Politique de divulgation des vulnérabilités

Introduction

JLL s’engage à collaborer avec ses clients afin d’orienter le domaine de l’immobilier d’entreprise vers un avenir lumineux. Cela inclut la sécurisation de nos systèmes d’information d’entreprise et la protection des données qui nous sont confiées par nos clients et partenaires. Cette politique vise à donner aux experts en sécurité des directives claires pour mener des activités de détection de vulnérabilités et sur la façon privilégiée de nous informer des vulnérabilités découvertes.

Veuillez noter que JLL ne dispose pas de programme de prime de bogues. En portant à l’attention de JLL une vulnérabilité détectée, vous reconnaissez que vous n’exigez aucun paiement et renoncez expressément à toute demande de paiement futur auprès de JLL en lien avec les renseignements que vous transmettez.

Cette politique présente les systèmes et les types d’investigation concernés par celle-ci, la façon de nous envoyer des rapports de vulnérabilité et dans quel délai les experts en sécurité sont autorisés à divulguer publiquement les vulnérabilités découvertes.

Nous vous encourageons à nous communiquer les vulnérabilités potentielles découvertes à propos de nos systèmes.

Autorisation

Si vous démontrez que vous êtes de bonne foi en vous conformant à cette politique au cours de vos recherches en matière de sécurité, nous considérerons que celles-ci sont autorisées. Nous collaborerons avec vous pour comprendre et résoudre rapidement le problème et JLL ne recommandera ni n’engagera aucune action en justice liée à ces recherches. Si une action en justice est engagée par un tiers contre vous pour des activités menées conformément à la présente politique, nous nous engageons à révéler l’existence de cette autorisation.

Directives

En vertu de cette politique, le terme « recherche » est lié aux activités suivantes :

  • Le fait nous informer dès que possible après avoir découvert un problème de sécurité réel ou potentiel.
  • Faire tout ce qui est en votre pouvoir pour éviter les violations à la vie privée, la détérioration de l’expérience utilisateur, la perturbation des systèmes de production et la destruction ou la manipulation des données.
  • Le fait de n’avoir recours à des exploitations que dans la mesure où cela permet de confirmer la présence d’une vulnérabilité. N’utilisez pas un code d’exploitation pour compromettre ou exfiltrer des données, établir un accès en ligne de commande permanent ou utiliser un tel code d’exploitation pour accéder à d’autres systèmes.
  • Nous accorder un délai raisonnable pour résoudre le problème avant de le divulguer publiquement.
  • Ne pas transmettre un grand nombre de rapports de mauvaise qualité.

Une fois que vous avez établi l’existence d’une vulnérabilité ou que vous constatez la présence de données confidentielles (y compris des informations permettant d’identifier une personne, des informations financières, des informations exclusives ou des secrets commerciaux d’une partie quelconque), vous devez arrêter votre test, nous en informer immédiatement et ne pas divulguer ces données à qui que ce soit.

Méthodes de test

Les méthodes de test suivantes ne sont pas autorisées :

  • Tests de déni de service du réseau (DoS ou DDoS) ou autres tests qui entravent l’accès à un système ou à des données ou les endommagent.
  • Tests physiques (par exemple, accès aux bureaux, portes ouvertes, talonnage), ingénierie sociale (par exemple, hameçonnage, hameçonnage vocal) ou tout autre test de vulnérabilité non technique.
Champ d’application

Cette politique ne s’applique qu’aux systèmes et services entièrement détenus et gérés par JLL.

Tous les services non expressément énumérés ci-dessus, tels que les services connectés, sont exclus du champ d’application et ne sont pas autorisés à être testés. Par ailleurs, les vulnérabilités découvertes dans les systèmes de nos fournisseurs ne relèvent pas du champ d’application de cette politique et doivent être signalées directement au fournisseur, conformément à sa politique de divulgation (le cas échéant). Si vous n’êtes pas certain qu’un système est compris dans le champ d’application, communiquez avec nous à l’adresse vulndisclosure@jll.com.

Bien que nous puissions participer au développement et à la maintenance d’autres systèmes ou services accessibles par Internet, nous souhaitons que les investigations et les tests actifs ne soient menés que sur les systèmes et services entrant dans le champ d’application de la présente politique. Si vous pensez qu’un système en particulier, qui ne fait pas partie du champ d’application, nécessite d’être testé, veuillez communiquer avec nous pour en discuter avant de procéder à un quelconque test. Nous évaluerons le champ d’application de cette politique au fil du temps.

Les renseignements figurant dans cette politique ne seront utilisés qu’à des fins préventives, que ce soit pour limiter ou corriger les vulnérabilités. Si vos découvertes font état de vulnérabilités récemment décelées qui affectent tous les utilisateurs d’un produit ou d’un service et pas seulement JLL, nous pouvons transmettre votre rapport à l’Agence américaine pour la cybersécurité et la sécurité des infrastructures, où il sera traité dans le cadre de leur processus coordonné de divulgation des vulnérabilités. Ni votre nom ni vos coordonnées ne seront divulgués sans votre autorisation expresse.

Les rapports de vulnérabilité peuvent nous être envoyés à l’adresse vulndisclosure@jll.com. Les rapports peuvent être soumis de manière anonyme. Si vous transmettez vos coordonnées, nous accuserons réception de votre rapport dans un délai de trois jours ouvrables.

Nous ne prenons pas en charge les courriels encodés par un logiciel PGP.

Ce qu’il est attendu de vous

Afin de nous aider à trier et à prioriser les documents reçus, nous recommandons que vos rapports :

  • Décrivez le site où la vulnérabilité a été découverte et l’impact potentiel de son exploitation.
  • Décrivez en détail les étapes nécessaires à la détection de la vulnérabilité (des scénarios de démonstration ou des captures d’écran sont utiles).
  • Rédigez en anglais, si possible.
Ce que vous pouvez attendre de nous

Lorsque vous choisissez de partager vos coordonnées avec nous, nous nous engageons à nous coordonner avec vous aussi ouvertement et aussi rapidement que possible.

  • Dans un délai de trois jours ouvrables, nous accuserons réception de votre rapport.
  • Dans la mesure de nos capacités, nous vous confirmerons l’existence de la vulnérabilité et nous serons aussi transparents que possible sur les mesures que nous prenons au cours du processus de correction, y compris sur les problèmes ou les enjeux qui peuvent retarder la résolution.
  • Nous entretiendrons des échanges constants pour discuter des problèmes.
Vous avez des questions?

Les questions concernant cette politique peuvent être envoyées à vulndisclosure@jll.com. Nous vous invitons également à nous faire part de vos suggestions pour améliorer cette politique.