Politique de divulgation responsable
Callebaut s'engage à protéger la confidentialité des données personnelles de ses clients et de ses collaborateurs, ainsi que la disponibilité de ses systèmes d'information. La présente politique a pour objectif de fournir aux chercheurs en sécurité des directives claires concernant la conduite de leurs activités de détection de vulnérabilités et de préciser nos préférences quant à la manière de nous signaler les vulnérabilités découvertes afin que nous puissions les examiner. Nous vous encourageons à nous contacter pour signaler toute vulnérabilité constatée sur nos sites Web et dans nos systèmes.
Si vous vous efforcez de bonne foi de respecter la présente politique dans le cadre de vos recherches en matière de sécurité, nous considérerons que vos recherches sont autorisées. Nous collaborerons avec vous afin de comprendre et de résoudre rapidement les problèmes signalés. Callebaut ne recommandera ni n'engagera de poursuites judiciaires liées à vos recherches.
Veuillez noter que Callebaut ne dispose pas de programme de prime aux bogues et n’offre aucune récompense ni compensation en échange du signalement de problèmes de sécurité potentiels ou de vulnérabilités.
Lignes directrices
Callebaut propose les lignes directrices suivantes à l'intention des chercheurs susceptibles de signaler une vulnérabilité ou de mener des recherches légitimes. Dans le cadre de cette politique, le terme « recherche » désigne les activités dans lesquelles vous :
- Nous informez dès que possible après avoir découvert un problème de sécurité réel ou potentiel
- Faites tout votre possible pour éviter toute atteinte à la vie privée, toute dégradation de l’expérience utilisateur, toute perturbation des systèmes de production ainsi que toute destruction ou manipulation des données
- N’utilisez les exploits que dans la mesure nécessaire pour confirmer la présence d’une vulnérabilité
- N’utilisez pas d’exploit pour compromettre ou exfiltrer des données, établir un accès non autorisé persistant ou utiliser l’exploit pour accéder à d’autres systèmes
- Accordez-nous un délai raisonnable pour résoudre le problème avant de le divulguer publiquement
Une fois que vous avez établi l’existence d’une vulnérabilité ou que vous avez rencontré des données sensibles (y compris des informations personnelles identifiables, des informations financières, des informations exclusives ou des secrets d’affaires de toute partie), vous devez interrompre votre test, nous en informer immédiatement et ne divulguer ces données à personne d’autre.
Signaler une vulnérabilité
Veuillez envoyer un e-mail à cybersecurity@barry-callebaut.com pour signaler une vulnérabilité. Afin de nous aider à trier et à hiérarchiser les signalements, nous vous recommandons d’inclure les éléments suivants dans votre rapport :
- La date à laquelle la vulnérabilité ou le problème a été identifié
- Une description du système ou du produit pour lequel la vulnérabilité a été découverte
- Décrivez les étapes nécessaires pour reproduire la vulnérabilité
- Toute suggestion ou idée de correction pour remédier à la vulnérabilité
- Callebaut s'engage à accuser réception de toutes les signalements dans un délai de 3 jours ouvrés et vous remercie de votre participation.
Champ d'application
Ce programme s'applique à l'ensemble des sites Web de Callebaut détenus ou exploités sous licence par la société ; à tous les systèmes d'entreprise accessibles via Internet ; ainsi qu'aux produits connectés à Internet et aux applications mobiles associées. Le programme n'inclut pas :
- les campagnes d’ingénierie sociale ou d’hameçonnage visant les employés de Callebaut
- Les attaques par déni de service (DoS) visant les sites web ou les applications métier de Callebaut
- Toute autre activité non autorisée à caractère malveillant
Veuillez contacter Callebaut à l’adresse cybersecurity@barry-callebaut.com pour toute question concernant ce programme ou pour signaler une vulnérabilité.
Nous nous réservons le droit de modifier le contenu de la présente Politique à tout moment ou d’y mettre fin.
Foire aux questions
-
Quels sont les éléments qu'il n'est pas nécessaire de signaler ?
- Sender Policy Framework (SPF), suggestions de configuration DKIM et DMARC
- Formulaires de contact sans limite de soumission
- Divulgation de fichiers ou répertoires publics connus (par ex. robots.txt)
- Divulgation de bannières sur des services courants/publics sans preuve de concept (PoC)
- Configurations des en-têtes de sécurité ou en-têtes manquantes
- Absence des indicateurs « Secure » et « HTTPOnly » sur les cookies non sensibles
-
Que faites-vous de mes données personnelles ?
Chez Callebaut, nous accordons également une grande importance à la confidentialité. Conformément aux normes de protection des données telles que le RGPD, nous ne conservons qu’un minimum d’informations vous concernant, pendant une durée limitée et dans le seul but de communiquer avec vous.
Par conséquent, lorsque vous communiquez avec nous, nous recueillons votre nom (ou le pseudonyme que vous avez choisi) et votre adresse e-mail. Ce sont les seules informations personnelles dont nous avons besoin. Nous conservons ces informations tant que nous traitons votre signalement responsable. Une fois le dossier clos, nous conserverons vos données pendant un an à compter de la date de clôture. Passé ce délai, nous supprimons vos données.
-
Quand vais-je avoir de vos nouvelles après avoir signalé un fait ?
Votre signalement devrait faire l'objet d'un accusé de réception dans un délai raisonnable, généralement dans les 72 heures. Le signalement devra ensuite être validé, après quoi nous vous recontacterons, en règle générale dans les 10 jours ouvrés. Veuillez noter que nous ne serons peut-être pas en mesure de répondre aux signalements de mauvaise qualité.
-
Vous recrutez ?
Nous recherchons en permanence des professionnels qualifiés dans le domaine de la sécurité ! N'hésitez pas à consulter nos offres d'emploi à l'adresse https://jobs.barry-callebaut.com/.
-
Puis-je publier des informations concernant cette faille de sécurité après l'avoir signalée ?
Nous demandons que toutes les divulgations restent confidentielles afin de protéger notre communauté. Dans des circonstances très spécifiques, et concernant des divulgations majeures, nous pouvons envisager une communication publique commune. Toutefois, cela doit faire l’objet d’un accord préalable à l’adresse cybersecurity@barry-callebaut.com.