For patients
For professionals

    Nexuzhealth politique de divulgation coordonnée de vulnérabilités

    Chez Nexuzhealth, la sécurité de nos systèmes, de notre réseau et de nos produits est une priorité absolue. Malgré tous nos efforts, il est toujours possible que certaines vulnérabilités subsistent.


    En étroite collaboration avec Intigriti, nous avons choisi de mettre en place un programme public de Bug Bounty et programme public de Responsible Disclosure, afin que chacun puisse signaler les failles découvertes. En participant à ces programmes, vous acceptez les dispositions de cette politique qui encadrent votre relation avec nous.


    Cette page s’adresse à toute personne découvrant une vulnérabilité et explique comment la signaler à l’équipe sécurité de Nexuzhealth. Vous êtes client et avez une question concernant la sécurité ? Dans ce cas, veuillez contacter notre service desk.

    Programmes

    Nous avons opté pour deux approches complémentaires :

    • un programme public de Bug Bounty
    • un programme public de Responsible Disclosure

    Liens utiles :

    Safe Harbor

    Si vous menez des recherches en respectant cette politique, celles-ci seront considérées comme autorisées, légitimes, utiles pour renforcer la sécurité globale et menées de bonne foi. Vous devez toutefois respecter l’ensemble des lois applicables.

    En cas de doute quant à la conformité de vos recherches avec cette politique, nous vous demandons de soumettre un rapport via notre canal officiel (voir ci-dessous) avant de poursuivre.

    De notre côté, nous nous engageons à agir de bonne foi : si vous respectez les conditions énoncées dans cette politique, nous n’intenterons aucune action judiciaire à votre encontre.

    Règles

    Pour éviter toute confusion entre un test réalisé de bonne foi et une attaque malveillante, vous vous engagez à respecter les principes suivants:

    • effectuer vos tests uniquement sur les systèmes inclus dans le périmètre du programme, en respectant ceux qui n’en font pas partie ;
    • éviter toute atteinte à la vie privée, destruction de données ou interruption/dégradation de nos services ;
    • n’accéder à des données personnelles ou confidentielles que de manière accidentelle et uniquement dans le cadre de l’identification de vulnérabilités ;
    • ne pas copier de données au-delà du strict nécessaire à l’investigation, et les supprimer ensuite de manière définitive ;
    • ne pas lancer d’attaques par déni de service (DoS) ;
    • s’abstenir de toute tentative d’ingénierie sociale ;
    • ne pas partager l’accès ou les données obtenues.

    Divulgation

    Vous ne pouvez pas publier ou discuter publiquement d’une vulnérabilité tant qu’elle n’a pas été corrigée et que nous ne vous avons pas donné notre accord explicite.

    Récompenses

    Un programme public de Bug Bounty est disponible sur [Intigriti.com/programs]. Ce programme a un périmètre précis : toutes les failles signalées n’ouvrent donc pas droit à une récompense (voir la section « Out of Scope »). Les montants varient en fonction de l’impact, selon les barèmes disponibles sur le site d’Intigriti.

    Le programme de Responsible Disclosure ne prévoit pas de récompenses financières. En revanche, toute personne signalant une vulnérabilité inédite via Intigriti sera mentionnée dans notre Security Hall of Fame.

    Note : vous n’êtes pas éligible à une récompense si vous êtes ou avez été employé ou sous-traitant de Nexuzhealth, de l’UZ Leuven ou de Cegeka.

    Signalement & Contact

    Si vous pensez avoir découvert une vulnérabilité, merci de la signaler via la plateforme Intigriti, qui coordonne nos programmes. L’équipe sécurité de Nexuzhealth examinera votre rapport après un premier tri par Intigriti.

    • Informez-nous sans délai excessif.
    • Utilisez exclusivement la plateforme Intigriti pour vos rapports.

    Avant de soumettre un problème, vérifiez que celui-ci représente bien un scénario d’attaque réaliste.

    Périmètre

    Le programme couvre tous les services, produits et propriétés web de Nexuzhealth.

    Pour les récompenses financières, seuls les actifs explicitement listés dans notre Bug Bounty public sont pris en compte.

    Nous vous demandons de ne pas soumettre de signalements relatifs à :

    • vulnérabilités théoriques sans preuve tangible ;
    • résultats automatisés sans preuve de concept ;
    • en-têtes HTTP manquants ou faibles, sans impact direct ;
    • divulgations de données non sensibles ;
    • problèmes sans vecteur d’attaque clair ;
    • CSRF sur formulaires non authentifiés ou sans action sensible ;
    • certificats SSL expirés ;
    • clickjacking ;
    • attaques par déni de service.

    Les vulnérabilités « zero-day » découvertes dans les 14 jours suivant la publication d’un correctif peuvent être signalées, mais ne donnent généralement pas droit à une prime.

    En cas de doublons, seul le premier rapport est pris en compte.

    Droit applicable

    Tout litige lié à cette politique et non résolu à l’amiable sera soumis au droit belge.

    Contact

    Pour toute question relative à cette politique ou en cas de problème lors de l’envoi d’un rapport via Intigriti, vous pouvez nous contacter à security@nexuzhealth.com.

     Attention : ne pas utiliser cette adresse pour signaler directement une vulnérabilité.

    Nous sommes là pour vous

    Contactez-nous

    Contactez-nous via notre service desk. Pour des questions urgentes, vous pouvez également nous appeler.

    Pour des questions spécifiques, adressez-vous à votre prestataire de soins ou à votre hôpital.

    Questions fréquemment posées Notre service desk
    nexuzhealth-employee-4