Politique de divulgation coordonnée des vulnérabilités

Introduction

Bien que MobilityPlus ne dispose pas (encore) d’un programme officiel de récompense pour la découverte de vulnérabilités (en anglais « bug bounty »), nous pouvons recevoir, dans le cadre de la Procédure légale de signalement des vulnérabilités, des signalements concernant d’éventuelles vulnérabilités dans les produits ou services TIC relevant de la législation belge.

Les chercheurs qui souhaitent bénéficier d’une protection juridique doivent respecter certaines conditions, notamment une limitation stricte aux actions nécessaires et proportionnées, l’absence d’intentions frauduleuses ou de malveillance, et la notification et l’information correctes de MobilityPlus.

Objectif

Chez MobilityPlus, nous attachons une grande importance à la sécurité de nos systèmes, de nos services et des données qui nous sont confiées. Cette politique de divulgation coordonnée des vulnérabilités (CVD) décrit comment les chercheurs en sécurité externes, hackers éthiques, clients et partenaires peuvent signaler les vulnérabilités de manière responsable, et comment nous nous engageons à y répondre.

Nous encourageons le signalement des problèmes de sécurité dans l’intention de conserver la confiance de nos clients et d’améliorer en permanence la sécurité de nos systèmes.

Champ d’application

Cette politique s’applique à :

  • Tous les systèmes Internet détenus, gérés ou entretenus par MobilityPlus
  • Les applications Web, les applications mobiles, les API, les micrologiciels et l’infrastructure réseau
  • Les environnements Odoo, les systèmes de gestion de l’énergie et les plateformes de recharge de VE sous notre contrôle

Les systèmes hors champ (par exemple, les services externes et les systèmes de recharge que nous utilisons, mais que nous ne gérons pas) ne sont pas couverts par cette politique, sauf indication contraire expresse.

Signaler une vulnérabilité

Si vous pensez avoir découvert une vulnérabilité de sécurité, veuillez la signaler en privé par e-mail à l’adresse suivante :
vulnerabilityreport@mobilityplus.be

Dans votre signalement, veuillez communiquer :

  • Une description claire de la vulnérabilité
  • Les étapes permettant de reproduire le problème (preuve de concept si disponible)
  • Le système ou l’URL concerné(e)
  • Les outils ou techniques utilisés
  • Vos coordonnées (facultatif, si vous souhaitez être remercié ou être tenu informé)

Pour plus de détails sur le signalement d’une vulnérabilité, rendez-vous sur : Procédure légale de signalement des vulnérabilités

Nos engagements envers nous

Pour toute vulnérabilité qui nous est signalée de bonne foi et conformément à la présente politique, nous nous engageons à :

  • Accuser réception dans les cinq jours ouvrables
  • Évaluer et hiérarchiser en fonction du risque et de l’impact
  • Faire preuve de transparence sur l’état d’avancement et le calendrier de nos actions de correction
  • Vous remercier (si vous le souhaitez) sur notre page de remerciements ou notre calendrier de divulgation
  • N’engager aucune poursuite judiciaire — à condition que vous agissiez de bonne foi et que vous suiviez nos directives (voir ci-dessous)

Règles de conduite (nos attentes envers vous)

Nous demandons aux chercheurs de respecter les principes suivants (liste non exhaustive) :

  • Agissez de bonne foi et évitez toute violation de la vie privée, destruction de données ou perturbation des services
  • Accordez-nous un délai raisonnable pour enquêter et remédier au problème (nous nous efforçons de résoudre les problèmes critiques dans un délai de 90 jours)
  • L’accès, le téléchargement ou la modification de données qui ne vous appartiennent pas sont interdits
  • Ne lancez pas d’attaques par déni de service ou par ingénierie sociale
  • Ne rendez pas la vulnérabilité publique avant que nous l’ayons corrigée ou qu’un calendrier de divulgation conjoint ait été convenu

La procédure complète, vos obligations et les actions autorisées sont décrites en détail dans la Procédure légale de signalement des vulnérabilités.

Principe de Safe Harbour

Nous considérons les activités menées conformément à cette politique comme étant :

  • Autorisées, et
  • Exemptes de poursuites judiciaires, notamment en vertu de lois telles que la loi britannique sur l’utilisation abusive des ordinateurs (Computer Misuse Act), l’article 32 du RGPD ou les transpositions nationales de la directive NIS2.

Si un tiers engage des poursuites judiciaires, nous indiquerons clairement que vos actions étaient autorisées en vertu de la présente politique et faisaient partie d’un processus de divulgation responsable.

Pour bénéficier de la protection juridique prévue par la législation belge, les chercheurs doivent également se conformer à la Procédure légale de signalement des vulnérabilités.

Wall of Fame et reconnaissance

Nous tenons à remercier toutes les personnes qui contribuent à renforcer notre cybersécurité. Avec votre consentement explicite, nous pouvons ajouter votre nom ou votre pseudonyme à notre Security Wall of Fame (avec, en option, un lien vers votre profil LinkedIn). Si vous souhaitez rester anonyme, nous respecterons pleinement votre choix.

Bien que nous n’ayons pas (encore) de programme officiel de récompense pour la découverte de vulnérabilités (en anglais « bug bounty »), nous offrons parfois de petits cadeaux ou des goodies de l’entreprise en guise de remerciement, en fonction de l’impact et de la qualité du rapport.