fbpx Skip to main content

KPD accorde une grande importance à la sécurité et à la confidentialité de ses systèmes ainsi qu’aux données de ses utilisateurs.
Nous apprécions l’aide des chercheurs en sécurité et de la communauté pour identifier les vulnérabilités. Si vous découvrez une faille de sécurité dans nos systèmes, nous vous encourageons à nous la signaler de manière responsable.
Cette Responsible Disclosure Policy explique comment signaler les vulnérabilités et ce que vous pouvez attendre de notre part en retour de votre coopération. En suivant ces directives, vous nous aidez à résoudre rapidement et efficacement les éventuels problèmes.

Portée

Cette politique s’applique aux systèmes et services suivants: www.kpd.be, connect.kpd.be, help.kpd.be et online.kpd.be

Hors de la portée

Les activités suivantes sont explicitement exclues de cette politique:

  • Tests de sécurité physique.
  • Ingénierie sociale, y compris les tentatives d’hameçonnage (phishing).
  • Attaques par déni de service (DoS) ou toute autre action perturbant la disponibilité de nos systèmes.
  • Vulnérabilités dans des services ou applications tiers intégrés à nos systèmes.

Directives pour les chercheurs

Afin de protéger la sécurité de nos systèmes et la confidentialité des données de nos utilisateurs, nous vous demandons de respecter les règles suivantes:

  • Ne pas exploiter la vulnérabilité au-delà de ce qui est nécessaire pour démontrer son existence.
  • Ne pas perturber nos systèmes et respecter la confidentialité des données.
  • Tester uniquement les systèmes explicitement mentionnés dans la portée de cette politique.
  • Fournir suffisamment d’informations pour nous permettre de reproduire et valider la vulnérabilité.
  • Ne pas divulguer ou publier la vulnérabilité avant que nous ne l’ayons corrigée.

Comment signaler une vulnérabilité

Si vous identifiez une vulnérabilité potentielle, veuillez nous transmettre vos conclusions via e-mail: marketing@kpd.be. Pour nous aider à comprendre et résoudre le problème rapidement, merci d’inclure les informations suivantes dans votre rapport

  • Une description claire et concise de la vulnérabilité.
  • Les étapes permettant de reproduire le problème, y compris les URL, requêtes ou paramètres concernés.
  • Si possible, une preuve de concept (PoC) ou des captures d’écran.
  • Vos coordonnées afin que nous puissions vous contacter pour d’éventuelles questions complémentaires.
  • Si vous préférez chiffrer votre rapport, utilisez une clé PGP.

Ce que vous pouvez attendre de nous?

Lorsque vous signalez une vulnérabilité conformément à cette politique, vous pouvez vous attendre aux points suivants:

  • Accusé de réception : Vous recevrez une confirmation de votre signalement sous 3 jours ouvrables.
  • Évaluation : Nous analyserons la vulnérabilité et vous contacterons si nous avons besoin d’informations supplémentaires.
  • Correction: Nous résoudrons le problème aussi rapidement que possible et vous tiendrons informé(e) de l’avancement.

Safe Harbor

Si vous respectez cette Politique de Divulgation Responsable, nous ne prendrons aucune mesure légale contre vos activités de recherche en sécurité. Cependant, cette garantie ne s’applique pas si vous enfreignez la loi, violez cette politique ou causez un préjudice à nos utilisateurs ou à nos systèmes. Merci de nous aider à garantir la sécurité de nos systèmes. Si vous avez des questions sur cette politique, contactez-nous à marketing@kpd.be.