Aller au contenu principal

Responsible Disclosure Policy

Lydian considère la sécurité de ses systèmes et de ses données comme une priorité absolue. Quels que soient les efforts que nous déployons pour assurer la sécurité de nos systèmes et de nos données, il peut toujours y avoir des vulnérabilités. Si vous découvrez une vulnérabilité de sécurité, nous vous demandons de nous la signaler par le biais d'une politique de divulgation coordonnée des vulnérabilités, également connu sous le nom de divulgation responsable. Nous pourrons ainsi prendre des mesures en toute sécurité pour remédier à la vulnérabilité de sécurité le plus rapidement possible afin d'améliorer la sécurité de nos systèmes et de nos données.

Indépendamment de la politique de la politique de divulgation coordonnée des vulnérabilités de Lydian, de la procédure de déclaration et de ses modalités, la législation nationale reste en vigueur et prévaut.

 

1    QUELLES SONT LES VULNÉRABILITÉS DE SÉCURITÉ QUI PEUVENT ÊTRE SIGNALÉES ?

Le processus de divulgation responsable est destiné à signaler les vulnérabilités suspectées dans nos systèmes, y compris le site web de Lydian, qui peuvent être utilisées de manière abusive et/ou conduire à (entre autres):

  • Le vol de données (personnelles ou non);
  • Modification ou suppression non autorisée des données;
  • Interruption ou modification de l'accès à nos systèmes ;
  • la perturbation du bon fonctionnement de nos systèmes; ou
  • Etc.

Le processus de divulgation responsable n'est pas destiné à rapporter:

  • des questions ou des plaintes concernant le fonctionnement de nos systèmes, les services juridiques, les factures, etc.
  • des notifications concernant les virus, les courriels d'hameçonnage, la fraude par courriel, etc.

 

2    PROCESSUS DE DIVULGATION DE LA VULNÉRABILITÉ ET RÈGLES D'ENGAGEMENT

Contrairement à ce qui se passait auparavant, le piratage informatique dans le contexte d'une divulgation nécessaire d'une vulnérabilité n'est pas considéré comme un délit si quatre conditions cumulatives sont remplies. Premièrement, l'auteur du rapport de vulnérabilité doit avoir agi sans intention frauduleuse ni intention de nuire. Deuxièmement, il doit informer Lydian dès que possible de la découverte d'une vulnérabilité. Troisièmement, lors de la vérification de l'existence d'une vulnérabilité, la proportionnalité est essentielle. Si le problème a été démontré à petite échelle, il n'est pas nécessaire d'aller plus loin. Enfin, les informations relatives à la vulnérabilité découverte ne doivent pas être rendues publiques sans l'accord préalable de Lydian.

  • Veuillez signaler toutes les vulnérabilités de sécurité à informationsecurity@lydian.be;
  • Veuillez utiliser un message électronique crypté de manière appropriée afin d'éviter que ces informations critiques ne tombent entre de mauvaises mains;
  • Décrire le problème avec suffisamment de détails et inclure toutes les preuves nécessaires;
  • Vous n'êtes pas tenu de nous fournir vos coordonnées, mais vous pouvez nous fournir une adresse électronique menant à une boîte mail anonyme;
  • N'informez que Lydian de vos découvertes et uniquement par le biais de cette procédure. Ne publiez pas de détails sur le problème de sécurité par d'autres canaux. La divulgation de la vulnérabilité par d'autres canaux ou par les médias, que ce soit avant ou après avoir notifié Lydian via cette procédure, sera considérée comme une divulgation irresponsable et donnera lieu à des poursuites pénales;
  • N'exploitez pas la vulnérabilité identifiée. Ne collectez que les informations nécessaires pour démontrer son existence. Ne modifiez ou supprimez pas les données ou les paramètres du système;
  • Respectez toujours les limites légales lorsque vous identifiez des vulnérabilités potentielles en matière de sécurité. Les attaques DDoS, les mots de passe obtenus par force brute, les activités d'ingénierie sociale, l'infection des systèmes par des logiciels malveillants/virus informatiques, le balayage des systèmes et des réseaux, etc. peuvent nuire à Lydian, à son personnel et à ses clients et seront donc considérés et traités comme des attaques ciblées. Dans ces cas et dans d'autres, Lydian ne peut garantir que vous ne serez pas poursuivi, car il existe un risque que les autorités prennent les mesures nécessaires en réponse à de telles attaques. En tout état de cause, dans ces circonstances, Lydian envisagera également d'engager des poursuites pénales.

 

3    QU'ADVIENT-IL DES VULNÉRABILITÉS DE SÉCURITÉ SIGNALÉES ?

  • Si vous avez fourni des informations de contact, nous répondrons à votre message dans les plus brefs délais;
  • Dans la mesure du possible, nous pourrions vous contacter si nous avons besoin d'informations supplémentaires;
  • Nous ferons tout notre possible pour résoudre les problèmes le plus rapidement possible et nous vous tiendrons informé tout au long du processus (si les coordonnées ont été fournies);
  • En tout état de cause, Lydian n'accordera jamais de récompenses pour les vulnérabilités découvertes.

 

4    PLUS D'INFORMATIONS

Si vous avez des questions ou des remarques, veuillez nous contacter à l'adresse informationsecurity@lydian.be.  

En cas de doute sur l'applicabilité de la présente politique, veuillez d'abord nous contacter à l'adresse électronique ci-dessus.

Lydian se réserve le droit de modifier le contenu de cette politique à tout moment, ou d'y mettre fin.

 

Dernière mise à jour : 15 mars 2024