Que cherchez-vous ?
Soucieux d’améliorer la capacité de performance et la sécurité de ses réseaux et systèmes informatiques, l’hôpital Jan Yperman a décidé d’instituer une politique de signalement éthique des vulnérabilités (également connue sous l’appellation « Responsible Disclosure Policy »). Les participants bien intentionnés peuvent ainsi détecter d’éventuelles vulnérabilités dans les systèmes, l’équipement et les produits de l’hôpital Jan Yperman ou nous communiquer toute information découverte concernant une vulnérabilité.
Notre politique concerne les failles de sécurité exploitables par des tiers ou susceptibles de nuire au bon fonctionnement de nos produits, services, réseaux ou systèmes informatiques.
Le participant est également habilité à saisir ou à tenter de saisir des données informatiques dans notre système informatique, dans le respect des finalités et des conditions de la présente politique.
Liste des produits, services ou sites Web relevant du champ d’application de la présente politique :
Les systèmes tributaires de tiers ne relèvent pas du champ d’application de la présente politique, sauf si ces tiers ont préalablement et expressément déclaré consentir à ces règles.
Pour toute question relative au champ d’application de la présente politique, le participant est invité à nous contacter à l’adresse security@yperman.net.
Le participant s’engage à respecter scrupuleusement le principe de proportionnalité dans toutes ses activités, à savoir ne pas perturber la disponibilité des services fournis par le système et ne pas exploiter la vulnérabilité au-delà de ce qui est strictement nécessaire à la révélation du problème de sécurité. Son attitude doit rester proportionnée : dès lors que le problème a été mis en évidence à petite échelle, il doit s’abstenir d’aller plus loin.
Notre politique n’a pas pour objectif de rendre possible la consultation intentionnelle du contenu de données informatiques, de données de communication ou de données à caractère personnel, et pareille consultation ne peut avoir lieu que de manière fortuite dans le cadre de la recherche de vulnérabilités.
Les actions suivantes sont interdites au participant :
Si le participant souhaite faire appel à un tiers pour mener à bien ses recherches, il doit veiller à ce que ce tiers prenne préalablement connaissance de la présente politique et consente à respecter les conditions de celle-ci lorsqu’il apporte son aide.
Le participant ne peut en aucun cas partager avec des tiers ou diffuser auprès de tiers des informations qu’il a collectées dans le cadre de notre politique sans l’autorisation préalable et expresse de l’hôpital Jan Yperman.
Il est également interdit de communiquer à des tiers ou de diffuser auprès de tiers des données informatiques, de communication ou à caractère personnel.
Si cette vulnérabilité est susceptible de toucher d’autres organisations en Belgique, le participant ou l’organisation responsable peut néanmoins la signaler au CCB (vulnerabilityreport@cert.be).
L’hôpital Jan Yperman s’engage à mettre en œuvre la présente politique de bonne foi et à s’abstenir de toute poursuite civile ou pénale à l’encontre du participant qui en respecte les conditions.
Il ne peut être question d’intention frauduleuse, d’intention de nuire ou de volonté d’exploiter ou de causer des dommages au système visité ou à ses données dans le chef du participant. Il en va de même pour les systèmes tiers en Belgique ou à l’étranger.
En cas de doute concernant certaines conditions de notre politique, le participant est tenu de consulter au préalable notre point de contact et d’obtenir son accord écrit avant d’agir.
Le traitement de données à caractère personnel a une signification large et comprend notamment l’enregistrement, la modification, la recherche, la consultation, l’utilisation ou la transmission de toute donnée relative à une personne physique identifiée ou identifiable. Le caractère « identifiable » de la personne ne dépend pas de la seule volonté du sous-traitant d’identifier cette personne mais de la possibilité d’identifier directement ou indirectement la personne à partir de ces données (ex. : une adresse e-mail, un numéro d’identification, un identifiant en ligne, une adresse IP ou encore des données de localisation).
La politique de divulgation coordonnée des vulnérabilités (CVDP) ne vise pas à traiter intentionnellement des données à caractère personnel. Il est toutefois possible que le participant ait accès, même fortuitement, à des données à caractère personnel stockées, traitées ou transmises dans le système informatique concerné. Il peut également s’avérer nécessaire que le participant doive temporairement consulter, collecter ou utiliser des données à caractère personnel dans le cadre de la détection des vulnérabilités. Le participant doit, dans ce cas, en informer le délégué à la protection des données de l’hôpital Jan Yperman : dpo@yperman.net.
Le participant s’engage à respecter les obligations légales en matière de protection des données à caractère personnel[1] ainsi que les conditions de la présente politique lors du traitement de pareilles données.
Le participant peut faire appel à un tiers pour ses recherches. Il doit veiller à ce que ce tiers prenne préalablement connaissance de la présente politique et consente, dans le contexte de l’assistance qu’il fournit, à en respecter les conditions, y compris en matière de confidentialité et de mise en œuvre de mesures de sécurité appropriées. Le participant reconnaît qu’il reste intégralement responsable à l’égard de l’hôpital Jan Yperman si le tiers auquel il fait appel ne respecte pas ses obligations en matière de protection des données.
Vous devez envoyer les informations découvertes exclusivement à l’adresse e-mail suivante : security@yperman.net.
Veuillez nous communiquer suffisamment d’informations pour que nous puissions reproduire le problème et le résoudre dans les meilleurs délais.
Transmettez vos données de contact afin que l’hôpital Jan Yperman puisse prendre contact avec le participant pour parvenir conjointement à un résultat sûr. Communiquez au minimum votre nom et votre adresse e-mail. La transmission sous pseudonyme est possible, mais veillez à ce que l’hôpital Jan Yperman puisse contacter le participant si des questions ou des informations complémentaires sont nécessaires.
Nous demandons au participant de nous transmettre ces informations en néerlandais.
Nous demandons au participant d’utiliser des moyens de communication sécurisés dans toute la mesure du possible. La clé PGP publique est disponible sur https://yperman.net/.well-known/pgp-publickey.txt. Veuillez transmettre une clé publique propre lors de la communication.
Lorsqu’un participant découvre des informations relatives à une vulnérabilité potentielle, il doit, dans la mesure du possible, effectuer préalablement des contrôles visant à confirmer l’existence de cette vulnérabilité et à identifier les risques éventuels.
Le participant s’engage à transmettre les informations techniques relatives aux vulnérabilités éventuelles au point de contact désigné dans la présente politique dès que possible.
L’hôpital Jan Yperman s’engage à envoyer au participant un accusé de réception lorsqu’il reçoit un signalement et à lui communiquer les étapes suivantes de la procédure.
Les parties s’engagent à tout mettre en œuvre pour garantir une communication permanente et efficace. Les renseignements fournis par le participant peuvent en effet s’avérer très utiles pour identifier la vulnérabilité et y remédier.
Durant la phase d’enquête, l’hôpital Jan Yperman reproduira l’environnement et le comportement signalé pour vérifier les informations communiquées.
L’hôpital Jan Yperman s’engage à tenir le participant régulièrement informé des résultats de l’enquête et des suites données à ses signalements.
Au cours de cette procédure, les parties veilleront à faire le lien avec des notifications similaires ou connexes, à évaluer le risque et la gravité de la vulnérabilité et à identifier les éventuels produits ou systèmes concernés.
La politique de divulgation vise à permettre le développement d’une mesure d’atténuation destinée à éliminer la vulnérabilité du système informatique avant la survenance d’un dommage.
L’hôpital Jan Yperman tâchera d’appliquer une mesure d’atténuation dans les meilleurs délais, en tenant compte de l’état actuel de la technique, des coûts de mise en œuvre, de la gravité des risques pour les utilisateurs et des contraintes techniques.
Au cours de cette phase, l’hôpital Jan Yperman et ses partenaires s’engagent, à effectuer, d’une part, des tests positifs destinés à vérifier si la solution d’atténuation fonctionne correctement et, d’autre part, des tests négatifs pour s’assurer que la solution ne perturbe pas le bon fonctionnement des autres fonctionnalités existantes.
L’hôpital Jan Yperman décidera, en concertation avec le participant, de la manière dont l’existence de la vulnérabilité sera éventuellement rendue publique. Cette publication peut avoir lieu au plus tôt en même temps que la mise en œuvre d’une mesure d’atténuation et la diffusion d’un avis de sécurité adressé aux utilisateurs.
L’hôpital Jan Yperman s’engage également à recenser les remarques des utilisateurs concernant la mise en œuvre de la mesure d’atténuation et à prendre les mesures correctives qui s’imposent pour résoudre les éventuels problèmes causés par cette mesure, entre autres en matière de compatibilité avec d’autres produits ou services.
Si, après l’élimination de la vulnérabilité, vous souhaitez faire une publication à ce sujet, nous demandons au participant de nous en informer au minimum un mois avant la publication et de nous donner la possibilité d’y réagir. Nous identifier, directement ou indirectement, dans une publication n’est possible que moyennant l’accord exprès de l’hôpital Jan Yperman.
Nous vous offrons la possibilité d’apparaître dans notre « Hall of Fame » en guise de remerciement pour chaque signalement d’un problème de sécurité qui nous était encore inconnu.
Le droit belge s’applique aux litiges liés à la mise en œuvre de la présente politique.
Les règles de la politique s’appliquent à compter du 18 avril 2026 jusqu’à leur éventuelle modification ou abrogation par l’hôpital Jan Yperman.
Nous nous réservons le droit de modifier le contenu de la présente politique ou de mettre fin à celle-ci à tout moment.
….
(noms par ordre chronologique à dater du premier signalement)
[1] Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD – Règlement général sur la protection des données).
[2] Une « violation de données à caractère personnel » est une violation de la sécurité entraînant une destruction, une perte, une altération, une divulgation non autorisée ou un accès non autorisé, de manière accidentelle ou illicite, à des données à caractère personnel.
