Politique sur la communication des vulnérabilités de CPA Canada
Nous avons établi une procédure cohérente et sécuritaire pour vous permettre de communiquer les vulnérabilités de CPA Canada. En voici les détails.
-
1. Introduction
- La présente politique sur la communication des vulnérabilités vise à établir une procédure cohérente et sécuritaire permettant aux intervenants (par exemple, les chercheurs dans le domaine de la sécurité) de communiquer les vulnérabilités soupçonnées de CPA Canada en matière de sécurité. Nous sommes déterminés à améliorer en permanence la sécurité de notre organisation et, plus particulièrement, celle de nos actifs informationnels (par exemple, nos sites Web, nos réseaux et nos services en ligne).
- 1.1. Portée : La présente politique sur la communication des vulnérabilités s’applique à toute vulnérabilité dont vous comptez faire rapport à CPA Canada (« l’organisation »).
- 1.2. Conformité : Nous vous recommandons de lire la présente politique sur la communication des vulnérabilités dans son intégralité avant de faire rapport d’une vulnérabilité, et de toujours agir conformément à celle-ci.
- 1.3. Position de CPA Canada : Nous remercions ceux qui consacrent du temps et des efforts à faire rapport des vulnérabilités de l’organisation en matière de sécurité conformément à la présente politique. Cependant, nous n’offrons pas de contrepartie financière à la communication de vulnérabilités.
-
2. Rapport
- 2.1. Si vous pensez avoir repéré une vulnérabilité sur le plan de la sécurité, veuillez nous en faire rapport à l’adresse courriel suivante : soc à cpacanada point ca.
- 2.2. Dans votre rapport, veuillez inclure les informations suivantes :
- 2.2.1. Le site Web, l’adresse IP ou la page Web où la vulnérabilité a été observée.
- 2.2.2. Une brève description du type de vulnérabilité, par exemple « vulnérabilité XSS ».
- 2.2.3. Les étapes à suivre pour la retrouver. Il s’agit de démontrer l’existence de la vulnérabilité de manière inoffensive et non destructive. Le rapport pourra ainsi être trié avec rapidité et exactitude. Les risques de rapports en double ou d’exploitation malveillante de certaines vulnérabilités, comme la prise de contrôle de sous-domaines, seront aussi réduits.
-
3. À quoi s’attendre
- 3.1. Après que vous avez soumis votre rapport, l’équipe chargée de la cybersécurité de CPA Canada en accusera réception dans les cinq jours ouvrables et en effectuera le tri dans les dix jours ouvrables. Elle fera tout en son possible pour vous informer de l’avancement du traitement de votre signalement.
- 3.2. L’équipe évaluera le caractère prioritaire de la correction en analysant l’incidence et la sévérité de la vulnérabilité, et la complexité de l’exploitation de celle-ci. Le tri et le traitement des rapports de vulnérabilité peuvent nécessiter un certain temps. N’hésitez pas à vous enquérir du statut de votre rapport, mais évitez de le faire plus d’une fois tous les 14 jours. Notre équipe pourra ainsi se concentrer sur la correction à apporter.
- 3.3. Nous vous aviserons lorsque la vulnérabilité en question aura été corrigée. Vous pourriez être invité à confirmer que la solution est adéquate.
- 3.4. Une fois que la vulnérabilité dont vous avez fait rapport aura été corrigée, ce dernier pourra faire l’objet d’une demande de communication. Comme nous souhaitons uniformiser les directives fournies aux utilisateurs touchés, veuillez nous consulter avant de communiquer le rapport au public.
-
4. Instructions
-
4.1. Vous NE DEVEZ PAS :
- 4.1.1. Enfreindre les lois ou les règlements applicables.
- 4.1.2. Accéder à des quantités de données superflues, excessives ou importantes.
- 4.1.3. Modifier les données des systèmes ou des services de l’organisation.
- 4.1.4. Utiliser des outils d’analyse à intensité élevée invasifs ou destructeurs pour trouver des vulnérabilités.
- 4.1.5. Chercher à créer une forme quelconque de déni de service ou en faire rapport, par exemple en saturant un service par un volume élevé de demandes.
- 4.1.6. Perturber les services ou les systèmes de l’organisation.
- 4.1.7. Soumettre des rapports présentant des vulnérabilités inexploitables, ou des rapports indiquant que les services ne s’arriment pas complètement aux « meilleures pratiques », par exemple l’absence d’en-têtes de sécurité (security headers).
- 4.1.8. Soumettre des rapports détaillant les faiblesses de la configuration TLS, par exemple la faiblesse du chiffrement ou l’utilisation de TLS1.0.
- 4.1.9. Communiquer des vulnérabilités ou des informations connexes en utilisant d’autres moyens que ceux indiqués dans la norme security.txt.
- 4.1.10. Manipuler, hameçonner ou attaquer physiquement le personnel ou l’infrastructure de l’organisation.
- 4.1.11. Exiger une contrepartie financière pour communiquer des vulnérabilités.
-
4.2. Vous devez :
- 4.2.1. Vous conformer en tout temps aux règles de protection des données, préserver la confidentialité des renseignements personnels des utilisateurs, du personnel et des travailleurs indépendants de l’organisation, ainsi que protéger les informations relatives aux services ou aux systèmes de cette dernière. Vous ne devez pas, par exemple, partager, redistribuer ou omettre de sécuriser des données récupérées de manière adéquate dans les systèmes ou les services.
- 4.2.2. Supprimer de façon sécuritaire les données récupérées au cours de vos recherches à la première des éventualités suivantes (ou conformément aux dispositions des lois sur la protection des données) : dès que vous n’en avez plus besoin ou dans le mois qui suit la correction de la vulnérabilité.
-
5. Aspects juridiques
- La présente politique est conçue pour être compatible avec les pratiques exemplaires courantes en matière de communication des vulnérabilités. Elle ne vous autorise pas à agir d’une manière qui n’est pas conforme à la loi ou qui pourrait amener l’organisation ou les organisations partenaires à enfreindre toute obligation juridique.
-
6. Remerciements
- Au nom des divers intervenants du milieu de la sécurité informatique, CPA Canada remercie les personnes ci-dessous de lui avoir communiqué des informations de manière responsable et reconnaît leur contribution à l’amélioration des normes de sécurité :
- Ayush Pandey