Politique de divulgation des vulnérabilités

Introduction

Le présent document constitue la Politique de divulgation des vulnérabilités de Barings. Avant de signaler des vulnérabilités, veuillez lire cette politique dans son intégralité afin de vous assurer de la comprendre et de la respecter.

Barings s’engage à :

  • analyser en détail et résoudre les problèmes de sécurité relatifs à notre plateforme et à nos services ;
  • collaborer avec la communauté de la sécurité ;
  • agir efficacement afin d’apporter des réponses rapides aux problèmes identifiés.

Cette page a été mise à jour pour la dernière fois le 30/03/2023.

Périmètre et recommandations

Vous NE devez PAS :

  • enfreindre une quelconque loi ou réglementation applicable ;
  • accéder à des données inutilement ou dans une mesure excessive ;
  • modifier des données relatives aux systèmes ou aux services de Barings ;
  • utiliser des outils d’analyse à haute intensité invasifs ou destructeurs afin d’identifier des vulnérabilités ;
  • tenter de vous livrer à ou signaler une quelconque forme de déni de service ;
  • perturber ou modifier des services ou des systèmes ;
  • soumettre des rapports concernant des vulnérabilités non exploitables ou le non-respect de bonnes pratiques ;
  • soumettre des rapports faisant état de faiblesses dans la configuration TLS, concernant par exemple la prise en charge d’une suite de chiffrement « faible » ;
  • rapporter des vulnérabilités par d’autres moyens que ceux décrits dans le fichier security.txt associé ;
  • procéder à des attaques d’ingénierie sociale, d'hameçonnage ou physiques contre le personnel ou l’infrastructure de l’entreprise ;
  • demander une compensation financière en échange de la divulgation de vulnérabilités.

Vous devez :

  • respecter les règles de protection des données et ne pas enfreindre la confidentialité de données détenues par Barings. Par exemple, vous ne devez pas partager ou diffuser des données extraites des systèmes de Barings ou obtenues dans le cadre de services fournis par Barings ;
  • effacer de manière sécurisée toutes les données devenues inutiles ou dans un délai de 1 mois à compter de la résolution d’une vulnérabilité, en fonction de la condition remplie en premier (ou selon d’autres conditions requises par la législation sur la protection des données).
Signaler une vulnérabilité

Si vous identifiez une vulnérabilité relevant selon vous de la présente politique de divulgation, vous devez dans un premier temps vérifier les informations ci-dessus pour vous assurer de la portée de cette politique avant de soumettre un rapport selon les modalités indiquées.

Ce rapport doit :

  • indiquer le site Internet ou la page où la vulnérabilité peut être observée ;
  • comporter une brève description du type de vulnérabilité.

Dans la mesure du possible, votre rapport doit contenir une preuve d’exploitation non destructive, ce qui permettra de faire en sorte qu’il soit analysé rapidement et avec précision, et réduira également la probabilité de signalement en double ou d’exploitation malveillante de certaines vulnérabilités, telles que les détournements de sous-domaines.

Veuillez envoyer vos constatations à l’adresse suivante : baringscyber@barings.com.

Prime aux bogues

Nous sommes reconnaissants à celles et ceux qui prennent soin de signaler des failles de sécurité conformément à la présente politique. Cependant, nous n’octroyons pas de récompenses financières en contrepartie des vulnérabilités rapportées.

Étapes ultérieures

Une fois votre rapport de vulnérabilité soumis, vous recevrez un accusé de réception, généralement dans un délai de 5 jours ouvrables à compter de la réception de votre rapport.  Barings analysera la vulnérabilité rapportée et vous répondra dès que possible en vous indiquant si des informations supplémentaires sont nécessaires, si la vulnérabilité entre ou non dans le champ d’application de la politique ou si elle a déjà été signalée.

Aspects juridiques

La présente politique est conçue pour être compatible avec les bonnes pratiques courantes en matière de divulgation des vulnérabilités. Elle ne vous autorise pas à agir de façon contraire à la loi ou d’une manière qui puisse amener Barings ou l’une quelconque de ses entreprises partenaires à manquer à ses obligations légales.