Soumettre une vulnérabilité

Toute personne est encouragée à signaler une vulnérabilité susceptible d’être exploitée lors de cyberattaques et, ainsi, de porter atteinte à la disponibilité, à l’intégrité ou à la confidentialité des systèmes et des infrastructures technologiques de Portage CyberTech.

À cette fin, nous adhérons aux principes de conditions d’engagement et à l’approche de divulgations établi par le Ministère de la Cybersécurité et du Numérique du gouvernement du Québec, lesquelles sont décrites ci-dessous.

Les motivations qui justifient votre intervention doivent être éthiques et avoir pour objectif de protéger ou d’améliorer les systèmes et les infrastructures technologiques de Portage CyberTech, incluant l’information que ces derniers détiennent.

En transmettant le formulaire de signalement de vulnérabilité, vous reconnaissez que vous avez agi de façon à contribuer de manière constructive à la cybersécurité, dans l’intérêt public et sans aucune intention malveillante – par exemple vous ne visez pas l’enrichissement personnel et vous ne faites pas d’espionnage dans le but de soutirer des renseignements confidentiels – puisque :

• vous avez signalé, le plus rapidement possible, une vulnérabilité découverte dans l’un des systèmes ou l’une des infrastructures technologiques de Portage CyberTech;
• vous n’avez fait aucun test dans l’intention de nuire à de tels systèmes et infrastructures ni à l’information détenue et n’avez pas exploité la vulnérabilité au-delà du minimum requis pour en démontrer l’existence;
• vous avez appliqué les mesures nécessaires pour protéger l’information dont vous avez pu avoir connaissance lors de votre intervention et n’avez pas porté atteinte à son intégrité;
• lors de votre intervention, vous n’avez pas utilisé, ni communiqué, ni conservé de données;
• vous ne contrevenez pas à une loi du Québec ou du Canada, et vous ne menez pas d’actes illicites tels que du piratage psychologique (ingénierie sociale), des tentatives d’hameçonnage, l’envoi de pourriels et des attaques par déni de service;
• vous avez demandé ou demanderez l’autorisation de Portage CyberTech bavant de rendre publics la vulnérabilité que vous avez trouvée et les détails de celle-ci, que ce soit sur les réseaux sociaux ou par l’entremise d’autres moyens de communication;
• vous n’exigerez aucune contrepartie pour votre intervention.

Portage CyberTech s’engage à ne pas entreprendre d’actions en justice ni à porter plainte contre vous en lien avec le signalement que vous effectuez, dans la mesure où vous respectez votre engagement. Il s’engage également à établir un dialogue ouvert et sécuritaire au sujet de votre signalement de vulnérabilité.

La méthode retenue pour signaler une vulnérabilité consiste à utiliser le formulaire de signalement de vulnérabilité. Vous pouvez transmettre le formulaire de façon anonyme.

Portage CyberTech prendra connaissance de tous les signalements qui lui seront faits, ainsi que de tous les rapports soumis.

Si vous lui transmettez les coordonnées pour vous joindre, Portage CyberTech pourrait vous contacter pour discuter de la vulnérabilité signalée.

Certains signalements de vulnérabilité pourraient, à la discrétion de Portage CyberTech, ne pas être retenus ni traités, dont :

• une vulnérabilité non exploitable;
• une recommandation de bonnes pratiques sur, notamment :
  • les entêtes de sécurité manquants,
  • la saisie de bannières;
• une anomalie d’interface utilisateur;
• une amélioration de l’expérience utilisateur;
• une faute d’orthographe;
• les rapports issus de balayages automatisés.