LIGNES DIRECTRICES POUR LE RAPPORT DE VULNÉRABILITÉ DE L'ORGANISATION ITER

 

Introduction

Le présent document (ci-après dénommé "lignes directrices") a pour objet de fournir des lignes directrices aux personnes physiques ou morales (ci-après dénommées "chercheur(s) en sécurité") qui mènent des activités de découverte de vulnérabilités sur le système informatique accessible au public de l'organisation ITER (ci-après dénommé "système informatique") sur la manière de signaler à l'organisation ITER les vulnérabilités découvertes qui en découlent.

Les présentes lignes directrices définissent (i) le système informatique et ses activités de recherche, (ii) la manière de soumettre les rapports de vulnérabilité à l'organisation ITER et (iii) la période de remédiation que nous demandons aux chercheurs en sécurité de respecter.

Nous vous encourageons à nous contacter pour nous signaler d'éventuelles vulnérabilités affectant notre système informatique.

Méthodes de test

LES MÉTHODES DE TEST SUIVANTES NE SONT PAS AUTORISÉES :

Les tests de déni de service du réseau (DoS ou DDoS) ou d'autres tests qui empêchent l'accès à un système ou à des données ou qui les endommagent.
Tests physiques (par exemple, accès aux bureaux, portes ouvertes, filature), ingénierie sociale (par exemple, hameçonnage, hameçonnage vocal) ou tout autre test de vulnérabilité non technique.
Ne pas utiliser de scanners automatisés ou d'outils qui génèrent un trafic important sur le réseau.

Signaler une vulnérabilité

Si vous pensez avoir découvert une vulnérabilité du système informatique et que vous souhaitez la signaler, nous vous demandons d'envoyer une description détaillée de la vulnérabilité, sans informations sensibles, par courrier électronique à it-security to it-security@iter.org.

ITER Organization peut utiliser votre rapport à toute fin jugée pertinente, y compris, sans s'y limiter, dans le but de corriger les vulnérabilités et les erreurs qui ont été signalées et dont ITER Organization estime qu'elles existent et qu'elles doivent être corrigées. Dans la mesure où vous proposez des modifications et/ou des améliorations à un système informatique d'ITER Organization dans votre rapport, vous cédez à ITER Organization tous les droits d'utilisation et de propriété de votre rapport.

Vous vous engagez à ne divulguer à aucun tiers les informations relatives à votre rapport, les vulnérabilités et/ou erreurs signalées, ni le fait que des vulnérabilités et/ou erreurs ont été signalées à ITER Organization jusqu'à ce que nous vous en ayons informé.

Si vous communiquez vos coordonnées, ITER Organization ne les utilisera que pour vous contacter, au cas où des précisions seraient nécessaires sur les détails de votre rapport, ou pour vous en remercier ; il est donc important de fournir des coordonnées valables, telles qu'une adresse électronique.

Une fois la vulnérabilité du système informatique supprimée, le chercheur en sécurité en sera informé, à moins qu'il ne souhaite rester anonyme.

Nous prenons les problèmes de sécurité au sérieux et nous nous efforçons de les évaluer et de les traiter dans les meilleurs délais. Les délais de réponse dépendent de nombreux facteurs, notamment : la gravité, le produit concerné, le cycle de développement actuel, les cycles d'assurance qualité et le fait que le problème ne peut être mis à jour que dans une version majeure.

En communiquant à ITER Organization les résultats de ses recherches sur les vulnérabilités, le chercheur en sécurité reconnaît qu'il le fait à titre gracieux et sans attendre de compensation financière ou autre. Le chercheur en sécurité affirme également que ni lui ni aucune entité qu'il représente n'est complice de violations des droits de l'homme, ne tolère le travail forcé ou obligatoire ou le travail des enfants, ou ne répond pas aux objectifs et aux principes d'ITER Organization.

Questions

Les questions relatives à cette politique peuvent être envoyées à it-security@iter.org.