Fermeture des Archives départementales les 1er, 8, 9, 10 et 20 mai.

Politique de divulgation de vulnérabilités

Le Département considère que la sûreté et la sécurité des données de ses administrés et de ses agents est l’une de ses principales priorités. C’est pourquoi il s'efforce de garantir un très bon niveau de sécurité et de fiabilité de ses applications et systèmes. Malgré ses efforts pour mettre en œuvre ces mesures de sécurité, des vulnérabilités peuvent encore être présentes dans ses services et systèmes.

Le Département est conscient du rôle essentiel de ses utilisateurs, de ses partenaires et des chercheurs en sécurité en matière de sûreté de ses services et systèmes et les encourage à un signalement responsable des vulnérabilités qu’ils pourraient rencontrer en respectant les principes décrits dans la présente politique.

QUI ?

Chacun est encouragé à signaler les vulnérabilités identifiées, quel que soit le type de service ou de système d’information. Chercheurs, partenaires, CSIRT/CERT, administrés, agents ou toute autre source sont les bienvenus pour signaler les vulnérabilités.

COMMENT ?

La méthode préférée pour contacter le Département au sujet de ces vulnérabilités est d'envoyer un courriel à l'adresse vulnerabilites@gironde.fr.

Pour les documents confidentiels, le Département recommande d'utiliser OpenPGP comme système de chiffrement. Veuillez s'il vous plaît utiliser la clé publique disponible en téléchargement ci-dessous.

DONNÉES À CARACTÈRE PERSONNEL

Veuillez noter que :

  • La communication de vos coordonnées avec votre rapport est entièrement volontaire et à votre discrétion.
  • Le Département pourra utiliser, aux fins décrites ci-dessous, tous les rapports soumis, qu’ils soient anonymes ou qu’ils contiennent des coordonnées.
  • Si vous choisissez de fournir vos coordonnées, le Département les utilisera uniquement pour communiquer avec vous afin de clarifier les détails de votre rapport, le cas échéant. En aucun cas vos coordonnées ne seront utilisées à d’autres fins que celles pour lesquelles vous les lui avez confiées. En particulier, elles ne seront transmises à aucune autre entité.
  • Veuillez consulter la politique générale de confidentialité du Département pour savoir comment nous respectons la confidentialité de vos données personnelles.

EN CAS DE DIVULGATION D'UNE VULNÉRABILITÉ DE FAÇON ÉTHIQUE

En divulguant une erreur ou vulnérabilité au Département, vous confirmez que vous agissez de manière responsable en ne profitant pas de l’erreur ou de la vulnérabilité, notamment que :

  • Vous n’avez pas exploité ou utilisé de quelque manière que ce soit, et n’exploiterez pas ou n’utiliserez pas de quelque manière que ce soit (autrement qu’aux fins de nous les signaler), les vulnérabilités et/ou erreurs découvertes.
  • Vous ne vous êtes pas engagé, et ne vous engagerez pas, dans des tests/recherches de vulnérabilités et/ou erreurs avec l’intention de nuire au Département, ses administrés, agents, partenaires ou fournisseurs.
  • Vous n’avez pas utilisé, collecté, supprimé, altéré ou détruit, et n’utiliserez, ne collecterez, ne supprimerez, n’altérerez et ne détruirez pas les données auxquelles vous avez eu accès ou pourriez avoir accès en relation avec la vulnérabilité et/ou l’erreur découverte.
  • Vous n’avez pas mené, et ne mènerez pas, d’attaques d’ingénierie sociale, de spamming, de phishing, de déni de service ou d’épuisement des ressources.
  • Vous n’avez pas enfreint et n’enfreindrez pas les lois applicables en ce qui concerne votre rapport et votre interaction avec les services ou systèmes d’information du Département qui a mené à votre rapport.
  • Vous n’avez pas divulgué et vous engagez à ne pas divulguer à un tiers les informations relatives à votre rapport, aux vulnérabilités et/ou aux erreurs signalées, ni le fait qu’une vulnérabilité et/ou une erreur a été signalée au Département. Cet engagement de non divulgation s’applique indépendamment du fait que le Département ait eu connaissance ou non de l’information préalablement.

En faisant un rapport au Département par le biais de la méthode décrite plus haut, ou en communiquant autrement un rapport au Département, concernant des vulnérabilités et des erreurs de ses services ou systèmes, vous acceptez que :

  • Le Département puisse utiliser votre rapport à toute fin jugée pertinente, notamment pour corriger les vulnérabilités et les erreurs qui sont signalées et dont le Département juge qu’elles existent et qu’elles doivent être corrigées.
  • Dans la mesure où vous proposez des changements et/ou des améliorations à un service ou système du Département dans votre rapport, vous autorisez le Département, par lui-même ou par le recours à un tiers, à utiliser, mettre en œuvre, modifier (notamment pour adapter), diffuser et distribuer ces propositions et toutes implémentations qui en résultent. Cette autorisation est donnée sans contrepartie et pour le monde entier.

NOTRE ENGAGEMENT

Afin d’encourager une divulgation responsable, le Département s’efforcera de n’engager aucune action à l’encontre d’une personne soumettant des rapports en conformité avec la présente politique et :

  • Effectuant des essais/recherches sur les services ou systèmes sans nuire au Département, à ses administrés, à ses agents ou à des tiers.
  • N’utilisant, ni ne modifiant aucune donnée à laquelle elle pourrait accéder à l’occasion de sa découverte.
  • N’effectuant pas d’ingénierie sociale, de spam ou d’attaques de phishing.
  • Ne testant pas la sécurité physique des biens et sites du Département ou de tiers.
  • N’effectuant pas d’attaques par déni de service ou par épuisement des ressources.
  • Se conformant aux lois applicables notamment pénales.

MERCI

Le Département de la Gironde apprécie les efforts déployés par les auteurs de rapports pour identifier des vulnérabilités ou des erreurs. Nous vous remercions de faire tout votre possible pour améliorer la sécurité de nos services et systèmes d’information.

 

DOCUMENT À TÉLÉCHARGER