Annonce d'une faille ou divulgation coordonnée d'une vulnérabilité (CVD)

A la HES-SO//Fribourg, nous accordons une grande importance à la sécurité de nos systèmes, de nos services et des données de nos utilisateurs. Nous reconnaissons que même avec tous nos efforts pour garantir une sécurité optimale, des vulnérabilités peuvent subsister. Nous encourageons donc la communauté des chercheurs en sécurité à nous aider à identifier toute faiblesse potentielle.

Dans le cadre de cette politique de Divulgation Coordonnée de Vulnérabilités (CVD), nous fournissons un cadre pour signaler de manière responsable les vulnérabilités de sécurité identifiées sur nos systèmes. L'objectif de cette politique est de permettre une résolution efficace et rapide des problèmes, tout en minimisant les risques pour nos utilisateurs et notre infrastructure.

Portée

Cette politique s'applique à toute vulnérabilité découverte dans les systèmes ou services détenus ou exploités par la HES-SO//Fribourg. Cela inclut, mais sans s'y limiter :

  • Les applications web et mobiles

  • Les systèmes internes et publics

  • Les infrastructures hébergées (serveurs, services cloud, etc.)

Règles de soumission

Si vous avez identifié une vulnérabilité, nous vous demandons de respecter les règles suivantes lors du signalement :

  • Signalez la vulnérabilité par e-mail à l'adresse suivante : cybersec-incident@hefr.ch.

  • Fournissez des détails techniques clairs et complets sur la vulnérabilité, y compris :

    • La nature du problème

    • Les étapes précises permettant de reproduire la vulnérabilité

    • Les captures d'écran ou preuves permettant de comprendre l'impact

    • Si possible, indiquez dans votre signalement les adresses IP que vous utilisiez lorsque vous avez découvert la vulnérabilité; cela aidera à évaluer les exploitations potentielles et à réduire le nombre de faux positifs.

    • Communiquez vos intentions si vous prévoyez de rendre votre découverte publique (alerte, conférence, article, etc.).

  • Ne publiez pas publiquement la vulnérabilité avant que nous n'ayons eu l'opportunité de l'examiner et de la corriger.

  • Abstenez-vous de :

    • Exfiltrer des données sensibles

    • Accéder ou modifier des données autres que celles vous appartenant

    • Interrompre le service ou provoquer des dégradations de performance

    • Déployer des tests de vulnérabilité automatisés ou à grande échelle susceptibles de nuire à nos systèmes.

    • N'essayez pas d'accéder à un système par la force brute ou par des méthodes d'ingénierie sociale (social engineering)

    • Ne recourez pas aux attaques par déni de service

    • N'installez pas de maliciels ou de virus

Notre engagements

Nous nous engageons à :

  • Accuser réception de votre signalement dans les 72 heures suivant la réception de votre e-mail.

  • Vous tenir informé de l'évolution de la résolution de la vulnérabilité.

  • Corriger la vulnérabilité dans les plus brefs délais, en fonction de sa criticité.

  • Vous informer lorsque le problème est résolu, afin que vous puissiez, si vous le souhaitez, publier vos résultats de manière responsable.

Conditions cadre

  • Respect du cadre légal : En signalant une vulnérabilité, vous vous engagez à respecter la législation en vigueur. Toute action contraire à la loi (comme des tests de pénétration non autorisés) est strictement interdite.

  • Confidentialité : Toute information que vous partagez avec nous sera traitée de manière confidentielle et ne sera pas divulguée à des tiers sans votre consentement, à l'exception des cas où la loi l'exige.

  • Absence de récompense financière : La HES-SO//Fribourg ne propose pas de programme de Bug Bounty. Votre contribution à la sécurité de nos systèmes sera reconnue et appréciée, mais elle n'entraînera aucune compensation financière.

Exclusions

Certaines vulnérabilités ne relèvent pas de cette politique, notamment :

  • Les attaques par force brute

  • Les tests de DoS (Denial of Service) ou DDoS (Distributed Denial of Service)

  • Les problèmes liés à des logiciels tiers non gérés par l'a HES-SO//Fribourg

  • Les configurations de sécurité de l'utilisateur final (comme les mots de passe faibles ou les problèmes de sécurité des appareils personnels)

Coordination

Nous vous remercions par avance de votre collaboration et de votre soutien pour améliorer la sécurité de nos systèmes. Votre aide est précieuse et contribue à protéger non seulement notre organisation, mais également l'ensemble de nos utilisateurs.

Pour toute question ou clarification, n'hésitez pas à nous contacter à cybersec-incident@hefr.ch.

Dernière modification 19.09.2024