Entre

L’association de droit public dotée de la personnalité juridique SOCIÉTÉ DES TRANSPORTS INTERCOMMUNAUX -MAATSCHAPPIJ VOOR HET INTERCOMMUNAAL VERVOER, dont le siège social est situé à 1000 Bruxelles, rue Royale 76, et inscrite sous le numéro d’entreprise 0247.499.953, RPM Bruxelles, représentée par Monsieur Brieuc de Meeûs, CEO (ci-après « STIB ») ;

et

Toute personne physique qui s’engage à respecter la présente politique et qui entend identifier et/ou confirmer toute vulnérabilité liée à l’informatique pour au moins une des cibles visées par cette politique (ci-après « le Participant »).

Champ d’application

Afin d’améliorer la performance et la sécurité de nos réseaux et systèmes d’information, nous avons choisi d’adopter une politique de divulgation coordonnée des vulnérabilités (PDCV). Celle-ci donne la possibilité aux Participants de rechercher, avec de bonnes intentions, de potentielles vulnérabilités dans les systèmes, les équipements et les produits de la STIB, et de nous transmettre toute information découverte sur une vulnérabilité.

L’accès à nos systèmes et équipements informatiques n’est toutefois autorisé que dans le but d’améliorer la sécurité globale de la STIB, avec l’intention d’informer la STIB de l’existence des vulnérabilités identifiées et dans le strict respect des conditions définies dans le présent document.

Le Participant dispose également d’une autorisation d’introduire ou de tenter d’introduire des données informatiques dans notre système informatique et à cibler le matériel informatique de la STIB en utilisant des outils de hacking éthique reconnus par l’industrie ou des scripts personnels, pour autant qu’ils soient conformes aux objectifs et conditions définis par cette politique.

Si le Participant souhaite l’aide d’un tiers pour exécuter ses recherches, le Participant doit s’assurer que celui-ci prend préalablement connaissance de la présente politique et accepte, en offrant son assistance, d’en respecter les conditions. Le Participant reconnaît qu’il demeure en tout temps pleinement responsable des actions (ou omissions) de ce tiers.

La politique considère comme inclus dans son périmètre :

• Les systèmes exposés à Internet, les interfaces de programmation d’applications (API), les services et sites web hébergés par la STIB ;
• Les applications mobiles de la STIB publiées sur Google Play ou Apple App Store ;
• Les réseaux filaires ou sans fil de la STIB accessibles depuis un espace public ;
• Le matériel de la STIB (Technologies de l’Information / Technologies Opérationnelles) accessible au public.

Important : Les réseaux sociaux de la STIB ainsi que tous les systèmes dépendant de tiers sont exclus du périmètre de cette politique, sauf accord explicite préalable de ces tiers.

Les recherches du Participant sur des systèmes d’information non explicitement inclus dans le cadre de la présente politique pourraient entraîner des poursuites judiciaires à son encontre.

Obligations réciproques des parties

Compétences

Le Participant doit être une personne physique qui possède les compétences, connaissances, expertise et expérience nécessaires pour effectuer des tests de sécurité sur nos systèmes, dans le but d’identifier, confirmer et signaler des vulnérabilités, tout en restant conforme à l’ensemble des lois et réglementations applicables.

La proportionnalité

Le Participant s’engage dans toutes ses actions à respecter scrupuleusement le principe de proportionnalité, c’est-à-dire à ne pas perturber la disponibilité des services fournis par le système et à ne pas faire usage de la vulnérabilité au-delà de ce qui est strictement nécessaire à la démonstration de la faille de sécurité. Son attitude doit rester proportionnée : si la démonstration est établie à petit échelle, il n’est pas nécessaire de l’étendre plus loin.

L’objectif de la présente politique n’est pas de permettre la prise de connaissance intentionnelle du contenu de données informatiques, de données de communication ou de données à caractère personnel et une telle prise de connaissance ne pourrait intervenir que de manière fortuite dans le cadre de la recherche de vulnérabilités.

Les actions interdites

Le Participant ne peut recourir aux actions suivantes :

• la copie, la modification ou la suppression de données du système informatique ;
• la modification des paramètres du système informatique ;
• l’installation d’un logiciel malveillant (malware) : virus, vers (worm), chevaux de Troie (trojan horse ou autre) ;
• les attaques par déni de service (Distributed Denial Of Service  - « DDOS ») ;
• les attaques par ingénierie sociale (social engineering) ;
• les attaques par hameçonnage (phishing) ;
• les attaques par courriels indésirables (spamming) ;
• le vol de mots de passe ou l’attaque en force de mots de passe (brute force) ;
• l’installation d’appareil permettant l’interception, la prise de connaissance ou l’enregistrement de communication non accessible au public ou d’une communication électronique ;
• affecter intentionnellement les opérations commerciales ;
• l’interception, l’enregistrement ou la prise de connaissance intentionnelle d’une communication non accessible au public ou d’une communication électronique ;
• l’utilisation, la détention, la révélation, l’usage ou la divulgation intentionnelle du contenu de communications non accessibles au public ou de données d’un système informatique, dont le Participant ne peut raisonnablement ignorer qu’elles ont été obtenues illégalement.

La confidentialité

Le Participant n’est pas autorisé à partager ou à divulguer avec des tiers les informations récoltées dans le cadre de notre politique, sans notre accord préalable et explicite, donné par écrit, du Corporate Information Security Officer (vulnerability@stib-mivb.brussels) de la STIB. Cette interdiction inclut la communication de données informatiques, données de communication ou des données à caractère personnel à des tiers.

Le Participant est tenu de détruire de manière sécurisée toutes les informations après avoir signalé ses observations à l’équipe de sécurité de la STIB, conformément au processus décrit dans le présent document.

Pour des raisons de confidentialité, le n’est pas autorisé à stocker des informations ou des données dans le cloud pendant la durée de son investigation, sauf si celles-ci sont chiffrées en transit et au repos.

L’exécution de bonne foi

La STIB s’engage à exécuter de bonne foi la présente politique et de ne pas poursuivre en justice, au civil ou au pénal, le Participant qui en respecte les conditions et objectifs.

Le Participant doit être dénué d’intention frauduleuse, de dessein de nuire, de volonté de faire usage ou de provoquer un dommage au système visité ou encore à ses données.

En cas de doute concernant l’une des conditions de cette politique, le Participant doit d’abord contacter le Corporate Information Security Officer de la STIB (vulnerability@stib-mivb.brussels) afin d’obtenir un consentement écrit et/ou des clarifications avant d’agir.

Le traitement de données à caractère personnel

Le traitement de données à caractère personnel a une portée large et inclut notamment la conservation, la modification, l'extraction, la consultation, l'utilisation ou la communication de toute information pouvant se rapporter à une personne physique identifiée ou identifiable. Le caractère « identifiable » de la personne ne dépend pas de la simple volonté d'identification du Participant mais de la possibilité d'identifier, directement ou indirectement, la personne à l'aide de ces données (par exemple : une adresse mail, numéro d'identification, identifiant en ligne, adresse de protocole Internet (IP) ou encore des données de localisation).

Le Participant ne doit pas traiter intentionnellement des données à caractère personnel, mais il est possible que le Participant doive en traiter, même de manière incidente, dans le cadre de ses recherches de vulnérabilités. En cas de traitement de telles données, le Participant s’engage à respecter les obligations légales en matière de protection des données à caractère personnel [1], les instructions de la STIB ainsi que les conditions de la présente politique, notamment :

• Le Participant s'engage à ne traiter des données à caractère personnel exclusivement afin de rechercher des vulnérabilités dans les systèmes, équipements ou produits de la STIB. Tout traitement de données à caractère personnel pour une autre finalité est exclu.
• Le Participant s'engage à limiter le traitement de données à caractère personnel à ce qui est nécessaire au regard de la finalité de recherche de vulnérabilités. 
• Le Participant veille à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.
• Le Participant met en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (p.ex. cryptage).
• Le Participant s'engage à assister la STIB, dans la mesure du possible, dans la mise en œuvre de nos obligations relatives à l'exercice des droits des personnes concernées.
• Le Participant informe le Délégué à la Protection des Données (DPO) de la STIB (dpo@stib-mivb.brussels) dès qu’il prend connaissance de données à caractère personnelles.
• Le Participant ne peut conserver plus longtemps que nécessaire les éventuelles données à caractère personnel traitées. Durant cette période, le Participant doit veiller à ce que ces données soient conservées en garantissant un niveau de sécurité adapté aux risques encourus (de préférence de manière encryptée).
• Le Participant supprime immédiatement toute donnée (personnelle) après avoir soumis le rapport et les preuves associées.
• Le chercheur en sécurité tiendra – dans la mesure de ses capacités et conformément à l’article 30, § 2 du Règlement Général sur la Protection des Données (RGPD) – un registre des catégories d’activités de traitement effectuées pour le compte de la STIB, incluant une description des mesures de sécurité mises en œuvre.

Le Participant reconnaît qu'il demeure pleinement responsable devant la STIB lorsque le tiers auquel il a fait appel ne remplit pas ses obligations en matière de protection des données. 

Si le Participant venait à traiter les données personnelles, stockées et/ou traitées de toute autre manière par STIB, d'une manière incompatible avec la présente politique ou pour des finalités autres que la recherche de potentielles vulnérabilités dans les systèmes, produits et équipements de notre organisation, le Participant reconnaît qu'il sera considéré comme un responsable du traitement et assumera l'entière responsabilité pour les traitements effectués de ce chef.

Récompense et compensation

Nous vous serons sincèrement reconnaissants pour votre contribution à la sécurisation de notre infrastructure et de nos systèmes informatiques. La STIB ne prévoit toutefois aucune forme de compensation, ni financière, ni par tout autre moyen, lors de la soumission d’un rapport de vulnérabilité.

[1] Règlement européen n°2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD Règlement général sur la protection des données).

Phases de la procédure de signalisation des vulnérabilités de sécurité

Phase 1 : Découverte & identification

Lorsqu’un Participant découvre des informations relatives à une vulnérabilité potentielle, celui-ci devrait, dans la mesure du possible, réaliser au préalable des vérifications permettant de confirmer l’existence de la vulnérabilité et d’identifier les éventuels risques encourus.

Phase 2 : Notification – soumission du rapport de vulnérabilité

Le Participant doit partager dès que possible toutes les informations techniques et preuves concernant la ou les vulnérabilités possibles (voir annexe 1 pour un modèle de rapport) par e-mail à vulnerability@stib-mivb.brussels.

En cas de transfert de fichiers volumineux, le Participant peut indiquer dans son rapport qu’il souhaite partager des fichiers plus importants afin qu’une solution soit proposée. Il convient de mentionner la taille totale des fichiers à transmettre.

Seuls les messages entrant dans le cadre prévu feront l’objet d’un accusé de réception. Celui-ci pourra contenir une référence interne et/ou un rappel des principales obligations de la présente politique ainsi que les étapes suivantes.

Phase 3 : Communication

Le Participant et la STIB collaboreront de manière constructive afin d’assurer une communication continue et efficace, nécessaire pour identifier et/ou corriger la vulnérabilité.

Phase 4 : Investigation

La phase d’investigation permettra à notre organisation de reproduire l'environnement et le comportement signalé afin de vérifier les informations communiquées. Durant ce processus, la STIB analysera également si des systèmes similaires pourraient être affectés.

Phase 5 : Développement d’une solution

Une fois la vulnérabilité et les systèmes concernés identifiés, l’objectif est de concevoir et mettre en œuvre une solution permettant d’éliminer la faille avant qu’elle ne puisse causer le moindre dommage. La STIB déploiera et/ou mettra en œuvre une solution durable et efficace pour traiter la vulnérabilité, tout en préservant le bon fonctionnement des autres fonctionnalités existantes.

Éventuelle divulgation publique

La STIB décidera – en tenant compte des arguments du chercheur en sécurité – de la possibilité de divulguer publiquement la ou les vulnérabilités identifiées. Si la décision est favorable, la publication sera coordonnée par le département Communication de la STIB.

Le Participant n’est pas autorisé à révéler ou partager des informations sans le consentement préalable et explicite, donné par écrit, du Corporate Information Security Officer (vulnerability@stib-mivb.brussels). Cette interdiction inclut les données informatiques, données de communication ou des données à caractère personnel ainsi que tout résultat ou conclusion provenant des phases décrites ci-dessus.

Droit applicable

Le droit belge est applicable aux litiges liés à l’application de la présente politique.

Durée

Cette politique est applicable dès sa publication sur le site internet jusqu’à sa modification ou suppression par la STIB. Les modifications ou suppressions seront publiées sur notre site web et s’appliqueront automatiquement.

Lanceur d'alerte