www.belgium.be Logo of the federal government

Politique de divulgation coordonnée des vulnérabilités du CCB

L’Etat belge représenté par le Centre pour la Cybersécurité Belgique (CCB), dont les bureaux sont sis Rue de la Loi, 16 à 1000 Bruxelles.

1. Le champ d’application de la politique

Soucieux d’améliorer la performance et la sécurité de ses sites internet, le Centre pour la Cybersécurité Belgique (CCB) a choisi d’adopter une politique de divulgation coordonnée des vulnérabilités. Celle-ci donne la possibilité à des participants externes de rechercher, avec de bonnes intentions, de potentielles vulnérabilités et/ou de lui transmettre toute information utile à ce sujet.

L’accès aux systèmes informatiques des sites du CCB dans le cadre de la présente politique n’est autorisé qu’aux personnes ayant l’intention d’en améliorer la sécurité, de nous informer des vulnérabilités existantes et dans le strict respect des autres conditions définies dans le présent document.

Le participant dispose également d’une autorisation de tenter d’introduire des données informatiques dans le système informatique visé, dans le respect des finalités et des conditions de la présente politique.

Notre politique concerne les vulnérabilités en matière de sécurité susceptibles d’être exploitées par des tiers ou de perturber le bon fonctionnement de nos produits, services, réseaux ou systèmes d’information.

La liste des produits, services ou sites internet dans le champ d’application de la présente politique :

Si vous avez des questions sur le champ d’application de la présente politique, vous êtes invité à les adresser au service juridique du CCB (vulnerabilitydisclosure[at]ccb.belgium.be).

2. Les obligations réciproques des parties

A. La proportionnalité

Le participant s’engage dans toutes ses actions à respecter scrupuleusement le principe de proportionnalité, c’est-à-dire de ne pas perturber la disponibilité des services fournis par le système et de ne pas faire usage de la vulnérabilité au-delà de ce qui est strictement nécessaire à la démonstration de la faille de sécurité. Son attitude doit rester proportionnée : si la démonstration est établie à petit échelle, il n’est pas nécessaire de l’étendre plus loin.

B. Les actions interdites

Le participant ne peut recourir aux actions suivantes :

  •  la copie, la modification ou la suppression de données du système informatique ;
  •  la modification des paramètres du système informatique ;
  •  l’installation d’un logiciel malveillant (malware) : virus, vers (worm), chevaux de Troie (trojan horse, ou autre ;
  •  les attaques par déni de service (Distributed Denial Of Service- DDOS) ;
  •  les attaques par ingénierie sociale (social engineering) ;
  •  les attaques par hameçonnage (phishing) ;
  •  les attaques par courriels indésirables (spamming) ;
  •  le vol de mots de passe ou l’attaque en force de mots de passe (brute force) ;
  •  l’installation d’appareil permettant l’interception, la prise de connaissance ou l’enregistrement de communication non accessible au public ou d’une communication électronique ;
  •  l’interception, l’enregistrement ou la prise de connaissance intentionnelle d’une communication non accessible au public ou d’une communication électronique ;
  •  l’utilisation, la détention, la révélation, l’usage ou la divulgation intentionnelle du contenu de communications non accessibles au public ou de données d’un système informatique, dont le participant ne peut raisonnablement ignorer qu’elles ont été obtenues illégalement.

C. La confidentialité

Le participant doit s’abstenir strictement de partager ou de divulguer avec des tiers les informations récoltées dans le cadre de notre politique, sans notre accord préalable et explicite.

De même, il n’est pas permis de révéler ou de divulgation des données informatiques, des données de communication ou des données à caractère personnelle à des tiers.

L’objectif de notre politique n’est pas de permettre la prise de connaissance intentionnelle du contenu de données informatiques, de données de communication ou de données à caractère personnelle et une telle prise de connaissance ne pourrait intervenir que de manière fortuite dans le cadre de la recherche de vulnérabilités.

Si le participant souhaite l’aide d’un tiers pour exécuter ses recherches, le participant doit s’assurer que celui-ci prend préalablement connaissance de la présente politique et accepte, en offrant son assistance, d’en respecter les conditions, en ce compris la confidentialité.

D. L’exécution de bonne foi

Le CCB s’engage à exécuter de bonne foi la présente politique et de ne pas poursuivre en justice, au civil ou au pénal, le participant qui en respecte scrupuleusement les conditions et n’aurait pas provoqué intentionnellement des dommages aux systèmes informatiques concernés.

Le participant doit être dénué d’intention frauduleuse, de dessein de nuire, de volonté de faire usage ou de provoquer un dommage au système visité ou encore à ses données.

En cas de doute sur certaines des conditions de notre politique, le participant doit interroger préalablement notre point de contact et disposer de sa réponse écrite avant d’agir.

E. Le traitement de données à caractère personnel

L’objet d’une politique de divulgation coordonnée n’est pas d’effectuer principalement et intentionnellement des traitements de données à caractère personnel. Sauf si cela est nécessaire à la démonstration de l’existence d’une vulnérabilité, le participant n’est pas autorisé à consulter, l’extraire ou enregistrer des données à caractère personnel.

Cependant, il est possible que le participant accède, même de manière fortuite, à des données à caractère personnel stockées, traitées ou transmises dans le système informatique concerné. Il peut également s’avérer nécessaire au participant, dans le cadre de ses recherches de vulnérabilités, de devoir temporairement consulter, extraire ou utiliser des données à caractère personnel. Dans ce cas, le participant en avertira le délégué à la protection des données à caractère personnel du CCB : privacy[at]ccb.belgium.be

En cas de traitement de telles données, le participant s’engage à respecter les obligations légales en matière de protection des données à caractère personnel[1] et les conditions de la présente politique.

Tout traitement de données à caractère personnel pour une autre finalité que la recherche des vulnérabilités des systèmes, équipements ou produits du CCB est exclue.

Le participant ne peut conserver plus longtemps que nécessaire les éventuelles données à caractère personnel traitées. Durant cette période, le participant doit veiller à ce que ces données soient conservées en garantissant un niveau de sécurité adapté aux risques encourus (de préférence de manière encryptée). A l’issue de sa participation à la politique, ces données doivent être supprimés immédiatement.

Enfin, le participant doit nous informer, dans les meilleurs délais après en avoir pris connaissance, de toute perte éventuelle de données à caractère personnel.

[1] Règlement européen n°2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD Règlement général sur la protection des données).

3. Comment signaler les vulnérabilités de sécurité ?

A. Les points de contact

Vous devez adresser exclusivement les informations découvertes à l'adresse courriel suivante: vulnerabilityreport[at]ccb.belgium.be​, et/ou en complétant le formulaire suivant: 

Le formulaire complété doit nous parvenir en format word ou PDF (mais pas sous forme scannée) protégé avec un mot de passe ou zip (pour éviter un éventuel blocage par nos filtres anti-virus).

Le fichier doit faire au total maximum 7 MB.

Dans la mesure du possible, nous vous invitons à utiliser les moyens de communication sécurisés suivants :

PGP Key ID:  0x31A9EA55

Type: RSA-4096 Key

Fingerprint: 8E98 3C10 BC8D 23BA EE1B  9CB9 670C A658 31A9 EA55

 

Protégez le formulaire avec un mot de passe lequel peut nous être communiqué par e-mail.

 

B. Les informations à transmettre

Dès que possible après la découverte, adressez-nous les informations sur vos découvertes.

Fournissez suffisamment d'informations pour nous permettre de reproduire le problème et de le résoudre le plus rapidement possible.

Nous vous demandons de nous fournir ces informations en français, en néerlandais, en allemand ou en anglais.

4. La procédure

A. La notification

Le participant s’engage à notifier, dans les plus brefs délais, les informations découvertes sur des éventuelles vulnérabilités au point de contact ou au coordinateur, repris au point 3 a) de la présente politique. Le participant doit respecter les moyens de communication sécurisés désignés.

Lorsqu’elle reçoit une notification, le CCB s’engage à envoyer au participant un accusé de réception, dans un délai raisonnable et avec la référence interne de celle-ci, un rappel de son obligation de confidentialité et les étapes suivantes de la procédure.

B. La communication

Les parties s’engagent à mettre tout en œuvre pour assurer une communication continue et efficace. Les renseignements fournis par le participant peuvent, en effet, s’avérer très utiles pour identifier la vulnérabilité, y apporter une solution.

C. L’investigation

La phase d’investigation permettra au CCB de reproduire l'environnement et le comportement signalé afin de vérifier les informations communiquées.

Le CCB s’engage à tenir informé de manière régulière le participant des résultats des investigations et des suites données à sa notification.

Durant ce processus, les parties veilleront à faire le lien avec les notifications similaires ou connexes, à évaluer le risque et la gravité de la vulnérabilité, et à déterminer les éventuels autres produits ou systèmes affectés.

D. Le développement d’une solution

L’objectif de la politique de divulgation est de permettre le développement d’une solution afin de faire disparaître la vulnérabilité du système informatique, avant que des dommages ne soient causés.

Dans la mesure du possible, des coûts et de l’état des connaissances, le CCB tentera de mettre au point avec ses sous-traitants une solution dans les meilleurs délais, en fonction de la gravité des risques encourus par les utilisateurs des systèmes concernés.

Dans cette phase, le CCB et ses sous-traitants s’engagent à mener, d’une part, des tests positifs pour vérifier que la solution fonctionne correctement et, d’autre part, des tests négatifs pour s’assurer que la solution ne perturbe pas le bon fonctionnement des autres fonctionnalités existantes.

E. L’éventuelle publication

Le CCB décidera, en coordination avec le participant, des modalités pour rendre éventuellement public l’existence de la vulnérabilité. Cette publication se fera en même temps que la diffusion d’avis de sécurité sur son site internet (ou par courriel), dans une notice de mise à jour du système destiné aux utilisateurs.

Le CCB s’engage également à recueillir les commentaires des utilisateurs sur le déploiement de la solution et de prendre les mesures correctives nécessaires pour régler les éventuels problèmes posés par la solution, notamment de compatibilité avec d'autres produits ou services.

F. Droit applicable

Le droit belge est applicable aux litiges liées à l’application de la présente politique.

G. Durée

Les règles de la politique sont applicables à partir du 7/11/2019 jusqu’à leur éventuelle modification ou suppression par le CCB. Ces modifications ou suppressions seront publiées sur le site internet du CCB et s’appliqueront automatiquement après un délai de 30 jours après leur publication.