En tant que partenaire informatique, ATA IT considère qu’il est très important que ses informations et ses systèmes soient sécurisés. Malgré notre préoccupation pour la sécurité renforcée de ces systèmes, il peut arriver qu’une vulnérabilité se produise.

Si vous avez trouvé une vulnérabilité dans l’un de nos systèmes, veuillez nous en informer afin que nous puissions prendre des mesures le plus rapidement possible. Nous aimerions travailler avec vous pour mieux protéger notre public et nos systèmes.

Nous avons donc opté pour une politique de divulgation coordonnée des vulnérabilités (également appelée ‘Politique de divulgation responsable’) afin que vous puissiez nous informer lorsque vous découvrez une vulnérabilité.

Cette politique de divulgation responsable s’applique à tous les systèmes d’ATA IT. En cas de doute, veuillez nous contacter pour clarifier les choses via security@atait.com.

Ce que nous vous demandons

Si vous découvrez une vulnérabilité dans l’un de nos systèmes, nous vous demandons de:

Signaler la vulnérabilité

  • Signalez la vulnérabilité dès que possible après sa découverte. Envoyez vos résultats à security@atait.com.
  • Fournissez suffisamment d’informations pour reproduire la vulnérabilité afin que nous puissions résoudre le problème le plus rapidement possible. Généralement, l’adresse IP ou l’URL du système affecté et une description de la vulnérabilité suffisent, mais pour des vulnérabilités plus complexes, davantage peuvent être nécessaires.
  • Laissez vos coordonnées, afin que ATA IT puisse vous contacter pour travailler ensemble pour un résultat sûr. Laissez au moins votre nom, votre adresse e-mail et/ou votre numéro de téléphone. Le signalement sous un pseudonyme est possible, mais assurez-vous que nous pouvons vous contacter si nous avons des questions supplémentaires. 
  • Confirmez que vous avez agi et continuerez d’agir conformément à la présente politique de divulgation responsable.

Règles que vous devez suivre

  • Ne divulguez pas la vulnérabilité tant que nous n’avons pas été en mesure de la corriger. Voir ci-dessous pour une éventuelle publication.

    • N’exploitez pas la vulnérabilité en copiant, supprimant, adaptant ou visualisant inutilement des données. Ou, par exemple, en téléchargeant plus de données que nécessaire pour démontrer la vulnérabilité. 
    • N’appliquez pas les actions suivantes : 
      • Placement de logiciels malveillants (virus, ver, cheval de Troie, etc.). 
      • Copier, modifier ou supprimer des données dans un système. 
      • Apporter des modifications au système. 
      • Accès répété au système ou partage d’accès avec d’autres. 
      • Utilisation d’outils d’analyse automatisés. 
      • Utiliser la soi-disant « force brute » de l’accès aux systèmes. 
      • Utilisation de déni de service ou d’ingénierie sociale (phishing, vishing, spam,…). 
    • N’utilisez pas d’attaques contre la sécurité physique, d’ingénierie sociale, de déni de service distribué, de spam ou d’applications tierces. 
    • Effacez immédiatement toutes les données obtenues grâce à la vulnérabilité dès qu’elles sont signalées à ATA IT. 
    • N’effectuez pas d’actions qui pourraient avoir un impact sur le bon fonctionnement du système, tant en termes de disponibilité et de performances, mais aussi en termes de confidentialité et d’intégrité des données.

    Les actes en vertu de cette politique de divulgation responsable doivent se limiter à la réalisation de tests pour identifier les vulnérabilités potentielles et au partage de ces informations avec ATA IT. 

    Si, après la suppression de la vulnérabilité, vous souhaitez publier des informations sur la vulnérabilité, nous vous demandons de nous en informer au moins un mois avant la publication et de nous donner la possibilité de répondre. Nous identifier dans une publication n’est possible qu’après avoir donné notre accord explicite.

Ce que nous promettons

  • Si vous avez respecté les conditions ci-dessus de la ‘Responsible Disclosure Policy’ et n’avez pas commis aucune autre violation, nous n’engagerons aucune action en justice contre vous.
  • Nous répondrons à votre rapport, si possible dans les 10 jours ouvrables, avec notre examen du rapport et toute date prévue de résolution.
  • Nous traiterons votre rapport de manière confidentielle et ne partagerons pas vos données personnelles avec des tiers sans votre consentement, sauf si cela est nécessaire pour se conformer à une obligation légale.
  • Nous vous tiendrons informés de l’avancement de la résolution du problème.
  • Nous nous efforçons de résoudre tous les problèmes dans un court laps de temps.
  • Nous pouvons choisir d’ignorer les rapports de mauvaise qualité.

Si vous avez des questions, nous vous encourageons à les adresser à security@atait.com. 

En cas de doute sur l’applicabilité de cette politique, veuillez d’abord nous contacter via cette adresse e-mail, pour demander une autorisation explicite. 

Nous nous réservons le droit de modifier le contenu de cette Politique à tout moment, ou de résilier la Politique. 

Ce texte est une œuvre dérivée de “Responsible Disclosure” de Floor Terra, utilisée sous une licence Creative Commons Attribution 3.0.

English version | Nederlandse versie