Politique de divulgation responsable des vulnérabilités

Chez Artech et toutes ses filiales (collectivement « Artech »), nous prenons très au sérieux la sécurité de nos systèmes, de nos réseaux, de nos environnements clients et de nos données confidentielles et exclusives. En tant que fournisseur mondial de services de recrutement, de conseil et de gestion de projets informatiques, nous travaillons quotidiennement avec des informations sensibles et des systèmes critiques. Artech s’engage à protéger ces informations et adhère à une approche proactive d’amélioration continue de la sécurité de l’information.

Nous apprécions les efforts déployés par la communauté de la sécurité de l’information pour identifier et corriger les vulnérabilités susceptibles d’avoir un impact sur nos activités ou sur nos clients. Si vous pensez avoir découvert une vulnérabilité de sécurité dans nos systèmes d’entreprise, nos portails ou d’autres ressources technologiques, nous vous encourageons à nous la signaler de manière responsable. La présente Politique de divulgation responsable des vulnérabilités (la « Politique ») vise à fournir aux chercheurs en sécurité des directives claires pour mener leurs activités de découverte de vulnérabilités et à nous faire part de nos préférences quant à la manière de nous signaler les vulnérabilités découvertes.

Cette politique décrit les systèmes et les types de recherche couverts par cette politique, comment nous envoyer des rapports de vulnérabilité et combien de temps nous demandons aux chercheurs en sécurité d’attendre avant de divulguer publiquement les vulnérabilités.

Autorisation

Si vous vous efforcez de bonne foi de respecter cette politique lors de vos recherches en sécurité, nous considérerons votre recherche comme autorisée. Nous collaborerons avec vous pour comprendre et résoudre rapidement le problème, et Artech ne recommandera ni n’engagera de poursuites judiciaires liées à vos recherches. Si une action en justice est intentée par un tiers contre vous pour des activités menées conformément à cette politique, nous vous informerons de cette autorisation.

Lignes directrices

Aux termes de la présente politique, le terme  » recherche  » désigne les activités dans lesquelles vous :

• Prévenez-nous dès que possible après avoir découvert un problème de sécurité réel ou potentiel.
• Faites tout votre possible pour éviter les violations de la vie privée, la dégradation de l’expérience utilisateur, la perturbation des systèmes de production et la destruction ou la manipulation des données.
• N’utilisez les exploits que dans la mesure nécessaire pour confirmer la présence d’une vulnérabilité. N’utilisez pas un exploit pour compromettre ou exfiltrer des données, établir un accès persistant en ligne de commande ou utiliser l’exploit pour basculer vers d’autres systèmes.
• Accordez-nous un délai raisonnable pour résoudre le problème avant de le divulguer publiquement.
• Ne soumettez pas un volume élevé de rapports de mauvaise qualité.

Une fois que vous avez établi l’existence d’une vulnérabilité ou que vous rencontrez des données sensibles (y compris des informations personnelles identifiables, des informations financières ou des informations exclusives ou des secrets commerciaux de toute partie), vous devez arrêter votre test, nous en informer immédiatement et ne pas divulguer ces données à qui que ce soit d’autre.

Portée de la politique

Cette politique s’applique aux systèmes Artech suivants :

• www.artech.com   
• www.scalence.com 
• www.dakogroup.com  

Tout service non expressément mentionné ci-dessus, tel que les services connectés, est exclu du champ d’application et n’est pas autorisé à être testé. Le spam ou les problèmes non liés à la sécurité sont également exclus du champ d’application de cette politique. De plus, les vulnérabilités détectées dans les systèmes de nos clients ou fournisseurs ne relèvent pas du champ d’application de cette politique et doivent être signalées directement au client/fournisseur conformément à sa politique de divulgation (le cas échéant). Si vous n’êtes pas sûr qu’un système soit concerné ou non, contactez-nous à l’adresse security@artech.com avant de commencer vos recherches. Si un système particulier, non concerné, mérite selon vous d’être testé, veuillez nous contacter pour en discuter au préalable. Nous pouvons étendre le champ d’application de cette politique au fil du temps, en fonction des besoins et des pratiques de l’entreprise.

Méthodes d’essai interdites

Les méthodes d’essai suivantes ne sont pas autorisées :

• Tests de déni de service réseau (DoS ou DDoS) ou autres tests qui entravent l’accès à un système ou à des données ou les endommagent
• Tests physiques (par exemple, accès au bureau, portes ouvertes, talonnage), ingénierie sociale (par exemple, hameçonnage, vishing) ou tout autre test de vulnérabilité non technique
• Toute méthode de test qui viole la loi locale, étatique, américaine ou internationale.

Comment signaler une vulnérabilité

Les informations soumises en vertu de la présente Politique seront utilisées uniquement à des fins défensives, pour atténuer ou corriger les vulnérabilités. Si vos conclusions incluent des vulnérabilités récemment découvertes affectant tous les utilisateurs d’un produit ou service et pas seulement Artech, nous pourrons partager votre rapport avec les forces de l’ordre ou les organismes gouvernementaux compétents, qui le traiteront conformément à leur processus coordonné de divulgation des vulnérabilités. Artech ne communiquera ni votre nom ni vos coordonnées sans autorisation expresse. Les rapports peuvent être soumis de manière anonyme.

Veuillez envoyer tous les rapports à security@artech.com et inclure :

• Une description claire de la vulnérabilité
• Étapes pour reproduire le problème
• Des captures d’écran pertinentes ou des détails de preuve de concept
• Vos coordonnées pour le suivi (facultatif si vous souhaitez rester anonyme)

Nous vous demandons :

• N’accédez pas, ne modifiez pas et ne supprimez pas les données appartenant à Artech, à nos employés ou à nos clients.
• Éviter les interruptions de service dans nos activités ou dans celles de nos clients
• Respecter les lois applicables lors des tests

Notre engagement envers vous

Lorsque vous signalez une vulnérabilité :

1. Nous accuserons réception dans un délai de cinq (5) jours ouvrables.
2. Nous examinerons et vérifierons rapidement le problème signalé.
3. Dans la mesure du possible, nous vous confirmerons l’existence de la vulnérabilité et serons aussi transparents que possible sur les mesures que nous prenons au cours du processus de correction, y compris les problèmes ou les défis susceptibles de retarder la résolution.
4. Dans la mesure de nos possibilités, nous maintiendrons un dialogue ouvert pour discuter des problèmes.

Si vous y consentez, nous reconnaîtrons publiquement votre contribution une fois le problème résolu.

Port sûr

Nous n’engagerons aucune action en justice contre les personnes qui :

• Signalez-nous les vulnérabilités en toute bonne foi
• Suivez les directives décrites dans cette politique
• N’exploitez pas les vulnérabilités au-delà du montant minimal nécessaire pour démontrer la découverte de vulnérabilités conformément à la présente politique.

Questions

Merci de nous aider à protéger nos systèmes, nos employés et nos clients. Vos contributions renforcent notre capacité à fournir des services sécurisés et fiables. Pour toute question concernant cette politique, veuillez envoyer un e-mail à security@artech.com. Nous vous invitons également à nous contacter pour nous faire part de vos suggestions d’amélioration.