Responsible Disclosure Policy

Responsible Disclosure Policy

Politique de divulgation responsable

Chez bpost, nous accordons une grande importance à la sécurité de nos systèmes et de nos données. Malgré les mesures que nous prenons pour optimiser notre sécurité, des problèmes peuvent toujours survenir. Si vous découvrez un problème de sécurité, nous avons mis en place un processus qui vous permet de nous le signaler de manière responsable. Nous apprécions votre aide pour améliorer nos systèmes et protéger nos clients .

Quels problèmes de sécurité peuvent être signalés de cette manière ?

Ce processus est destiné à signaler des vulnérabilités suspectées dans nos produits et services - y compris les sites web, les applications web et les applications mobiles - qui peuvent faire l'objet d'abus et conduire :

  • au vol de données sensibles
  • à la modification ou suppression non autorisée de données sensibles
  • à des interférences dans l'accès à nos services ou à son blocage
  • à des perturbations du bon fonctionnement de nos produits ou services
     

Ce processus n'est pas destiné à signaler :

  • des questions ou plaintes concernant le fonctionnement de nos produits, services, facturation, etc. Pour ce type de question, veuillez plutôt contacter notre service clientèle.
  • des attaques DDoS, le vol de mots de passe par brute force, des attaques d'ingénierie sociale, etc.
  • des notifications concernant des virus, du courrier d'hameçonnage, du courrier indésirable, de la fraude, etc.

Comment signaler les problèmes de sécurité ?

  • Signalez le problème en envoyant un courriel à responsible.disclosure@bpost.be.
  • Rédigez votre message en néerlandais, français ou anglais.
  • Décrivez le problème de manière suffisamment détaillée et incluez les preuves nécessaires, telles que les adresses IP, les entrées de journal, les captures d'écran, etc.
  • Vous pouvez également signaler la vulnérabilité suspectée via le site web Intigriti secure bug bounty platform où bpost a un programme de divulgation responsable .
  • Vous n'êtes pas tenu de nous fournir des informations de contact. Toutefois, dans certains cas, nous pourrions vouloir vous joindre pour vous demander des informations complémentaires ou pour recevoir vos commentaires. L'une des options proposées ici est de fournir une boîte aux lettres anonyme (par exemple via Gmail ou Hotmail).
  • N'informez que bpost de vos découvertes, et uniquement via ce processus. Ne publiez pas les détails du problème de sécurité par d'autres canaux. Faire connaître le problème par d'autres canaux ou par les médias, que ce soit avant ou après avoir notifié bpost via ce processus et même si tous les détails ne sont pas fournis, sera considéré comme un comportement irresponsable et peut entraîner le dépôt de plaintes pénales.
  • N'exploitez pas la fuite identifiée : ne recueillez que les informations nécessaires pour démontrer son existence.
  • Ne modifiez ni ne supprimez aucune donnée ni aucun paramètre du système.
  • Traitez les données que vous trouvez de manière responsable : si vous pouvez démontrer un problème de sécurité avec une petite portion de données, n'allez pas plus loin.
  • Respectez toujours les limites légales lorsque vous identifiez des problèmes de sécurité potentiels. Ne démontrez pas les vulnérabilités de sécurité en effectuant des attaques DDoS, en devinant des mots de passe par brute force, en menant des activités d'ingénierie sociale, en infectant des systèmes avec des logiciels malveillants, en scannant nos systèmes, etc. Ces actions peuvent causer des dommages à la fois à bpost et à ses clients et seront donc considérées et traitées comme des attaques ciblées. Dans ce cas, bpost ne peut pas garantir que vous ne serez pas poursuivi, car il existe un risque que les autorités prennent les mesures nécessaires en réponse à de telles attaques.

Que se passe-t-il quand un problème de sécurité est signalé ?

  • Si vous avez fourni des informations de contact, nous répondrons à votre message dès que possible.
  • Si c’est possible, nous pouvons vous contacter si nous avons besoin d'informations supplémentaires.
  • Nous ferons tout notre possible pour remédier au problème dans les plus brefs délais, et nous vous tiendrons informé tout au long du processus.
  • En fonction du problème de sécurité potentiellement identifié, bpost peut décider d'accorder une récompense. Le contenu et la portée d'une récompense seront déterminés par bpost uniquement, et une telle récompense ne peut être interprétée comme une garantie de récompenses futures.
  • Si vous agissez conformément à ces directives, bpost ne déposera pas de plainte pénale contre vous.


Signaler un problème de sécurité >