Vulnerability Disclosure Policy (VDP)

Périmètre (scope) 

Le périmètre inclut l’ensemble des valeurs patrimoniales numériques dont la Mobilière est propriétaire, qu’elle exploite ou qu’elle gère. 

Hors périmètre 

Veuillez noter que:

• nous avons recours aux services d’autres entreprises et/ou sociétés pour certains éléments de nos systèmes et de notre infrastructure;
• que certains systèmes de notre infrastructure ne sont pas sous notre contrôle direct.

Les vulnérabilités identifiées ou suspectées dans ces systèmes doivent être signalées au fournisseur ou à l’autorité compétente. Si un signalement devait néanmoins nous parvenir par ce canal, nous le transmettrions à la société correspondante. Le propriétaire du système informatique concerné demeure responsable de son système et des mesures à prendre pour éliminer la vulnérabilité.

Notre engagement 

Durant votre collaboration dans le cadre de la présente Politique, vous pouvez attendre de notre part:

• une réaction rapide, confirmant la réception du signalement;
• une collaboration proactive pour comprendre et valider le signalement;
• un dialogue ouvert pour discuter des éventuels problèmes ou enjeux;
• une élimination rapide des vulnérabilités découvertes;
• une estimation du temps nécessaire au traitement du signalement;
• un point sur l’avancement du processus d’élimination de la vulnérabilité;
• une notification lorsque la vulnérabilité a été éliminée;
• une reconnaissance, si vous êtes la première personne à signaler une vulnérabilité inconnue et que ce signalement implique une modification du code ou de la configuration;
• une disposition Legal Safe Harbor dans la présente Politique, afin de permettre la détection proactive de vulnérabilités.

Nos attentes 

En participant au Vulnerability Disclosure Program, vous vous engagez à:

• respecter les règles et directives décrites dans la présente Politique;
• ne pas violer les lois en vigueur, dans le cadre de cette collaboration et des signalements qui en découlent;
• nous signaler sans attendre toute vulnérabilité détectée;
• ne pas exploiter, ni utiliser les vulnérabilités détectées à d’autres fins qu’à celle de leur signalement;
• respecter la sphère privée d’autrui, ne pas perturber nos systèmes, ne pas détruire des données et ne pas nuire aux autres utilisateurs des systèmes;
• utiliser exclusivement les canaux officiels de signalement pour échanger avec nous des informations relatives aux vulnérabilités;
• garantir la confidentialité des détails relatifs aux vulnérabilités détectées, conformément à la présente Politique;
• lorsqu’une vulnérabilité permet un accès non intentionnel aux données: limiter l’accès au strict nécessaire pour démontrer la faille, ajuster le test et procéder à un signalement immédiat;
• interagir uniquement avec des comptes tests qui vous appartiennent ou pour lesquels vous avez reçu une autorisation expresse du titulaire du compte;
• ne pas poser d’exigences en lien avec le signalement;
• nous accorder un délai raisonnable (90 jours à compter du premier signalement) pour remédier au problème;
• coordonner avec nous une éventuelle divulgation de la vulnérabilité. 

La Mobilière n’autorise aucun des types de tests de sécurité ci-après

Nous vous encourageons à nous signaler les vulnérabilités que vous découvrez. Dans le cadre de cette Politique, les activités suivantes sont néanmoins strictement proscrites:

• effectuer des opérations qui pourraient nuire à nos systèmes ou nos clients (p. ex. hameçonnage, spams, attaques par force brute, dénis de service, etc.);
• détruire, endommager ou modifier des données ou des informations qui ne vous appartiennent pas, ou procéder à de telles tentatives;
• mener des attaques, physiques ou autres, sur notre personnel, notre propriété, nos bâtiments ou notre infrastructure;
• recourir à l’ingénierie sociale contre nos collaboratrices et collaborateurs, nos clientes et clients ou nos mandataires.

Communication coordonnée des vulnérabilités (CVD)

Nous apprécions les efforts déployés par les chercheurs en sécurité externes qui identifient les failles de sécurité et les divulguent de manière responsable afin que nous puissions les éliminer. Notre Politique autorise la publication de ces failles pour autant que les conditions suivantes soient remplies (Coordinated Vulnerability Disclosure):

• L’auteur du signalement est tenu de ne pas divulguer la vulnérabilité avant que nous ayons confirmé son élimination et que nous ayons accepté une telle communication.
• Une publication est autorisée à l’échéance d’un délai de 90 jours, pour autant qu’elle soit coordonnée avec nous.
• Les détails exacts du problème ne doivent pas être publiés, p. ex. exploits ou code de démonstration de faisabilité.

Canaux officiels 

Veuillez signaler les vulnérabilités au moyen du lien https://app.bugbounty.ch/public/engagement/details/470451ae-a71a-4b88-b86e-7d66601b3536 en mentionnant toutes les informations pertinentes. N’envoyez aucun rapport au moyen d’outils automatisés sans l’avoir au préalable vérifié. Plus vous nous livrerez de détails, plus il sera aisé pour nous d’analyser le problème, de le supprimer et de vous remercier de votre engagement:

• Descriptif technique de la vulnérabilité, incluant:
  • informations sur le navigateur utilisé (type et version)
  • informations pertinentes sur les composants et appareils liés
  • plateforme(s) et URL(s) concernés
• Code exemple pour la démonstration de la vulnérabilité et/ou étapes détaillées pour la reproduire
• Évaluation de la menace/des risques
• Date et heure de la détection
• Informations de contact
• Éventuels plans relatifs à une publication, si celle-ci est envisagée

Attention, ces canaux sont exclusivement réservés au signalement de vulnérabilités non encore publiées et ne sont pas destinés à des demandes d’assistance ou d’informations. Les demandes qui ne concernent pas de telles vulnérabilités ne sont pas traitées.

Disposition Legal Safe Harbor 

• Nous ne procéderons à aucune dénonciation auprès de l’autorité de poursuite pénale ni n’entamerons aucune procédure de droit civil contre les participantes et participants à ce programme qui violeraient la présente Politique de manière non intentionnelle et en toute bonne foi.
• Nous ne considérons pas les activités menées par les participantes et participants conformément à cette Politique comme des accès indus au sens du code pénal suisse. Sont en particulier visés les articles 143, 143bis et 144bis du code pénal suisse.
• Nous ne dénoncerons pas les participantes et participants qui tentent de contourner les mesures de sécurité mises en place afin de protéger les services cités dans cette Politique.
• Si un tiers devait entamer une procédure judiciaire contre un participant ayant agi conformément à la présente Politique, nous prendrions les mesures nécessaires pour prouver aux autorités que les actions de ce participant sont conformes à la présente Politique.
• Des violations minimes pourront donner lieu à un avertissement. En cas de violations graves, nous nous réservons le droit d’en aviser les autorités pénales.

Vous avez comme toujours l’obligation de respecter les lois en vigueur. Si, à un moment ou à un autre, vous avez des hésitations ou n’avez plus la certitude que vos tests et activités sont conformes à cette Politique, veuillez nous aviser au moyen de nos canaux officiels avant de poursuivre vos activités.

Veuillez noter que les dispositions Legal Safe Harbor ne s’appliquent qu’aux prétentions juridiques du ressort de Mobilière Suisse Société d’assurances SA, Mobilière Suisse Société d’assurances sur la vie SA, Mobilière Suisse Services SA, Mobilière Suisse Asset Management SA, Protekta Assurance de protection juridique SA, Mobilière Suisse Risk Engineering SA, Mobi24 SA et XpertCenter SA, et que cette Politique n’engage pas les tiers indépendants.

La présente Politique est soumise au droit suisse. Le for exclusif pour tout litige en résultant ou s’y rapportant est Berne, Suisse. Sous réserve de fors obligatoires.

Signaler une vulnérabilité