Comment puis-je signaler une faiblesse dans un système informatique d’Efteling (Responsible Disclosure) ?
À Efteling, nous accordons une grande importance à la sécurité de nos systèmes. Malgré l’attention que nous portons à la sécurité de nos systèmes, une faiblesse peut se présenter. Si vous avez découvert une faiblesse dans l’un de nos systèmes, nous aimerions en être informés afin de pouvoir prendre des mesures dès que possible. Nous aimerions travailler avec vous pour mieux protéger les données de nos visiteurs et nos systèmes.
Notre politique de divulgation responsable n’est pas une invitation à analyser activement et de manière approfondie notre réseau d’entreprise à la recherche de vulnérabilités. Nous surveillons nous-mêmes notre réseau. Par conséquent, il est probable qu'une analyse soit détectée, que notre centre des opérations de sécurité (COS) mène une enquête et que des coûts inutiles soient potentiellement engendrés.
Vous pouvez nous signaler une faiblesse dans un système informatique d’Efteling à l’adresse e-mail cybersecurity@efteling.com.
À quoi faut-il penser pour une divulgation responsable (Responsible Disclosure) ?
Si vous signalez une vulnérabilité de notre système informatique, veuillez considérer les points suivants :
- Fournissez suffisamment d’informations pour reproduire le problème. Cela nous permettra de résoudre le problème le plus rapidement possible. Généralement, l’adresse IP ou l’URL (lien) du système concerné et une description de la vulnérabilité suffisent. Des vulnérabilités plus complexes peuvent nécessiter plus d’informations.
- Laissez vos coordonnées (adresse e-mail et/ou numéro de téléphone) afin que nous puissions vous contacter.
- Signalez la vulnérabilité dès que possible après sa découverte.
- Ne partagez pas d’informations sur le problème de sécurité avec d’autres jusqu’à ce qu’il soit résolu.
- Utilisez vos connaissances sur le problème de sécurité de manière responsable. Ne prenez pas de mesures qui vont au-delà de ce qui est nécessaire pour démontrer le problème de sécurité.
- Vous supprimez toutes les données confidentielles que vous avez obtenues lors de vos recherches immédiatement après que nous ayons résolu la vulnérabilité.
N’abusez pas d’une faiblesse de notre système informatique
Si vous découvrez une vulnérabilité, ne l’exploitez pas. Par exemple par :
- L’installation de logiciels malveillants.
- La copie, la modification ou la suppression de données dans un système (une alternative consiste à créer une liste de répertoires d’un système).
- La modification du système.
- L’accès répété au système ou le partage de l’accès avec d’autres.
- Utiliser le « brute force » pour accéder aux systèmes.
- Utiliser des techniques de « déni de service » ou de « social engineering ».
Ce que vous pouvez attendre de nous
Vous avez signalé une faiblesse dans notre système informatique ? Grâce à votre signalement, nous pouvons empêcher que des informations importantes ne tombent entre de mauvaises mains ou ne soient utilisées à des fins frauduleuses ou criminelles..
Nous traiterons votre signalement de manière confidentielle. Nous ne partagerons pas d’informations personnelles avec des tiers sans votre autorisation, sauf si cela est requis par la loi ou une ordonnance d’un tribunal. Nous vous tiendrons informé du traitement de votre signalement.
- Nous répondrons sur le fond à votre signalement dans les cinq jours ouvrables, en indiquant le délai de résolution prévu. Nous vous tiendrons bien entendu régulièrement informé(e) de l’avancée de la résolution du problème.
- Nous résoudrons la vulnérabilité le plus rapidement possible. La proportionnalité joue également ici un rôle important : le délai de résolution d’une vulnérabilité dépend de divers facteurs, notamment de la gravité et de la complexité de la vulnérabilité.
- Si vous respectez les attentes ci-dessus, nous n’engagerons aucune action en justice contre vous concernant votre signalement.
- En guise de remerciement pour votre aide à mieux protéger nos systèmes, nous vous récompenserons volontiers pour avoir signalé une vulnérabilité qui nous était jusqu’alors inconnue. Une récompense dépend fortement de la gravité de la vulnérabilité et de la qualité du signalement et variera donc d’un porte-clés à d’éventuels tickets gratuits pour le parc.
- Si vous découvrez une vulnérabilité dans un logiciel que nous utilisons mais qui est développé par une autre partie et que cette vulnérabilité relève d’un « bug bounty program », alors toute récompense éventuelle vous reviendra bien entendu.
Directives Responsible Disclosure
Lors de l'élaboration de cette politique de divulgation responsable, nous avons utilisé les directives pour la divulgation responsable fournies par le gouvernement néerlandais.