Protection des données
Introduction

En tant que XpertCenter, une entreprise du Groupe Mobilière, nousapprécions le rôle important joué par les chercheurs en sécurité indépendants(Security Researchers), qui agissent de manière éthique pour assurer lasécurité de ses propres données, de celles de la population et de celles de saclientèle ainsi que pour garantir la fiabilité de ses produits et services.

Nous saluons donc tout signalement responsable de vulnérabilités dans lesressources numériques que nous possédons, que nous exploitons ou dont nousassurons la maintenance.La présente Politique décrit les modalités dela procédure de signalement de vulnérabilités. Veuillez lire attentivement cedocument avant de tester nos systèmes pour y déceler des failles de sécurité.Nous sommes déterminés à collaborer activement avec les chercheurs en sécurité,afin de vérifier et d’éliminer les vulnérabilités signalées.

Signaler une vulnérabilité

Périmètre (scope)

Le périmètre inclut l’ensemble des valeurs patrimoniales numériques dont la Mobilièreou XpertCenter détiennent, exploitent ou gèrent.

Hors périmètre

Veuillez noter que:

  • nous avons recours aux services d’autres entreprises et/ou sociétés pour certains éléments de nos systèmes et de notre infrastructure;
  • que certains systèmes denotre infrastructure ne sont pas sous notre contrôle direct.

Les vulnérabilités identifiées ou suspectéesdans ces systèmes doivent être signalées au fournisseur ou à l’autoritécompétente. Si un signalement devait néanmoins nous parvenir par ce canal, nousle transmettrions à la société correspondante. Le propriétaire du systèmeinformatique concerné demeure responsable de son système et des mesures àprendre pour éliminer la vulnérabilité.

Notre engagement

Durant votre collaboration dans le cadre de laprésente Politique, vous pouvez attendre de notre part:

  • une réaction rapide,confirmant la réception du signalement;
  • une collaborationproactive pour comprendre et valider le signalement;
  • un dialogue ouvert pourdiscuter des éventuels problèmes ou enjeux;
  • une élimination rapide desvulnérabilités découvertes;
  • une estimation du tempsnécessaire au traitement du signalement;
  • un point sur l’avancementdu processus d’élimination de la vulnérabilité;
  • une notification lorsquela vulnérabilité a été éliminée;
  • une reconnaissance, sivous êtes la première personne à signaler une vulnérabilité inconnue et que cesignalement implique une modification du code ou de la configuration;
  • une disposition Legal SafeHarbor dans la présente Politique, afin de permettre la détection proactive devulnérabilités.

Nos attentes

En participant au Vulnerability Disclosure Program,vous vous engagez à:

  • respecter les règles etdirectives décrites dans la présente Politique;
  • ne pas violer les lois envigueur, dans le cadre de cette collaboration et des signalements qui endécoulent;
  • nous signaler sansattendre toute vulnérabilité détectée;
  • ne pas exploiter, niutiliser les vulnérabilités détectées à d’autres fins qu’à celle de leursignalement;
  • respecter la sphère privéed’autrui, ne pas perturber nos systèmes, ne pas détruire des données et ne pasnuire aux autres utilisateurs des systèmes;
  • utiliser exclusivement lescanaux officiels de signalement pour échanger avec nous des informationsrelatives aux vulnérabilités;
  • garantir laconfidentialité des détails relatifs aux vulnérabilités détectées, conformémentà la présente Politique;
  • lorsqu’une vulnérabilitépermet un accès non intentionnel aux données: limiter l’accès au strictnécessaire pour démontrer la faille, ajuster le test et procéder à unsignalement immédiat;
  • interagir uniquement avecdes comptes tests qui vous appartiennent ou pour lesquels vous avez reçu uneautorisation expresse du titulaire du compte;
  • ne pas poser d’exigencesen lien avec le signalement;
  • nous accorder un délairaisonnable (90 jours à compter du premier signalement) pour remédier auproblème;
  • coordonner avec nous uneéventuelle divulgation de la vulnérabilité.

La Mobilière et XpertCentern’autorise aucun des types de tests de sécurité ci-après

Nous vous encourageons à nous signaler lesvulnérabilités que vous découvrez. Dans le cadre de cette Politique, lesactivités suivantes sont néanmoins strictement proscrites:

  • effectuer des opérationsqui pourraient nuire à nos systèmes ou nos clients (p. ex. hameçonnage,spams, attaques par force brute, dénis de service, etc.);
  • détruire, endommager oumodifier des données ou des informations qui ne vous appartiennent pas, ou procéderà de telles tentatives;
  • mener des attaques,physiques ou autres, sur notre personnel, notre propriété, nos bâtiments ounotre infrastructure;
  • recourir à l’ingénieriesociale contre nos collaboratrices et collaborateurs, nos clientes et clientsou nos mandataires.

Communication coordonnée desvulnérabilités (CVD)

Nous apprécionsles efforts déployés par les chercheurs en sécurité externes qui identifientles failles de sécurité et les divulguent de manière responsable afin que nouspuissions les éliminer. Notre Politique autorise la publication de ces faillespour autant que les conditions suivantes soient remplies (CoordinatedVulnerability Disclosure):

  • L’auteur du signalementest tenu de ne pas divulguer la vulnérabilité avant que nous ayons confirmé sonélimination et que nous ayons accepté une telle communication.
  • Une publication estautorisée à l’échéance d’un délai de 90 jours, pour autant qu’elle soitcoordonnée avec nous.
  • Les détails exacts duproblème ne doivent pas être publiés, p. ex. exploits ou code de démonstrationde faisabilité.

Canaux officiels

Veuillez signaler les vulnérabilités au moyen du lien https://app.bugbounty.ch/public/engagement/details/065351e2-2766-4169-aab9-dc4abaca3cb1 en mentionnant toutes lesinformations pertinentes. N’envoyez aucun rapport au moyen d’outils automatiséssans l’avoir au préalable vérifié. Plus vous nous livrerez de détails, plus ilsera aisé pour nous d’analyser le problème, de le supprimer et de vousremercier de votre engagement:

  • Descriptif technique de lavulnérabilité, incluant:
    • informations sur lenavigateur utilisé (type et version)
    • informations pertinentessur les composants et appareils liés
    • plateforme(s) et URL(s)concernés
  • Code exemple pour ladémonstration de la vulnérabilité et/ou étapes détaillées pour la reproduire
  • Évaluation de lamenace/des risques
  • Date et heure de ladétection
  • Informations de contact
  • Éventuels plans relatifs àune publication, si celle-ci est envisagée

Attention, ces canaux sont exclusivementréservés au signalement de vulnérabilités non encore publiées et ne sont pasdestinés à des demandes d’assistance ou d’informations. Les demandes qui neconcernent pas de telles vulnérabilités ne sont pas traitées.

Disposition Legal Safe Harbor

  • Nous ne procéderons àaucune dénonciation auprès de l’autorité de poursuite pénale ni n’entameronsaucune procédure de droit civil contre les participantes et participants à ceprogramme qui violeraient la présente Politique de manière non intentionnelleet en toute bonne foi.
  • Nous ne considérons pas les activités menées par lesparticipantes et participants conformément à cette Politique comme des accèsindus au sens du code pénal suisse. Sont en particulier visés les articles 143,143bis et 144bis du code pénal suisse.
  • Nous ne dénoncerons pasles participantes et participants qui tentent de contourner les mesures desécurité mises en place afin de protéger les services cités dans cettePolitique.
  • Si un tiers devait entamerune procédure judiciaire contre un participant ayant agi conformément à laprésente Politique, nous prendrions les mesures nécessaires pour prouver auxautorités que les actions de ce participant sont conformes à la présentePolitique.
  • Des violations minimespourront donner lieu à un avertissement. En cas de violations graves, nous nousréservons le droit d’en aviser les autorités pénales.

Vous avez comme toujours l’obligation derespecter les lois en vigueur. Si, à un moment ou à un autre, vous avez deshésitations ou n’avez plus la certitude que vos tests et activités sontconformes à cette Politique, veuillez nous aviser au moyen de nos canauxofficiels avant de poursuivre vos activités.

Veuillez noter que les dispositions Legal SafeHarbor ne s’appliquent qu’aux prétentions juridiques du ressort de MobilièreSuisse Société d’assurances SA, Mobilière Suisse Société d’assurances sur lavie SA, Mobilière Suisse Services SA, Mobilière Suisse AssetManagement SA, Protekta Assurance de protection juridique SA, Mobilière SuisseRisk Engineering SA, Mobi24 SA et XpertCenter SA, et que cette Politiquen’engage pas les tiers indépendants.

La présente Politique est soumise au droitsuisse. Le for exclusif pour tout litige en résultant ou s’y rapportant estBerne, Suisse. Sous réserve de fors obligatoires.

Signaler une vulnérabilité
XpertHome est un service de XpertCenter SA
XpertCenter SA, XpertHome
Monbijoustrasse 5
3011 Berne
+41 31 389 79 10
xperthome@xpertcenter.ch