Le logo du canton de BerneInformatique, organisation et marchés publics

Règles et conditions-cadres (CVD)

La découverte et le signalement de vulnérabilités peuvent avoir des conséquences civiles ou pénales, mais il est possible de réduire ces risques en respectant les règles ci-après.

Divulgation coordonnée d’une vulnérabilité (Coordinated Vulnerability Disclosure, CVD)

  • Durant le processus de divulgation coordonnée d’une vulnérabilité, ne discutez pas de la faille de sécurité que vous avez découverte avec quiconque d’autre que le fournisseur du système concerné, son propriétaire ou l’OIO.

  • Ne rendez pas publique la vulnérabilité avant que les parties concernées aient eu suffisamment de temps pour la supprimer ou avant concertation avec toutes les parties, y compris l’OIO.

  • Après avoir signalé une vulnérabilité, n’utilisez pas de façon répétée avec le système concerné durant le processus de divulgation coordonnée.

  • N’exploitez pas les vulnérabilités pour télécharger, modifier ou supprimer quelques données que ce soit au-delà du minimum nécessaire pour fournir une preuve de concept.

  • N’essayez pas d’élever les privilèges ou d’explorer le système au-delà du minimum nécessaire pour fournir une preuve de concept.

  • N’exfiltrez pas les données d’autres utilisateurs ou utilisatrices : effectuez les tests uniquement sur vos propres données.

  • N’essayez pas d’accéder à un système par force brute ou par des méthodes d’ingénierie sociale.

  • Ne recourez pas aux attaques par déni de service.

  • N’installez pas de maliciels ou de virus.

  • Indiquez si possible dans votre signalement les adresses IP que vous utilisiez lorsque vous avez découvert la vulnérabilité ; cela facilitera l’évaluation des exploitations potentielles et permettra de réduire le nombre de faux positifs.

  • Si vous avez l’intention de rendre votre découverte publique (rapport, conférence, article, etc.), avisez-en préalablement l’OIO.


Mode d’emploi du programme CVD:

  • Si la vulnérabilité touchant un système du canton de Berne nous est signalée dans le respect des règles énoncées ci-dessus et que l’auteur·e du signalement est de bonne foi et n’a pas de mauvaises intentions, l’OIO n’engagera aucune action civile ou pénale à son encontre.

  • Vous pouvez signaler une vulnérabilité en gardant l’anonymat.

  • L’OIO traite les signalements en toute confidentialité et ne communique pas les données personnelles de leurs auteur·e·s ou de l’organisation concernée sans leur consentement.

  • L’auteur·e d’un signalement reçoit un accusé de réception dans un délai de trois jours ouvrés. L’OIO traite le signalement dans les cinq jours ouvrés.

  • Si la vulnérabilité touche le canton de Berne, l’OIO coordonne l’élaboration d’un correctif dans les 60 jours suivant le signalement.

  • Selon la vulnérabilité et l’organisation concernée, l’OIO peut la lui signaler. Le système informatique touché et les éventuels correctifs à lui apporter restent néanmoins de la responsabilité du propriétaire.

  • L’OIO informe dans la mesure du possible l’auteur·e du signalement de l’évolution du dossier et des mesures prises pour supprimer la vulnérabilité.

  • Le programme CVD de l’OIO ne prévoit pas pour l’instant de récompenser les personnes qui signalent des vulnérabilités.
Partager