{"id":161,"date":"2022-02-01T20:13:19","date_gmt":"2022-02-01T20:13:19","guid":{"rendered":"https:\/\/articles.alpha.canada.ca\/?page_id=161"},"modified":"2022-02-01T20:13:22","modified_gmt":"2022-02-01T20:13:22","slug":"avis-de-securite","status":"publish","type":"page","link":"https:\/\/articles.alpha.canada.ca\/fr\/avis-de-securite\/","title":{"rendered":"Avis de s\u00e9curit\u00e9"},"content":{"rendered":"\n<p>Voici l\u2019avis de s\u00e9curit\u00e9 pour tous les r\u00e9f\u00e9rentiels de donn\u00e9es du Service num\u00e9rique canadien (SNC). Cet avis explique la proc\u00e9dure \u00e0 suivre pour signaler toute vuln\u00e9rabilit\u00e9 au SNC. Le SNC est dot\u00e9 d\u2019une \u00e9quipe de cybers\u00e9curit\u00e9 et d\u2019employ\u00e9s soucieux de la s\u00e9curit\u00e9, qui \u00e9valuent et traitent tout incident signal\u00e9.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"h-comment-signaler-une-vulnerabilite\">Comment signaler une vuln\u00e9rabilit\u00e9<\/h2>\n\n\n\n<p>Le SNC est un d\u00e9fenseur de la divulgation responsable des vuln\u00e9rabilit\u00e9s. Si vous avez rep\u00e9r\u00e9 une vuln\u00e9rabilit\u00e9, nous aimerions le savoir afin de la corriger.<\/p>\n\n\n\n<p><strong>Vous pouvez signaler une vuln\u00e9rabilit\u00e9 en \u00e9crivant \u00e0&nbsp;<a href=\"mailto:security+securite@cds-snc.ca\">security+securite@cds-snc.ca<\/a><\/strong>. Vous pouvez \u00e9galement signaler un probl\u00e8me de mani\u00e8re anonyme. Pour l\u2019instant, nous ne prenons pas en charge les courriels chiffr\u00e9s avec cl\u00e9 PGP.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-votre-rapport-de-vulnerabilite\">Votre rapport de vuln\u00e9rabilit\u00e9 :<\/h3>\n\n\n\n<ul class=\"wp-block-list\"><li>doit \u00eatre r\u00e9dig\u00e9 en anglais ou en fran\u00e7ais;<\/li><li>doit d\u00e9crire la vuln\u00e9rabilit\u00e9, l\u2019endroit o\u00f9 elle a \u00e9t\u00e9 rep\u00e9r\u00e9e et l\u2019incidence potentielle de son exploitation;<\/li><li>doit offrir une description d\u00e9taill\u00e9e des \u00e9tapes permettant de reproduire la vuln\u00e9rabilit\u00e9 (des scripts de d\u00e9monstration ou des captures d\u2019\u00e9cran sont utiles). Ces preuves doivent \u00eatre b\u00e9nignes et non destructives, afin que nous puissions acheminer votre rapport rapidement et avec pr\u00e9cision;<\/li><li>doit comporter seulement des renseignements sur des vuln\u00e9rabilit\u00e9s exploitables;<\/li><li>ne doit pas comporter de vuln\u00e9rabilit\u00e9s non exploitables ou des signalements de services qui ne sont pas enti\u00e8rement conformes aux \u00ab\u2009meilleures pratiques\u2009\u00bb (p. ex., des en-t\u00eates de s\u00e9curit\u00e9 manquants ou un volume \u00e9lev\u00e9 de rapports de mauvaise qualit\u00e9 pouvant provenir d\u2019un outil de diagnostic automatis\u00e9);<\/li><li>ne doit communiquer aucune vuln\u00e9rabilit\u00e9 ni aucun d\u00e9tail associ\u00e9 autre que par les moyens d\u00e9crits dans cet avis;<\/li><li>ne donnera lieu \u00e0 aucune r\u00e9mun\u00e9ration pour vos recherches et tests r\u00e9alis\u00e9s en vue de divulguer des vuln\u00e9rabilit\u00e9s.<\/li><\/ul>\n\n\n\n<p>Vous pouvez toujours nous contacter par courriel \u00e0 l\u2019adresse&nbsp;<a href=\"mailto:security+securite@cds-snc.ca\">security+securite@cds-snc.ca<\/a>&nbsp;si vous n\u2019\u00eates pas s\u00fbr que la vuln\u00e9rabilit\u00e9 soit authentique et exploitable ou bien s\u2019il s\u2019agit :<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>d\u2019une vuln\u00e9rabilit\u00e9 non exploitable;<\/li><li>d\u2019un \u00e9l\u00e9ment quelconque qui peut \u00eatre am\u00e9lior\u00e9 (p. ex., des en-t\u00eates de s\u00e9curit\u00e9 manquants);<\/li><li>d\u2019une faille dans la configuration du protocole TLS (p. ex., une faible prise en charge des suites de chiffrement ou la prise en charge de la version 1.0 du protocole TLS).<\/li><\/ul>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-lorsque-vous-examinez-et-signalez-une-vulnerabilite-vous-ne-devez-pas\">Lorsque vous examinez et signalez une vuln\u00e9rabilit\u00e9, vous&nbsp;<strong>ne devez pas :<\/strong><\/h3>\n\n\n\n<ul class=\"wp-block-list\"><li>enfreindre la loi;<\/li><li>acc\u00e9der \u00e0 des quantit\u00e9s inutiles ou excessives de donn\u00e9es;<\/li><li>modifier les donn\u00e9es;<\/li><li>utiliser d\u2019outils d\u2019analyse invasifs ou destructeurs de haute intensit\u00e9 pour trouver des vuln\u00e9rabilit\u00e9s;<\/li><li>tenter un d\u00e9ni de service (p. ex., saturer un service de canada.ca avec un volume \u00e9lev\u00e9 de demandes);<\/li><li>perturber les services ou les syst\u00e8mes du gouvernement du Canada;<\/li><li>parler \u00e0 quiconque de la vuln\u00e9rabilit\u00e9 que vous avez trouv\u00e9e jusqu\u2019\u00e0 ce que nous la divulguions;<\/li><li>faire de l\u2019ing\u00e9nierie sociale, de l\u2019hame\u00e7onnage ou attaquer physiquement notre personnel ou causer des dommages \u00e0 notre infrastructure;<\/li><li>demander de l\u2019argent en \u00e9change d\u2019une divulgation.<\/li><\/ul>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"h-code-de-conduite\">Code de conduite<\/h2>\n\n\n\n<p>Veuillez consulter le&nbsp;<a href=\"https:\/\/github.com\/cds-snc\/.github\/blob\/main\/CODE_OF_CONDUCT.md\" target=\"_blank\" rel=\"noreferrer noopener\">Code de conduite<\/a>&nbsp;des contributeurs pour obtenir de plus amples renseignements sur la fa\u00e7on de contribuer de mani\u00e8re ouverte et accueillante. for more information on how to contribute in an open and welcoming way.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-prime-aux-bogues\">Prime aux bogues<\/h3>\n\n\n\n<p>Malheureusement, le SNC n\u2019offre pas de programme de prime aux bogues r\u00e9mun\u00e9r\u00e9, mais fera des efforts pour \u00eatre reconnaissant envers les personnes qui prennent le temps et l\u2019effort de divulguer des vuln\u00e9rabilit\u00e9s de mani\u00e8re responsable. Nous disposons en fait d\u2019une page de remerciements pour les probl\u00e8mes l\u00e9gitimes d\u00e9couverts par les chercheurs.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"h-apres-avoir-signale-la-vulnerabilite\">Apr\u00e8s avoir signal\u00e9 la vuln\u00e9rabilit\u00e9<\/h2>\n\n\n\n<p>Si vous choisissez de partager vos coordonn\u00e9es avec nous, nous nous engageons \u00e0 communiquer avec vous aussi ouvertement et rapidement que possible.<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Nous accuserons r\u00e9ception de votre rapport dans un d\u00e9lai de trois jours ouvrables.<\/li><li>Dans la mesure du possible, nous vous confirmerons l\u2019existence de la vuln\u00e9rabilit\u00e9 et serons aussi transparents que possible sur les mesures que nous prenons au cours du processus de correction, ainsi que sur les probl\u00e8mes ou les difficult\u00e9s pouvant retarder la r\u00e9solution.<\/li><li>Nous donnerons priorit\u00e9 \u00e0 la correction de la vuln\u00e9rabilit\u00e9 en examinant l\u2019incidence, la gravit\u00e9 et la complexit\u00e9 de l\u2019exploitation. L\u2019acheminement et le traitement des rapports de vuln\u00e9rabilit\u00e9 peuvent prendre un certain temps. Nous vous renseignerons avec plaisir sur l\u2019\u00e9tat de votre demande, mais seulement une fois tous les 14 jours. Nos \u00e9quipes pourront ainsi se concentrer sur les mesures correctives.<\/li><li>Nous ferons de notre mieux pour maintenir un dialogue ouvert avec vous afin de discuter des probl\u00e8mes. Nous t\u00e2cherons \u00e9galement de d\u00e9terminer avec vous de la pertinence de divulguer la faille et, le cas \u00e9ch\u00e9ant, de la fa\u00e7on de le faire.<\/li><li>Nous traiterons votre rapport conform\u00e9ment \u00e0 la&nbsp;<em>Loi sur l\u2019acc\u00e8s \u00e0 l\u2019information<\/em>&nbsp;et \u00e0 la&nbsp;<em>Loi sur la protection des renseignements personnels<\/em>.<\/li><li>Nous vous informerons lorsque la vuln\u00e9rabilit\u00e9 signal\u00e9e est corrig\u00e9e. Vous pourriez aussi \u00eatre invit\u00e9 \u00e0 confirmer que la mesure corrige ad\u00e9quatement la vuln\u00e9rabilit\u00e9.<\/li><\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Voici l\u2019avis de s\u00e9curit\u00e9 pour tous les r\u00e9f\u00e9rentiels de donn\u00e9es du Service num\u00e9rique canadien (SNC). Cet avis explique la proc\u00e9dure \u00e0 suivre pour signaler toute vuln\u00e9rabilit\u00e9 au SNC. Le SNC est dot\u00e9 d\u2019une \u00e9quipe de cybers\u00e9curit\u00e9 et d\u2019employ\u00e9s soucieux de la s\u00e9curit\u00e9, qui \u00e9valuent et traitent tout incident signal\u00e9. Comment signaler une vuln\u00e9rabilit\u00e9 Le SNC\u2026 <a class=\"read-more\" href=\"https:\/\/articles.alpha.canada.ca\/fr\/avis-de-securite\/\">Read more<span class=\"wb-sl\"> of Avis de s\u00e9curit\u00e9<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"footnotes":""},"class_list":["post-161","page","type-page","status-publish","hentry"],"slug_en":"security-notice","slug_fr":"avis-de-securite","id_en":158,"id_fr":161,"lang":"fr","_links":{"self":[{"href":"https:\/\/articles.alpha.canada.ca\/fr\/wp-json\/wp\/v2\/pages\/161","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/articles.alpha.canada.ca\/fr\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/articles.alpha.canada.ca\/fr\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/articles.alpha.canada.ca\/fr\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/articles.alpha.canada.ca\/fr\/wp-json\/wp\/v2\/comments?post=161"}],"version-history":[{"count":1,"href":"https:\/\/articles.alpha.canada.ca\/fr\/wp-json\/wp\/v2\/pages\/161\/revisions"}],"predecessor-version":[{"id":162,"href":"https:\/\/articles.alpha.canada.ca\/fr\/wp-json\/wp\/v2\/pages\/161\/revisions\/162"}],"wp:attachment":[{"href":"https:\/\/articles.alpha.canada.ca\/fr\/wp-json\/wp\/v2\/media?parent=161"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}