Politique de divulgation de vulnérabilités
Entreprise à mission, respectueux de la vie privée de chacun, nous mettons la technologie et l’innovation au service de l’humain, nous considérons que la sûreté et la sécurité de nos sociétaires et clients est l'une de nos principales priorités.
Nous mettons tout en œuvre pour assurer la meilleure qualité de service et le plus haut niveau de sécurité dans nos produits, dès leur conception. Cependant, et malgré tous nos efforts, des vulnérabilités peuvent encore être présentes.
C’est pourquoi CMAM-BE-FR se dote d’une politique de divulgation de vulnérabilités. Cette politique explicite la communication en matière de déclaration des potentielles vulnérabilités qui touchent ses services, ainsi que la méthode de traitement de ces déclarations.
Le point d’entrée pour les déclarations sera notre « Computer Emergency Response Team (CERT) CM-EI ».
CMAM-BE-FR vous remercie pour votre déclaration et de la contribution à la sécurité du plus grand nombre qu’elle représente.
Comment déclarer une potentielle faille de sécurité ?
Pour toute déclaration de vulnérabilité, merci de nous adresser un message via le formulaire suivant. Afin d’améliorer la prise en charge et l’identification de la dite vulnérabilité, merci d'inclure le maximum d'informations disponibles dans le formulaire de déclaration.
Pour des raisons de sécurité, tous nos échanges ultérieurs se feront de manière chiffrée au moyen de PGP.
Pour nous adresser des communications chiffrées, vous pouvez utiliser notre clé PGP disponible sur le site Crédit Mutuel.
Le traitement de votre déclaration
Suite à votre déclaration, nos équipes analyseront son contenu afin de valider la qualification de vulnérabilité dans les plus brefs délais. Nous vous recontacterons uniquement si des informations complémentaires sont nécessaires.
De plus :
- Aucune rémunération n’est prévue dans le cadre de ce programme et cela même si la faille de vulnérabilité est avérée ;
- Pour des raisons de sécurité, aucune publication des failles et de leur résolution ne sera faite.
CMAM-BE-FR reste seul juge de la classification de la vulnérabilité et de la catégorisation du risque qui en découle. Le traitement et délai de résolution des dites vulnérabilités restent à la discrétion de CMAM-BE-FR.
Exigences en matière de divulgation
En soumettant à CMAM-BE-FR votre déclaration de vulnérabilité vous êtes tenu de :
- Vous conformer aux lois applicables ;
- Ne pas effectuer d'attaques par déni de service ou par épuisement des ressources ;
- Utiliser les systèmes de CMAM-BE-FR sans but de nuire au Groupe, à ses clients, à ses employés ou à ses tiers ;
- N'utiliser, ne modifier, ou n’effacer aucune donnée à laquelle vous pourriez accéder en exploitant la dite vulnérabilité ;
- Ne pas effectuer d'ingénierie sociale, de spam ou d'attaques de phishing à l’encontre des employés de CMAM-BE-FR ou de ses tiers de confiance ;
- Ne pas tester la sécurité physique des biens de CMAM-BE-FR ou de ses tiers ;
- Ne pas divulguer les informations relatives à cette déclaration, la vulnérabilité signalée, ni le fait qu'une vulnérabilité a été signalée à CMAM-BE-FR.
Cet engagement de non divulgation s'applique indépendamment du fait que CMAM-BE-FR ait eu connaissance ou non de l'information préalablement.
Tous les aspects de ce processus sont sujets à changement sans préavis.
La déclaration d’une vulnérabilité ne vous confère aucun droit de propriété intellectuelle sur des actifs appartenant à CMAM-BE-FR ou à un de ses tiers.