Programme général de gestion des vulnérabilités techniques

Chez NTT DATA, Inc. nous nous engageons à maintenir la sécurité et l’intégrité de nos actifs numériques. Nous investissons continuellement dans des mesures de sécurité complètes et des vérifications régulières pour protéger ces actifs. Bien que nous reconnaissions la valeur de l’engagement de la communauté en matière de sécurité avec des primes aux bogues et des programmes similaires, nous nous concentrons sur l’utilisation de notre expertise en sécurité interne et sous contrat pour maintenir et améliorer notre programme de sécurité.

Par conséquent, nous ne compensons pas les personnes ou les organisations qui identifient des vulnérabilités de sécurité potentielles ou confirmées. Toute demande de compensation financière ou autre constituera une violation des conditions de notre programme de divulgation responsable.

Comment signaler une vulnérabilité de sécurité potentielle

Si vous avez découvert une vulnérabilité de sécurité potentielle au sein de NTT DATA, Inc. ou de l’un de nos services ou produits, nous aimerions avoir de vos nouvelles et vous encourageons fortement à nous la divulguer le plus rapidement possible et de manière responsable.

Veuillez signaler votre préoccupation par le biais de notre site Web et nous fournir autant de renseignements que possible, notamment :

• Une explication de la vulnérabilité de sécurité potentielle
• Une liste des produits et services qui pourraient être touchés (si possible)
• Étapes pour reproduire la vulnérabilité
• Les noms de tous les comptes de test que vous avez créés (le cas échéant)
• Vos coordonnées

Que se passe-t-il ensuite?

Nous nous engageons à examiner tous les rapports de divulgation responsable. Nous vous demandons de préserver la confidentialité et de ne pas rendre votre recherche publique avant que nous ayons terminé notre enquête et, au besoin, ayons corrigé ou atténué la vulnérabilité de sécurité potentielle.

Nous vous demandons de ne pas divulguer publiquement les détails de toute vulnérabilité de sécurité potentielle sans notre consentement écrit exprès.

Sous réserve de toute exigence réglementaire et légale, tous les rapports demeureront strictement confidentiels, tout comme les détails de la vulnérabilité de sécurité potentielle et l’identité de tous les chercheurs impliqués dans le signalement.

Si des vulnérabilités potentielles en matière de sécurité sont découvertes et signalées strictement conformément à notre programme de divulgation responsable, nous n’intenterons pas de poursuites judiciaires contre les chercheurs en sécurité en lien avec la découverte et le signalement d’une vulnérabilité potentielle en matière de sécurité.

En cas de non-conformité, nous nous réservons tous nos droits légaux.

Les types de recherche suivants sont strictement interdits :

• Accéder ou tenter d’accéder à des comptes ou à des données qui ne vous appartiennent pas.
• Toute tentative de modifier ou de détruire des données.
• Exécuter ou tenter d’exécuter une attaque par déni de service (DoS).
• Envoyer ou tenter d’envoyer des courriels non sollicités ou non autorisés, des pourriels ou toute autre forme de messages non sollicités.
• L’ingénierie sociale de tout employé, sous-traitant, client ou tout autre tiers de NTT DATA, y compris (mais sans s’y limiter) l’approche physique ou électronique d’une personne, par exemple par l’hameçonnage.
• Toute tentative physique contre notre propriété ou nos centres de traitement de données, y compris (mais sans s’y limiter) les centres de traitement de données physiques, l’infrastructure hébergée et les bureaux.
• Publier, transmettre, téléverser, lier, envoyer ou stocker des maliciels, des virus ou des logiciels nuisibles similaires qui pourraient avoir une incidence sur nos services, nos produits, nos clients ou tout autre tiers.
• Tester des sites Web, des applications ou des services tiers qui s’intègrent à nos services ou produits.
• Utiliser des scanneurs de vulnérabilités automatisés.
• Exfiltrer des données en toutes circonstances.
• Toute activité qui enfreint une loi.

Nous envisagerons de prendre des mesures judiciaires contre toute personne qui se livre à l’une des actions ci-dessus.

Reconnaissance des vulnérabilités signalées

Une fois l’enquête terminée, nous pourrions, à notre discrétion et sous réserve du consentement des chercheurs’, reconnaître les chercheurs impliqués. Cependant, nous ne leur fournirons aucune forme de rémunération.

Si un rapport s’avère être un double ou que nous le connaissons déjà, il ne sera pas admissible à une reconnaissance publique.

Signaler une vulnérabilité technique

Si vous avez découvert une vulnérabilité potentielle en matière de sécurité au sein de NTT DATA, Inc. ou de l’un de nos services ou produits, nous aimerions avoir de vos nouvelles et vous encourageons fortement à nous la divulguer le plus rapidement possible et de manière responsable.

Pour signaler une vulnérabilité technique, veuillez envoyer un courriel à l’adresse website.comments@global.nttdata.com