Politique de divulgation responsable des vulnérabilités

1 Introduction

1.1 Objectif

La divulgation des vulnérabilités est le processus qui consiste à révéler les vulnérabilités. Ce processus est soumis à la présente politique de divulgation responsable des vulnérabilités.  Elle  implique qu’une vulnérabilité ne peut être révélée qu’après que Brussels Airport Company a coopéré avec le chercheur en sécurité afin de développer un correctif basé sur les constatations de ce dernier relative à une vulnérabilité présente dans l’environnement de Brussels Airport Company. Cette politique vise à fournir au chercheur en sécurité un cadre pour soumettre des vulnérabilités à Brussels Airport Company. En se dotant d’une politique de divulgation des vulnérabilités, Brussels Airport Company entend :

  • rationaliser le processus de signalement des vulnérabilités ;

  • démontrer son engagement en matière de sécurité de l’information et de protection des données ;

  • instaurer un climat de confiance parmi les parties prenantes et les clients ; et

  • définir un ensemble de règles que les chercheurs en sécurité et les hackers éthiques doivent suivre s’ils sont amenés à tester ses services et son infrastructure numérique.

La présente politique s’applique à tout chercheur en sécurité, dénommé « chercheur » dans le présent document, qui signale une vulnérabilité.

En se dotant d’une politique responsable de divulgation des vulnérabilités, Brussels Airport Company affirme sa volonté de collaborer avec des partenaires externes afin d’améliorer son dispositif de sécurité et fournit aux chercheurs un cadre pour signaler les vulnérabilités.

Les conditions énoncées dans la présente politique ne s’appliquent qu’aux personnes ayant pour objectif d’améliorer la sécurité de Brussels Airport, de nous informer des vulnérabilités existantes et d’agir dans le strict respect des autres conditions énoncées dans le présent document.

1.2 Champ d’application

Les ressources connectées à Internet (tels que, mais sans s’y limiter, les sites web, les applications mobiles ou les API) entrant dans le champ d’application du processus de divulgation des vulnérabilités sont les sites web liés au domaine brusselsairport.be. La présente politique est applicable à tous les sites web et sous-domaines où elle est publiée. Les systèmes dépendant d’un tiers ne sont pas couverts par cette politique. La divulgation responsable des vulnérabilités du tiers s’applique. Cependant, si le chercheur en sécurité réalise que le tiers n’a pas de politique de divulgation responsable applicable, Brussels Airport Company encourage le chercheur en sécurité à prendre contact avec celui-ci et l’aidera à le joindre, contribuant ainsi à son devoir sociétal d’amélioration de la cybersécurité de notre secteur.

Pour toute question relative au champ d’application de la présente politique, veuillez contacter l’équipe de cybersécurité (vulnerabilities@ictsecurity.brusselsairport.be).

Obligations mutuelles des parties

2.1 Cadre juridique

Les chercheurs doivent à tout moment se conformer à la loi du 18 octobre 2024 relative à la cybersécurité des réseaux et des systèmes d’information (loi NIS2), et en particulier aux articles 30 à 38 de cette loi. À cet égard, les chercheurs doivent observer et respecter les conditions ci-dessous :

  • Le chercheur doit agir sans intention frauduleuse ou volonté de nuire.

  • Le chercheur possède l’expertise et l’expérience nécessaires pour tester les systèmes, les équipements et les produits de notre organisation en toute sécurité et dans le respect des lois et réglementations applicables.

  • Le chercheur doit informer Brussels Airport Company sans délai de la découverte d’une vulnérabilité potentielle.

  • Le chercheur ne peut aller au-delà de ce qui est nécessaire et proportionné pour confirmer l’existence d’une vulnérabilité.

  • Le chercheur ne procédera jamais à une divulgation totale ou partielle pour quelque raison que ce soit, pas même pour des raisons scientifiques (ou pour des impératifs d’antérioirté) ou pour des raisons de propriété intellectuelle (une telle divulgation disqualifierait le chercheur et engagerait sa responsabilité).

  • Le chercheur ne peut divulguer aucune information sur la vulnérabilité découverte sans le consentement de Brussels Airport Company.

Les chercheurs reconnaissent et acceptent que toute autre responsabilité potentielle découlant d’actions ou d’omissions qui ne sont pas nécessaires pour mener à bien la procédure de signalement visée à l’article 62/1 de la loi NIS et qui ne remplissent pas les conditions énoncées à l’article 62/2, § 1er de la loi NIS (comme résumé ci-dessus) restera soumise à la loi applicable, y compris le délit pénal de hacking tel que défini à l’article 550bis du Code pénal belge.

2.2 Proportionnalité

En outre, les chercheurs s’engagent à respecter le principe de proportionnalité dans toutes leurs activités, c’est-à-dire à ne pas perturber la disponibilité des services concernés et à ne pas exploiter les vulnérabilités au-delà de ce qui est strictement nécessaire pour démontrer le problème de sécurité. En tout état de cause, le chercheur ne doit pas nuire aux activités de Brussels Airport Company. Son approche doit rester proportionnée : une fois que la vulnérabilité a été démontrée à petite échelle, aucune autre mesure ne peut être prise, à moins que Brussels Airport Company ne demande au chercheur d’approfondir ses conclusions sous son contrôle et dans un environnement contrôlé.

2.3 Actions interdites

Les chercheurs trouveront ci-dessous une liste non exhaustive d’actions considérées comme dommageables, frauduleuses ou disproportionnées et donc interdites avant et après la divulgation privée. Toutefois, cette liste ne se limite pas aux actions définies et ne donne qu’un aperçu de certaines des principales actions interdites.  

  • Copier, modifier ou supprimer des données du système ICT.

  • Modifier les paramètres du système ICT.

  • Installer des logiciels malveillants : virus, vers, chevaux de Troie, etc.

  • Lancer des attaques DDoS (Distributed Denial of Service).

  • Attaques d’ingénierie sociale.

  • Simulations d’hameçonnage.

  • Spamming.

  • Vol de mots de passe ou attaques de mots de passe par force brute.

  • Installer un dispositif pour intercepter, stocker ou récupérer des communications (électroniques) qui ne sont pas accessibles au public.

  • Interception, stockage ou réception intentionnels de communications (électroniques) qui ne sont pas accessibles au public.

  • Utiliser, conserver, transmettre ou diffuser intentionnellement le contenu de communications ou de données non publiques provenant d’un système ICT dont le participant aurait dû savoir qu’elles avaient été obtenues de façon illicite.

Toute action susmentionnée effectuée par un chercheur engage sa responsabilité civile et pénale.

De manière générale, le chercheur doit également éviter d’exploiter, même sou forme de proof of concept la vulnérabilité découverte, même pour démontrer qu’elle est avérée et exploitable. .

2.4 Confidentialité

Les chercheurs ne doivent en aucun cas divulguer ou diffuser à des tiers les informations recueillies dans le cadre de la présente politique sans l’accord préalable et exprès de Brussels Airport Company, sans préjudice de toute exception obligatoire en vertu du droit applicable.

Il est également interdit de divulguer ou de diffuser des données ICT, des données de communication ou des données à caractère personnel à des tiers ou de divulguer publiquement des vulnérabilités découvertes sans le consentement de Brussels Airport Company, sans préjudice de toute exception obligatoire en vertu du droit applicable.

Si les chercheurs demandent l’aide d’un tiers pour effectuer leur test, ils doivent s’assurer que ce tiers a au préalable pris connaissance de la présente politique et qu’il accepte d’en respecter les clauses, y compris la confidentialité, lorsqu’il apporte son aide.

2.5 Clause de « havre de sécurité »

Brussels Airport Company n’engagera aucune action légale ou pénale contre un chercheur qui respecte strictement les présentes clauses et qui n’a pas intentionnellement causé de préjudice à Brussels Airport Company. Le chercheur ne doit pas s’engager dans des activités frauduleuses, avoir l’intention de causer un préjudice ou avoir une volonté d’exploiter ou de nuire au système visité ou à ses données.

Si des chercheurs ont des doutes concernant les clauses de notre politique, ils doivent d’abord s’adresser à notre boîte électronique prévue à cette fin (vulnerabilities@ictsecurity.brusselsairport.be) et agir en fonction de la réponse écrite qu’ils reçoivent. L’absence de réponse de vulnerabilities@ictsecurity.brusselsairport.be ne signifie pas qu’un consentement implicite ou tacite est accordé à toute question posée dans la correspondance par e-mail.

2.6 Traitement des données à caractère personnel

Une politique de divulgation des vulnérabilités n’a pas pour objectif de traiter des données à caractère personnel. À moins que cela ne soit nécessaire pour démontrer l’existence d’une vulnérabilité, les chercheurs ne doivent pas consulter, récupérer ou stocker des données à caractère personnel.

Toutefois, les chercheurs peuvent accéder par inadvertance à des données à caractère personnel stockées, traitées ou transmises dans le système ICT concerné. Les chercheurs pourraient également être amenés à consulter, récupérer ou utiliser temporairement des données à caractère personnel dans le cadre d’une évaluation de vulnérabilité. Dans ce cas, ils doivent en informer Brussels Airport Company sans délai à l’adresse suivante : vulnerabilities@ictsecurity.brusselsairport.be.

Lorsqu’ils traitent des données à caractère personnel, les chercheurs se conforment aux obligations légales relatives à la protection des données à caractère personnel et respectent les dispositions pertinentes de la présente politique.

Le traitement des données à caractère personnel à des fins autres que la détection des vulnérabilités dans les systèmes, équipements ou produits de Brussels Airport Company n’est pas autorisé. Les chercheurs s’engagent à limiter le traitement des données à caractère personnel à ce qui est nécessaire pour l’analyse de la vulnérabilité. 

Les chercheurs ne conservent pas les données à caractère personnel traitées plus longtemps que nécessaire. Durant cette période, les chercheurs veillent à ce que ces informations soient stockées avec un niveau de protection adapté aux risques (c’est-à-dire chiffrées). Une fois que les données ont rempli leur objectif conformément à cette politique, elles doivent être effacées rapidement et complètement.

Enfin, les chercheurs doivent nous signaler toute perte, altération, divulgation ou tout accès à des données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.

Rapports de vulnérabilités en matière de sécurité

3.1 Point de contact

Les chercheurs peuvent partager leurs découvertes en soumettant les informations via le programme de « bug bounty » de Brussels Airport Company et en déposant leurs conclusions sur la plateforme désignée. Cette plateforme permet un traitement structuré des résultats et offre des incitants supplémentaires aux chercheurs.

Si les chercheurs ne sont pas en mesure d’utiliser la plateforme standard, ils peuvent partager leurs découvertes à l’adresse électronique suivante : vulnerabilities@ictsecurity.brusselsairport.be.

3.2 Contenu 

La divulgation du chercheur à Brussels Airport Company doit être complète et indépendante. Elle ne peut pas être volontairement confuse ni ne révéler que partiellement la nature de la vulnérabilité dans le but de donner un caractère de chantage à la divulgation.

La divulgation ne peut pas être conditionnelle.

La divulgation ne peut pas contenir de menaces ou de demandes de récompenses financières pour la recherche menée (bien que Brussels Airport Company n’exclue pas les récompenses financières ).

La divulgation doit donner tous les éléments permettant à Brussels Airport de reproduire la découverte de la vulnérabilité.

En échange, Brussels Airport Company s’engage à reconnaître pleinement la paternité/la propriété de la divulgation au chercheur et à contribuer à la réputation scientifique de celui‑ci au sein de la communauté, à moins que le chercheur n’ait eu une attitude ou un comportement négatif par le passé.

La présente politique de divulgation ne peut servir  à réhabiliter le chercheur si celui-ci en avait besoin.