Signaler les failles des systèmes informatiques

Divulgation responsable

Nous voulons permettre à nos clients d’effectuer leurs opérations bancaires en toute sécurité. C’est pourquoi nous améliorons continuellement nos systèmes et processus afin de préserver leur fiabilité. Vous constatez malgré tout une faille dans un système informatique ? Nous vous serions reconnaissants de bien vouloir nous en informer.
 

Collaborez avec nous pour trouver une solution

Des erreurs se produisent, nous ne voulons pas les dissimuler. Mais si vous divulguez des failles dans nos systèmes informatiques sans nous consulter au préalable, cela peut avoir de graves conséquences, quelle que soit votre intention. Des criminels peuvent utiliser vos informations et commettre une fraude sur Internet, par exemple. Par conséquent, nous vous demandons de nous signaler d’abord l’erreur et de collaborer avec nous pour trouver une solution. Cela nous permet d’éviter les fraudes et les pannes de systèmes.

Transmettre votre signalement

 

Que pouvez-vous signaler ?

Vous pouvez signaler, de préférence le plus rapidement possible, tous les types de failles de nos systèmes informatiques : 

  • vulnérabilités de cross scripting 
  • vulnérabilités d'injection SQL 
  • failles de cryptage, etc.

Comment transmettre un signalement ?

  1. Remplissez ce  formulaire
  2. Envoyez-le par e-mail
  3. Chiffrez votre message avec  cette clé PGP

Que faisons-nous de votre signalement ?

 

Nous vous contactons.

Une équipe d’experts en sécurité examinera votre signalement et vous contactera dans les 2 jours ouvrables. Il peut être question des points faibles que vous avez trouvés, de la manière dont vous les avez trouvés et des actions de suivi.

Votre vie privée

Nous n’utiliserons vos données à caractère personnel que pour agir suite à votre signalement. En principe, nous ne divulguons pas vos données à caractère personnel à des tiers sans votre consentement.

Important

 

Respectez les règles

Pendant votre examen, il se peut que vous commettiez des actes punissables. Si vous respectez les règles de signalement des failles dans nos systèmes informatiques, nous n'effectuerons pas de déclaration et nous n’introduirons pas de demande d’indemnisation.

Faits punissables

Nous ne pouvons pas vous promettre que vous ne serez jamais poursuivi si vous commettez des faits punissables lors de votre examen. Même si nous ne faisons pas de déclaration. En effet, l’officier de justice décide toujours lui-même des poursuites. Ce n'est pas de notre ressort.
 

Les règles

  1. Soyez responsable et prudent. 
  2. Utilisez uniquement les méthodes nécessaires pour identifier ou démontrer les failles. 
  3. Sécurisez au mieux vos propres systèmes. 
  4. N’utilisez les failles que vous décelez que pour votre propre examen, et pas pour autre chose. 
  5. N’utilisez pas d’ingénierie sociale ou d’attaques par force brute pour accéder à un système. 
  6. Ne placez pas de porte dérobée dans un système, même pour en démontrer la vulnérabilité. Une porte dérobée rend un système encore plus dangereux. 
  7. Ne modifiez ou ne supprimez aucune donnée dans le système. 
  8. Ne copiez jamais plus de données que nécessaire. Un seul enregistrement suffit pour votre examen ? Dans ce cas, n’allez pas plus loin. 
  9. Vous parvenez à pénétrer dans un système ? Ne le faites pas plus souvent que nécessaire. 
  10. Ne partagez pas l’accès éventuel à un système avec d’autres personnes.

Questions fréquemment posées

Oui, nous pouvons vous récompenser pour votre analyse. Nous n'y sommes toutefois pas obligés. Vous n’avez donc pas droit à une indemnité. Le montant d’une récompense n’est pas non plus fixé à l’avance. Nous le déterminons. Le fait que nous offrions une récompense ainsi que le montant dépendent notamment : 

  • Du soin apporté à votre examen 
  • De la qualité de votre signalement 
  • De l’étendue des dommages éventuels que votre signalement permet d’éviter.
Ne divulguez jamais les failles de nos systèmes informatiques ou votre examen sans nous consulter. Nous pourrons ainsi éviter ensemble que des criminels abusent de vos informations. Consultez nos experts en sécurité et laissez-nous le temps de résoudre le problème.
Oui. Il n’est pas nécessaire de fournir votre nom et vos coordonnées lorsque vous effectuez un signalement. N’oubliez pas que dans ce cas, nous ne pourrons pas nous concerter avec vous à propos des étapes de suivi, par exemple sur ce que nous faisons de votre signalement, la poursuite de la collaboration, vos crédits tels que la mention de votre nom ou une éventuelle récompense.