prouver la fuite
  • de ne pas partager les données confidentielles (trouvées par le biais de la vulnérabilité) avec des parties tiers, et de les supprimer immédiatement après que nous avons résolu le problème de sécurité
  • de ne pas exercer des attaques sur la sécurité physique, l’ingénierie sociale, des attaques par déni de service, du spam, des attaques par force brute ou des applications de tiers (inclusivement scan tools)
  • de ne pas installer des logiciels malveillants (virus, vers, Chevaux de Troie etc.)
  • de ne pas modifier le système
  • de ne pas affecter la confidentialité, l'intégrité, la disponibilité et la performance de nos systèmes.

Il est possible que vous rencontreriez des données confidentielles au cours de votre recherche. Nous en sommes conscients. Cette prise de connaissance ne peut cependant pas être l'objet principal de votre recherche, mais peut uniquement être une rencontre accidentelle pendant la recherche des problèmes de sécurité.

3.2 Votre publication

Si vous envisagez partager l'existence d'un problème de sécurité avec des tiers, nous vous prions

  • de ne passer à la publication qu’après que nous avons résolu le problème
  • de nous en avertir au moins un mois auparavant afin de nous donner la possibilité de réagir
  • de nous permettre de délibérer avec vous comment l'existence du problème sera publiée
  • de ne pas identifier, soit directement ou indirectement, ni DPG Media ni ses subsidiaires dans votre publication sans notre accord explicit.

4 Notre promesse

  • Nous réagirons à votre rapport dans les dix jours.
  • Nous vous informerons du progrès dans la recherche d'une solution au problème.
  • Nous essaierons de résoudre le problème dans le plus bref délai.
  • Si vous respectez les dispositions susmentionnées, nous nous abstiendrons de recours judiciaires contre vous.
  • Nous traitons votre rapport avec confidentialité et nous ne partagerons pas vos données personnelles avec des tiers sans votre accord, sauf si nécessaire pour respecter nos obligations légales.
  • Quand nous divulguerons le problème rapporté, nous vous indiquerons –avec votre accord– comme découvreur.

5 Champ d'application et loi applicable

Si un litige sur l'application, l'accomplissement ou l’interprétation de cette politique survient entre nous, et nous ne parvenons pas à un règlement à l'amiable, nous soumettrons le litige au tribunal compétent à Anvers. La loi belge est d’application.


Ce texte est une œuvre dérivée de “Responsible Disclosure” publié par Floor Terra, utilisé sous la licence Creative Commons Attribution 3.0.