Divulgation coordonnée des vulnérabilités

Pour Viterra, la sécurité globale de nos systèmes en ligne est une priorité absolue. Malgré les efforts constants que nous consacrons à la sécurité des systèmes, des vulnérabilités peuvent subsister. Si vous constatez un risque de sécurité potentiel, veuillez nous en informer afin que nous puissions prendre des mesures pour y remédier.

Ce que vous devez faire:

1. Communiquer vos constatations en cliquant sur le lien suivant : https://app.zerocopter.com/en/cvd/623850a7-c366-4da7-849c-b011a6c6aa12
2. Signaler la vulnérabilité le plus rapidement possible pour limiter le risque de faille sécuritaire.
3. Formuler votre signalement de manière à préserver la confidentialité de votre rapport afin que d’autres personnes n’aient pas accès à cette information. Par exemple, ne pas partager le rapport et ne pas le téléverser sur un site Internet public.
4. Fournir suffisamment de détails pour que nous puissions reproduire le problème et le résoudre. Généralement, l’adresse IP ou l’URL du système affecté et une description de la vulnérabilité suffisent. Il est à noter toutefois que les vulnérabilités plus complexes peuvent nécessiter des explications supplémentaires.
5. Suivre scrupuleusement nos instructions pendant la période qui suit le signalement.

Ce que vous ne devez pas faire:

1. Enfreindre inutilement toute loi ou réglementation applicable, tant lors de l’enquête que lors du signalement d’une vulnérabilité ou d’un problème.
2. Révéler la vulnérabilité ou le problème à d’autres personnes tant que la situation n’est pas résolue.
3. Construire une porte dérobée dans nos systèmes d’information en ligne avec l’intention de l’utiliser pour démontrer la vulnérabilité. Cela peut occasionner des dommages supplémentaires et engendrer des risques inutiles pour la sécurité.
4. Exploiter une vulnérabilité plus que nécessaire pour établir son existence.
5. Abuser ou profiter de la vulnérabilité, notamment en téléchargeant, copiant, modifiant ou supprimant des données du système. Par exemple, au lieu de télécharger des données pour montrer l’étendue de la vulnérabilité, vous pouvez dresser une liste des répertoires du système.
6. Désorganiser le système, le modifier ou procéder à d’autres ajustements.
7. Obtenir de manière répétée l’accès au système ou partager l’accès avec d’autres personnes.
8. Recourir à des attaques par force brute, à des attaques contre la sécurité physique, à l’ingénierie sociale, au déni de service distribué, au pollupostage ou à des applications tierces pour obtenir l’accès au système.

Nos engagements:

• Nous répondrons à votre signalement le plus rapidement possible.
• Il est possible de présenter un rapport sous pseudonyme ou de manière anonyme.
• Nous vous tiendrons informé, dans la mesure du possible, de l’évolution de la résolution du problème.
• Au moment de publier des informations publiques concernant le problème signalé, nous pourrons vous mentionner en tant que responsable de la découverte dudit problème (sauf indication contraire de votre part).

Remarque:

Il n’est malheureusement pas possible de garantir à l’avance qu’aucune action en justice ne sera engagée contre vous. Nous espérons pouvoir étudier chaque situation individuellement. Nous nous estimons moralement obligés de vous dénoncer si nous soupçonnons une utilisation abusive de la vulnérabilité ou des données, ou si vous avez fait part à d’autres personnes de votre connaissance de la vulnérabilité. Nous vous garantissons qu’une découverte accidentelle de vulnérabilités dans notre environnement en ligne n’entraînera pas de poursuites judiciaires.