Responsible disclosure

En tant que plus grand gestionnaire de réseau de Flandre, Fluvius s'est fermement engagé à poursuivre la numérisation de ses services aux particuliers, aux entreprises et aux municipalités. Pour y parvenir, une solide culture de la sûreté et de la sécurité est essentielle. Toutefois, cela n'exclut pas la possibilité d'erreurs ou de vulnérabilités. Pour éviter qu'ils ne soient exploités par des individus ou des organisations malhonnêtes, Fluvius aime travailler avec des hackers éthiques, des chercheurs et des amateurs.

Comment pouvez-vous nous aider?

Si vous découvrez une ou plusieurs faiblesses dans les applications numériques Fluvius, telles que les sites web, les applications web et mobiles, les compteurs numériques ou les solutions IoT, nous vous demandons de les signaler à l'adresse suivante [email protected].

Veuillez fournir les informations ci-dessous :

  • Des informations aussi claires et détaillées que possible sur la localisation de la vulnérabilité présumée et son impact potentiel.
  • Une description détaillée des étapes nécessaires pour reproduire et potentiellement exploiter la vulnérabilité. Le nom de l'hôte, l'adresse IP, l'URL, les preuves de concepts, les procédures, les photos, les captures d'écran et toute référence à des CVE existants sont particulièrement utiles.
  • Vos coordonnées afin que nous puissions vous contacter si nécessaire. Nous les traiterons, bien entendu, de manière strictement confidentielle.

Veuillez traiter ces informations de manière responsable : ne les partager qu'avec Fluvius et via l'adresse électronique ci-dessus. La publication à des tiers ou la diffusion par des canaux tels que les médias sociaux, les forums Internet ou même la presse traditionnelle peut avoir de graves conséquences juridiques.

Règles du jeu pour la divulgation coordonnée

Mais qu'est-ce qui peut être signalé?

Nous aimons être informés de toutes les erreurs et insuffisances découvertes dans nos solutions et services numériques, à l'exception de ceux qui sont gérés par des tiers. En cas de doute, vous pouvez bien sûr toujours être sûr et nous envoyer vos constatations.

Qu'est-ce qui ne relève pas de la politique de divulgation coordonnée?

Afin de ne pas compromettre la sécurité de notre personnel, de nos clients et de nos services, les méthodes suivantes sont explicitement interdites :

  • Tester ou attaquer les protections physiques, comme l'accès aux locaux, aux bâtiments et aux équipements.
  • Contacts et communications trompeurs tels que l'ingénierie sociale et le phishing.
  • Attaques par déni de service (distribuées) au niveau du réseau ou des applications.
  • Abuser d'un problème ou d'une faiblesse détectée pour accéder ou télécharger plus de données que ce qui est strictement nécessaire pour établir un rapport correct.
  • Toute autre action susceptible de provoquer l'indisponibilité, de compromettre l'intégrité et/ou la confidentialité des systèmes ou des données.

Quel sera le suivi du rapport?

En tant qu'organisation profondément engagée dans la sécurité de l'information, Fluvius prend très au sérieux tout signalement de faiblesses. Nous nous engageons à toujours donner suite aux constatations correctement rapportées. Cette opération s'effectue comme suit :

  • Une réponse suit dans les deux semaines.
  • Nous vous contacterons directement si des informations supplémentaires sont nécessaires.
  • Chaque rapport fera l'objet d'une enquête et sera résolu aussi rapidement et efficacement que possible.
  • Vous ne serez jamais poursuivi en justice si vous avez respecté les règles susmentionnées.

Utilisation non autorisée de nos services numériques

Vous vous engagez à :

  • N'utilisez jamais les informations obtenues par le biais de nos services numériques d'une manière illégale ou illicite.
  • Ne pas abuser ou utiliser nos services numériques d'une manière qui compromette, endommage ou rende inutilisables les systèmes ou les données.
  • Ne pas utiliser nos services numériques pour distribuer des virus, des logiciels malveillants, du matériel illégal, obtenu illégalement ou tout autre matériel inapproprié tel que des éléments de nature diffamatoire, discriminatoire, violente, obscène ou menaçante.
  • S'abstenir de toute forme d'utilisation qui porte atteinte aux droits des personnes physiques, morales ou associations, y compris, mais sans s'y limiter, ceux prévus par la législation et la réglementation relatives à la vie privée et à la propriété intellectuelle.
  • Ne pas utiliser nos services numériques pour divulguer ou distribuer du matériel à des fins promotionnelles ou publicitaires sans le consentement préalable de Fluvius, sauf si le destinataire en fait la demande.

En cas d'atteinte aux droits intellectuels ou autres de Fluvius ou de tiers, vous vous engagez à indemniser et à dégager Fluvius ou ces tiers de toute réclamation ou demande résultant des infractions commises.