Aller au contenu principal
RAENBI

Divulgation responsable

Divulgation responsable

Résumé exécutif

  • La présente politique s’applique au site d’ingénierie public publié sur raenbi.com et à la voie publique de soumission de contact utilisée par le site lorsque cette voie est activée pour le déploiement.
  • Si vous agissez de bonne foi et restez dans le cadre de la présente politique, RAENBI traite votre activité comme un test de sécurité autorisé pour les besoins de sa propre position civile et de dépôt de plainte.
  • La présente politique ne déroge pas au droit pénal belge. Une activité qui dépasse son cadre peut toujours relever de l’article 550bis du Code pénal belge.
  • Le canal public de signalement vérifié pour raenbi.com est la page de contact ou contact@raenbi.com. Utilisez le préfixe d’objet [CVD] afin que le message soit correctement orienté.

Pourquoi cette politique existe

raenbi.com est le site d’ingénierie public de RAENBI. Sa surface d’attaque est volontairement étroite : pages de contenu public, interface de gestion du consentement, activation analytique optionnelle et voie de contact. Même avec cette empreinte limitée, un défaut réel de sécurité ou de confidentialité peut affecter les visiteurs, les correspondants ou l’intégrité du site public.

La présente politique donne aux chercheurs une voie claire de signalement et donne à RAENBI un cadre opérationnel concret pour le triage, la remédiation et la communication publique coordonnée. Le processus s’inspire de l’ISO/IEC 29147:2018, de l’ISO/IEC 30111:2019, du guide FIRST de divulgation coordonnée et du cadre public du Centre pour la cybersécurité Belgique.

Champ d’application

Dans le champ :

  • les pages publiques raenbi.com et le contenu d’ingénierie qui y est servi
  • la surface de gestion du consentement visible sur raenbi.com, y compris le bandeau cookies et le dialogue de préférences
  • la voie de contact exposée pour raenbi.com, y compris l’endpoint public de soumission utilisé par le site lorsqu’il est configuré pour ce déploiement

Hors champ :

  • pm.raenbi.com, kb.raenbi.com, hub.raenbi.com, les postes de travail du personnel, les outils internes, l’hébergement de gestion de versions et les systèmes d’intégration et de livraison continues
  • les plateformes tierces accessibles depuis raenbi.com mais opérées par d’autres parties, y compris les fournisseurs de mesures d’audience, les plateformes d’hébergement, l’infrastructure CDN en bordure et les fournisseurs de messagerie
  • les tests de déni de service, de génération de charge, de force brute, de bourrage d’identifiants ou de nature volumétrique
  • les attaques par hameçonnage, appel, SMS, accès physique ou ingénierie sociale contre le personnel de RAENBI
  • les sorties de scanners automatisés sans preuve de concept reproductible
  • les recommandations de durcissement ou de bonnes pratiques qui ne démontrent pas un impact exploitable

Si vous trouvez un sujet hors champ, vous pouvez tout de même l’envoyer comme retour informel de sécurité via la page de contact, mais il n’est pas couvert par les engagements de sphère de sécurité ci-dessous.

Voie de signalement

  1. Préparez un rapport concis indiquant l’URL ou le composant affecté, les étapes de reproduction, l’impact observé, la date et l’heure du test, ainsi que la preuve de concept minimale nécessaire pour confirmer le problème.
  2. Envoyez le rapport via la page de contact ou à contact@raenbi.com, avec le préfixe d’objet [CVD], par exemple [CVD] stored XSS on contact confirmation.
  3. Si le premier message ne peut pas contenir tous les détails en sécurité, envoyez d’abord un avis bref, précisez qu’il s’agit d’un sujet de sécurité et demandez à RAENBI de poursuivre via une voie d’échange plus sûre.
  4. Restez joignable pour les questions de suivi pendant le triage.

L’anglais est la langue opérationnelle par défaut pour la correspondance de sécurité. Si vous préférez le français, le néerlandais ou le roumain, indiquez-le clairement dans votre premier message.

Cibles de triage

ActionCible opérationnelle
Accusé de réceptiondans les 2 jours ouvrables
Première revue de sévéritédans les 5 jours ouvrables
Mise à jour pendant la remédiationtous les 14 jours calendaires pour les sujets matériels dans le champ
Divulgation publique coordonnéeaprès remédiation, à un moment convenu avec le rapporteur lorsque c’est praticable

Si la remédiation exige sensiblement plus de 90 jours calendaires à compter de l’accusé de réception, RAENBI expliquera le retard et documentera en interne la cible révisée.

Limites de la sphère de sécurité

La position de sphère de sécurité de RAENBI ne s’applique que lorsque le rapporteur :

  • agit de bonne foi et dans le seul but de signaler une question de sécurité ou de confidentialité
  • limite ses tests aux surfaces dans le champ énumérées ci-dessus
  • s’arrête dès que le problème est confirmé
  • évite tout accès inutile à des données à caractère personnel, des données d’affaires ou des identifiants
  • ne dégrade pas la disponibilité ou la fiabilité pour les autres utilisateurs
  • ne conserve pas, ne publie pas et ne partage pas de détails d’exploitation avant que RAENBI n’ait disposé d’une possibilité raisonnable de remédier

Lorsque ces conditions sont réunies, la position de RAENBI est qu’elle n’engagera pas d’action civile et ne déposera pas plainte du seul fait de l’activité de test qui est restée dans le cadre de la présente politique.

Cette sphère de sécurité est étroite. Elle ne préautorise ni balayage massif, ni exploitation militarisée, ni persistance, ni élévation de privilèges au-delà de ce qui est strictement nécessaire pour confirmer le problème, ni aucun comportement dépassant les limites d’un test autorisé. Le droit pénal belge reste applicable, y compris l’article 550bis du Code pénal belge.

Ce que RAENBI offre et n’offre pas

RAENBI n’exploite pas actuellement de programme rémunéré de prime aux bogues.

Pour les rapports valides dans le champ, RAENBI peut fournir :

  • un accusé de réception écrit d’un rapport valide
  • une discussion coordonnée sur l’attribution si une divulgation publique intervient ultérieurement

La présente page ne promet pas de page publique de remerciements, de programme de récompense dédié, de gestion CVE ni de boîte chiffrée permanente. Si RAENBI met ultérieurement en place l’un de ces éléments, la présente politique sera d’abord mise à jour.

Contexte juridique belge

La présente politique est rédigée à la lumière du cadre belge suivant :

La présente page n’est pas une déclaration d’auto-classification au titre de NIS 2 et ne constitue pas, à elle seule, un canal de lancement d’alerte au sens de la loi du 28 novembre 2022.

Traitement des données à caractère personnel dans votre rapport

Si vous signalez une vulnérabilité, RAENBI recevra en pratique votre adresse électronique, tout nom ou pseudonyme que vous fournissez, le contenu technique du rapport et les échanges de suivi nécessaires au triage et à la remédiation.

RAENBI traite ces informations sur la base de l’article 6, paragraphe 1, point f), du RGPD, à savoir l’intérêt légitime à recevoir, évaluer, documenter et résoudre un signalement de sécurité concernant le site public, et conformément à la loi belge du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel. N’incluez pas de données à caractère personnel inutiles. Si votre preuve contient des données à caractère personnel de tiers, masquez-les dans la mesure du possible ou signalez-le clairement afin qu’elles soient traitées avec une prudence renforcée.

Les règles plus larges de traitement, de conservation et d’exercice des droits pour raenbi.com figurent dans la Politique de confidentialité.

Politiques associées

Cycle de revue

RAENBI revoit la présente politique après toute modification substantielle de la surface d’attaque du site public, de la voie de signalement ou du cadre juridique belge cité ci-dessus, et au minimum une fois par an.