Brussels Airlines Déclaration de responsabilité

Déclaration de responsabilité

Chez Brussels Airlines, sécurité et continuité des services en ligne sont des priorités. Nos spécialistes travaillent en permanence à l’optimisation de nos systèmes et processus, mais malgré tous les efforts que nous déployons pour sécuriser nos systèmes, des failles peuvent encore exister.

Nous étudions en détail tous les signalements de failles en matière de sécurité touchant notre présence sur le Web. Si vous êtes chercheur en sécurité et que vous pensez avoir détecté une faille de sécurité, veuillez nous aider en la signalant afin que nous puissions travailler ensemble pour améliorer la sécurité et la fiabilité de nos systèmes.

Vous pouvez signaler les failles en rejoignant le programme de bug bounty d’Intigriti et en vous inscrivant en tant que chercheur :
https://www.intigriti.com

Intigriti est une plateforme de sécurité collaborative qui rassemble des chercheurs et des entreprises de sécurité. En tant que plateforme éthique de piratage et de bug bounty, Intigriti vise à identifier et traiter les failles à moindre coût. La plateforme facilite la mise en ligne de tests de sécurité en collaborant avec des chercheurs expérimentés.

Puis-je être récompensé pour mon rapport ?

En tant que chercheur Intigriti, vous pouvez gagner de belles sommes d’argent. Si vous êtes prêt à rendre publiques vos activités de piratage responsable, vous pouvez recevoir des récompenses financières. Intigriti vous récompense pour chaque bug que vous détectez et soumettez avant les autres chercheurs. Veuillez noter qu’Intigriti n’accepte pas les inscriptions de chercheurs anonymes.

Nous vous remercions

Si votre rapport de faille est valide et que vous souhaitez être reconnu pour votre contribution, nous vous ajouterons volontiers à notre « Brussels Airlines InfoSec Hall of Fame », en inscrivant ou non votre nom. Nous ne vous ajouterons bien sûr à notre « Hall of Fame » que si vous le demandez explicitement.

Puis-je signaler une faille de manière anonyme ?

Si vous préférez ne pas communiquer votre nom et vos coordonnées, vous pouvez signaler une faille directement à Brussels Airlines. Toutefois, vous devez savoir que sans ces informations, nous ne serons pas en mesure de discuter avec vous des prochaines étapes ou de vous ajouter à notre « Hall of Fame ».

Pour nous signaler directement une faille, veuillez envoyer un e-mail à notre équipe de sécurité :
InfoSec@brusselsairlines.com

Nos spécialistes liront votre rapport et commenceront tout de suite à y travailler.

Veuillez vous assurer que votre e-mail est clair et succinct. Veillez à inclure en particulier les informations suivantes :

  • la description de la faille ou du risque découvert ;
  • la preuve de la découverte (par ex., preuve du concept, vidéo, capture d’écran, etc.) ;
  • les étapes que vous avez suivies ;
  • l’URL complète ;
  • les objets éventuellement impliqués.

Exemples de failles :

  • failles de type cross-site scripting (XSS) ;
  • failles par injection SQL ;
  • exécution de codes à distance ;
  • bypass d’authentification ;
  • failles de chiffrement.

Règles de test de faille

Afin que vos tests restent légaux, vous devez vous abstenir d’utiliser des techniques invasives ou destructrices. Respectez toujours ces règles :

  • ne perturbez pas nos services en ligne ;
  • n’utilisez pas de techniques pouvant influencer la disponibilité de nos services en ligne ;
  • n’apportez aucune modification au système ;
  • ne modifiez ou ne supprimez aucune donnée dans le système ;
  • si votre découverte nécessite une copie de données du système, ne copiez pas plus que ce que votre enquête exige. Si un enregistrement suffit, ne copiez pas davantage ;
  • ne rendez publique aucune donnée client ou commerciale ;
  • ne créez pas de porte dérobée (backdoor) dans un système ;
  • n’essayez pas de pénétrer le système plus que nécessaire. Si vous réussissez à pénétrer dans le système, ne partagez pas l’accès acquis avec d’autres personnes ;
  • n'utilisez pas de techniques de force brute (p. ex. saisie répétée de mots de passe) pour accéder au système ;
  • n’utilisez pas l’ingénierie sociale pour accéder à nos systèmes informatiques.

Directives de signalement des failles

Pour obtenir le meilleur résultat possible, veuillez suivre les directives suivantes :

  • créez votre rapport en néerlandais, en français ou en anglais. Les rapports rédigés dans d’autres langues ne seront pas traités ;
  • donnez-nous suffisamment de détails pour nous permettre de reproduire la faille ;.
  • laissez-nous suffisamment de temps pour corriger la faille avant de rendre toute information publique ;
  • consultez-nous avant de rendre toute information publique ;
  • ne demandez pas à Brussels Airlines de vous dédommager pour votre rapport.

Notre engagement par rapport au signalement de failles

Vous pouvez attendre de nous les engagements suivants :

  • nous vous informerons que nous avons reçu votre rapport ;
  • nous vous donnerons une estimation du temps que prendra la correction ;
  • nous vous indiquerons quand nous aurons corrigé la faille.

Votre vie privée

Vos informations personnelles ne seront utilisées que pour vous contacter au sujet de votre rapport de faille. Nous ne transmettrons pas vos informations personnelles à des tiers sans votre autorisation. Si la loi exige que nous fournissions vos informations personnelles à une autorité, nous nous assurerons que l'autorité compétente traite ces informations de manière confidentielle. Nous demeurerons responsables de vos informations personnelles.

Merci de votre aide.
Équipe de sécurité de l’information - Brussels Airlines

Dernière mise-à-jour: mars 2019