Règles et conditions-cadres

La découverte et le signalement de vulnérabilités peuvent avoir des conséquences civiles et pénales. Les risques associés peuvent être réduits si vous respectez les règles suivantes:

Lorsque vous prenez contact avec l'OFCS dans le contexte de la divulgation coordonnée d'une vulnérabilité
(en anglais «coordinated vulnerability disclosure», CVD):

  • Ne discutez pas de la faille de sécurité que vous avez découverte avec quiconque d'autre que le vendeur, le propriétaire du système touché ou l'OFCS durant le processus de divulgation coordonnée.
  • Ne rendez pas publique la vulnérabilité avant que les acteurs concernés aient eu suffisamment de temps pour la supprimer ou avant que vous vous soyez concerté avec toutes les parties, y compris l'OFCS.
  • Après avoir signalé la vulnérabilité à l'OFCS, n'interagissez pas avec le système touché de façon répétée durant le processus de divulgation coordonnée.
  • N'exploitez pas les vulnérabilités pour télécharger, modifier ou supprimer quelques données que ce soit au-delà du minimum nécessaire pour fournir une preuve de concept.
  • N'essayez pas d'élever les privilèges ou d'explorer le système au-delà du minimum nécessaire pour fournir une preuve de concept.
  • N'exfiltrez pas les données d'autres utilisateurs, menez les tests sur vos seuls comptes.
  • N'essayez pas d'accéder à un système par la force brute ou par des méthodes d'ingénierie sociale (social engineering).
  • Ne recourez pas aux attaques par déni de service.
  • N'installez pas de maliciels ou de virus.
  • Si possible, indiquez dans votre signalement les adresses IP que vous utilisiez lorsque vous avez découvert la vulnérabilité; cela aidera à évaluer les exploitations potentielles et à réduire le nombre de faux positifs.
  • Communiquez vos intentions à l'OFCS si vous prévoyez de rendre votre découverte publique (alerte, conférence, article, etc.).

Programme CVD: mode d'emploi

  • Si la vulnérabilité touchant un système de l'administration fédérale nous est signalée dans le respect des règles énoncées ci-dessus et que l'auteur du signalement est de bonne foi et n'a pas d'intentions frauduleuses ni de mauvaises intentions, aucune action civile ou pénale ne sera engagée à son encontre.
  • Vous pouvez choisir de signaler la vulnérabilité à l'OFCS de manière anonyme.
  • L'OFCS traite les signalements en toute confidentialité et ne communique pas les données personnelles de leurs auteurs ou de l'organisation concernée sans leur consentement.
  • Avec votre consentement, l'OFCS indique que vous êtes la personne qui a signalé la vulnérabilité.
  • Vous recevrez un accusé de réception dans les trois jours ouvrables suivant le signalement. L'OFCS traitera votre signalement dans les cinq jours ouvrables.
  • Si la vulnérabilité touche l'administration fédérale, l'OFCS coordonnera l'élaboration d'un correctif dans les 60 jours suivant le signalement.
  • Selon l'organisation concernée et la nature de la vulnérabilité, l'OFCS portera celle-ci à l'attention de cette organisation. Le propriétaire du système informatique touché demeure toutefois responsable de celui-ci et des éventuelles mesures correctives à prendre.
  • L'OFCS tiendra dans la mesure du possible l'auteur du signalement au courant de l'évolution du dossier et des mesures prises pour supprimer la vulnérabilité.
  • Dans le cadre de la publication d'une CVE, l'OFCS procède en coordination avec toutes les parties concernées.
  • À l'heure actuelle, les auteurs de signalements ne reçoivent pas de récompense dans le cadre du programme CVD.

Dernière modification 01.01.2024

Début de la page

https://www.ncsc.admin.ch/content/ncsc/fr/home/infos-fuer/infos-it-spezialisten/themen/schwachstelle-melden/scope-and-rules.html