Champ d’application de la politique
Infrabel est soucieuse d’assurer la sécurité de ses réseaux et systèmes d’information. Il n’est cependant pas exclu que, malgré tous ses efforts, une faille de sécurité soit découverte et risque d’être exploitée. Infrabel a donc choisi d’adopter une politique de divulgation coordonnée des vulnérabilités. Cette politique donne la possibilité aux participants externes de rechercher, avec de bonnes intentions, de potentielles vulnérabilités dans les réseaux et systèmes d’information d’Infrabel et/ou de lui transmettre toute information découverte sur une vulnérabilité.
L’accès limité aux réseaux et systèmes d’information d’Infrabel n’est autorisé qu’aux personnes ayant l’intention d’en améliorer la sécurité et d’informer Infrabel (à l’adresse suivante : vulnerabilitydisclosure@infrabel.be) des vulnérabilités existantes, dans le strict respect des autres conditions définies dans cette politique.
Cette politique concerne les vulnérabilités en matière de sécurité susceptibles d’être exploitées par des tiers ou de perturber le bon fonctionnement des réseaux et systèmes d’information suivants d’Infrabel :
- le site internet d’Infrabel, à savoir infrabel.be
- les applications web ou mobiles d’Infrabel
- les réseaux et systèmes d’information d’Infrabel
Les recherches du participant sur des systèmes d’information non explicitement inclus dans le cadre de cette politique, sur des systèmes de tiers autres qu’Infrabel (tels que des infrastructures ou solutions Cloud) et les actions du participant non conformes aux conditions décrites ci-après pourraient entraîner des poursuites judiciaires à son encontre.
En bref, Infrabel attend le comportement suivant du participant(les modalités et obligations détaillées de cette politique étant également à consulter par le participant) :
- Le participant ne peut rechercher des vulnérabilités que dans les systèmes d’Infrabel désignés dans cette politique.
- Le participant ne peut pas effectuer de recherches de vulnérabilités dans les systèmes de tiers externes à Infrabel (tels que par exemple des infrastructures ou services cloud externes à Infrabel).
- Le participant ne partage avec des tiers ni l’existence de la vulnérabilité, ni les informations relatives à la vulnérabilité et aux données des systèmes informatiques, même après la résolution du problème.
- Le participant n’abuse pas de la vulnérabilité, il ne prend que les actions bien intentionnées nécessaires pour démontrer à Infrabel la faille de sécurité, et il ne peut pas, par exemple i) copier, modifier, supprimer, télécharger des données et/ou mots de passe d’un système informatique, ii) accéder à des systèmes si ce n’est pas nécessaire pour démontrer la faille de sécurité, iii) donner un accès à des systèmes à des tiers.
- Le participant ne peut pas non plus :
- Modifier des paramètres d’un système informatique
- Modifier de façon permanente et irréversible un système informatique
- Interférer avec le fonctionnement correct des systèmes (par ex. effectuer des scans automatiques)
- Installer un logiciel malveillant (malware), virus, vers (worm), cheval de Troie (trojan horse), ou autres
- Lancer des attaques par déni de service (DOS ou DDOS)
- Lancer des attaques par ingénierie sociale (social engineering)
- Lancer des attaques par hameçonnage (phishing)
- Lancer des attaques par courriels indésirables (spamming)
- Voler des mots de passe ou lancer des attaques en force de mots de passe (brute force)
- Contourner ou s’attaquer à la sécurité physique des installations
- Intercepter, enregistrer ou prendre connaissance intentionnellement d’une communication non accessible au public ou d’une communication électronique, ou installer des appareils permettant ces actions
- Utiliser, détenir, révéler, utiliser ou divulguer de façon intentionnelle du contenu de communications non accessibles au public ou de données d’un système informatique
- Dès que possible, le participant notifie sa découverte relative à une faille de sécurité à Infrabel, exclusivement à l’adresse suivante : vulnerabilitydisclosure@infrabel.be, en utilisant le canal sécurisé mis à disposition par Infrabel.
- Après son signalement à Infrabel, le participant efface toutes les données qu’il a obtenues durant sa recherche de vulnérabilités.
- En cas de doute sur l’application de cette politique, le participant interroge Infrabel (à l’adresse suivante : vulnerabilitydisclosure@infrabel.be) et obtient son accord préalable écrit avant d’agir.
0bligations des parties
Proportionnalité
Le participant s’engage dans toutes ses actions à ne pas perturber la disponibilité des services fournis par le système et à ne pas faire usage de la vulnérabilité au-delà de ce qui est strictement nécessaire à la démonstration, à Infrabel, de la faille de sécurité. Le participant s’engage à ne recueillir que les informations nécessaires pour informer Infrabel de la faille de sécurité découverte.
Ainsi, le participant n’abuse pas de la vulnérabilité : il ne prend que les actions nécessaires pour démontrer à Infrabel la faille de sécurité, et il ne peut pas, par exemple i) copier, modifier, supprimer, télécharger des données et/ou mots de passe d’un système informatique, ii) accéder à des systèmes si ce n’est pas nécessaire pour démontrer la faille de sécurité, iii) donner un accès à des systèmes à des tiers.
L’objectif de cette politique n’est pas de permettre la prise de connaissance intentionnelle du contenu de données informatiques, de données de communication ou de données à caractère personnel et une telle prise de connaissance ne pourrait intervenir que de manière fortuite dans le cadre de la recherche de vulnérabilités. Dans ce cas, le participant ne peut détenir de telles données plus longtemps que nécessaire et toutes les données collectées par le participant doivent être supprimées immédiatement.
Autres actions interdites
Le participant ne peut pas recourir aux actions suivantes :
- Copier, modifier, supprimer des données et/ou mots de passe d’un système informatique
- Modifier des paramètres d’un système informatique
- Modifier de façon permanente et irréversible un système informatique
- Interférer avec le fonctionnement correct des systèmes (par ex. effectuer des scans automatiques)
- Installer un logiciel malveillant (malware), virus, vers (worm), cheval de Troie (trojan horse), ou autres
- Lancer des attaques par déni de service (DOS ou DDOS)
- Lancer des attaques par ingénierie sociale (social engineering)
- Lancer des attaques par hameçonnage (phishing)
- Lancer des attaques par courriels indésirables (spamming)
- Voler des mots de passe ou lancer des attaques en force de mots de passe (brute force)
- Contourner ou s’attaquer à la sécurité physique des installations
- Intercepter, enregistrer ou prendre connaissance intentionnellement d’une communication non accessible au public ou d’une communication électronique ou installer des appareils permettant ces actions
- Utiliser, détenir, révéler, utiliser ou divulguer de façon intentionnelle du contenu de communications non accessibles au public ou de données d’un système informatique
De manière générale, toute infraction entraînera le dépôt d’une plainte de la part d’Infrabel.
Si le participant souhaite l’aide d’un tiers pour exécuter ses recherches, le participant doit s’assurer que celui-ci prend préalablement connaissance de cette présente politique et accepte, en offrant son assistance, d’en respecter les conditions.
Confidentialité
Le participant doit s’abstenir de partager, divulguer à des tiers ou publier des informations sur la faille de sécurité qu’il a découverte, que ce soit avant ou après en avoir informé Infrabel, y compris après la résolution de la faille découverte.
De même, il n’est pas permis de révéler ou de divulguer des données informatiques, des données de communication ou des données à caractère personnel à des tiers.
Exécution de bonne foi
Infrabel s’engage à exécuter cette politique de bonne foi et à ne pas poursuivre en justice, au civil ou au pénal, le participant qui en respecte les conditions.
Le participant doit être dénué d’intention frauduleuse, de dessein de nuire, de volonté de faire usage ou de provoquer un dommage au système visité ou encore à ses données.
En cas de doute sur certaines des conditions de cette politique, le participant doit interroger Infrabel (à l’adresse suivante : vulnerabilitydisclosure@infrabel.be) et obtenir son accord préalable écrit avant d’agir.
Traitement de données à caractère personnel
L’objet d’une politique en matière de divulgation coordonnée des vulnérabilités, n’est pas d’effectuer intentionnellement des traitements de données à caractère personnel, mais il est possible que le participant doive, même de manière fortuite, traiter des données à caractère personnel (par exemple, une adresse de courriel, numéro d'identification, identifiant en ligne, adresse IP ou encore des données de localisation) dans le cadre de ses recherches de vulnérabilités.
En cas de traitement de telles données, le participant s’engage à respecter les obligations légales en matière de protection des données à caractère personnel[1] et les conditions de cette politique, notamment :
- Le participant s'engage à ne traiter des données à caractère personnel qu’exclusivement afin de rechercher des vulnérabilités dans les réseaux et systèmes d’information d’Infrabel visés par cette politique. Tout traitement de données à caractère personnel pour une autre finalité est exclu.
- Le participant s'engage à limiter le traitement de données à caractère personnel à ce qui est nécessaire au regard de la finalité de recherche de vulnérabilités.
- Le participant met en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (par exemple, le cryptage).
- Le participant s'engage à informer Infrabel (à l’adresse suivante : vulnerabilitydisclosure@infrabel.be), dans les meilleurs délais après en avoir pris connaissance, de toute violation[2] éventuelle de données à caractère personnel.
- Le participant ne peut conserver plus longtemps que nécessaire les éventuelles données à caractère personnel traitées. Durant cette période, le participant doit veiller à ce que ces données soient conservées en garantissant un niveau de sécurité adapté aux risques encourus (de préférence de manière encryptée). A l’issue de son signalement de la faille de sécurité à Infrabel, comme prévu dans cette politique, ces données doivent être immédiatement et définitivement supprimées.
Le participant peut travailler avec un tiers pour exécuter ses recherches. Le participant doit s’assurer que celui-ci prend préalablement connaissance de cette politique et accepte, en offrant son assistance, d’en respecter les conditions, en ce compris la confidentialité et la mise en œuvre de mesures de sécurité appropriées. Le participant reconnaît qu'il demeure pleinement responsable devant Infrabel lorsque le tiers auquel il a fait appel ne remplit pas ses obligations en matière de confidentialité et de protection des données.
---------------------
[1] Règlement européen n°2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD Règlement général sur la protection des données).
[2] Une "violation de données à caractère personnel" consiste en une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé aux données à caractère personnel.
Signalement des vulnérabilités
Point de contact
Vous devez adresser les informations découvertes exclusivement à l’adresse de courriel suivante :
vulnerabilitydisclosure@infrabel.be
Nous vous invitons à utiliser le moyen de communication sécurisé suivant :
Pretty Good Privacy (PGP) avec le Key IDsuivant
Informations à transmettre
Dès que possible après la découverte de la faille de sécurité, adressez-nous les informations sur vos découvertes.
Veuillez fournir suffisamment d'informations pour permettre à Infrabel de reproduire le problème et de le résoudre le plus rapidement possible.
Nous vous demandons de nous fournir au moins les informations pertinentes suivantes :
- Nom
- Prénom
- Adresse de courriel / Numéro de téléphone
- Description de la vulnérabilité
- Type de vulnérabilité
- Détails de la configuration
- Système d’exploitation
- Opérations effectuées (logs)
- Outils utilisés
- Dates et heures des tests
- Adresse IP ou de l’URL du système affecté
- En cas de traitement de données personnelles : types de données personnelles accessibles / catégories de personnes concernées / traitements effectués par le participant sur les données
- Toute autre information / annexe pertinente (captures d’écran)
Nous vous invitons à transmettre vos informations en français, néerlandais, ou anglais.
Procédure
Découverte
Lorsqu’un participant découvre des informations relatives à une vulnérabilité potentielle, il doit, dans la mesure du possible, réaliser au préalable des vérifications permettant de confirmer l’existence de la vulnérabilité et d’identifier les éventuels risques encourus.
Signalement
Le participant s’engage à notifier, dans les plus brefs délais, les informations techniques sur les éventuelles vulnérabilités à Infrabel (exclusivement à l’adresse suivante : vulnerabilitydisclosure@infrabel.be). Le participant doit respecter les moyens de communication sécurisés désignés par Infrabel.
Lorsqu’elle reçoit un signalement, Infrabel s’engage à envoyer au participant, dans les plus brefs délais, un accusé de réception et les étapes suivantes de la procédure.
Communication
Infrabel et le participant s’engagent à mettre tout en œuvre pour assurer une communication continue et efficace. Les renseignements fournis par le participant peuvent, en effet, s’avérer très utiles pour identifier la vulnérabilité et y apporter une solution.
Investigation
La phase d’investigation permet à Infrabel de reproduire l'environnement et le comportement signalé afin de vérifier les informations communiquées.
Infrabel s’engage à tenir informé de manière régulière le participant des résultats des investigations et des suites données à son signalement.
Durant ce processus, Infrabel et le participant veilleront à faire le lien avec les notifications similaires ou connexes, d’évaluer le risque et la gravité de la vulnérabilité, et de déterminer les éventuels autres systèmes affectés.
Développement d’une solution
L’objectif de cette politique est de permettre le développement d’une solution afin de faire disparaître la vulnérabilité du système informatique, avant que des dommages ne soient causés.
En tenant compte de l'état des connaissances, des coûts de mise en œuvre, de la gravité des risques encourus et des contraintes techniques, Infrabel tentera de mettre au point une solution au plus tard dans les 90 jours calendrier.
Eventuelle divulgation publique
Infrabel décidera, en informant le participant, des modalités pour rendre éventuellement public l’existence de la vulnérabilité. Cette divulgation publique devra se faire au plus tôt en même temps que le déploiement d’une solution et la diffusion d’un avis de sécurité destiné aux utilisateurs.
Dans l’hypothèse d’une vulnérabilité qui concernerait également d’autres organisations, Infrabel en informera, en tout état de cause, le Centre pour la Cybersécurité Belgique, même si elle ne souhaite pas que la vulnérabilité soit divulguée publiquement.
Droit applicable
Le droit belge est applicable aux litiges liés à l’application de cette politique.
Durée
Les règles de la politique sont applicables à partir du 2 mai 2024 jusqu’à leur éventuelle modification ou suppression par Infrabel. Ces modifications ou suppressions seront publiées sur le site internet d’Infrabel et s’appliqueront automatiquement après un délai de 30 jours après leur publication.