Politique de divulgation des vulnérabilités

1. Champ d’application

1.1. Actifs

• application mobile MSC For Me, disponible sur l’Apple Store (IOS) et le Play Store (Android) ;
• site Web B2B ;
• site Web B2C, y compris les sites Web à destination des marchés locaux ;
• site Web Explora Journeys ;
• site Web Family & Friends.

1.2. Vulnérabilités

La Politique de divulgation des vulnérabilités de MSC Croisières s’applique à toutes les vulnérabilités existantes, à l’exception de celles explicitement exclues au point 1.3.1. À cette fin, une liste non exhaustive des vulnérabilités potentielles au sein de l’environnement d’exploitation de MSC Croisières est uniquement fournie à titre d’information.

• Accès non autorisé à la réservation ou au compte d’un passager ;
• Bugs d’une application entraînant des changements involontaires du tarif des cabines ;
• Vulnérabilités de contournement de l’authentification ;
• Accès non autorisé aux systèmes back-end grâce aux systèmes front-end ;
• Failles de la logique métier pouvant entraîner un bénéfice financier pour l’auteur d’une attaque (par exemple, changement de tarif forcé) ;
• Contournement à grande échelle des systèmes permettant la récupération d’un compte ;
• Vulnérabilités d’évasion du conteneur au sein de notre infrastructure ;
• Découverte de données de MSC Croisières sur des services de stockage dans le cloud publics gérés par l’entreprise ;
• Modification non autorisée du statut de membre du client ;
• Utilisation inappropriée ou accès non autorisé aux points de fidélité MSC Croisières ;
• Méthodes très ingénieuses afin d’automatiser la vérification de compte ou l’extraction de tarifs (par exemple, botting) ;
• Techniques ingénieuses pour découvrir les adresses IP d’origine ;
• Techniques d’usurpation efficace de l’identité dans des e-mails ;
• Modifications en ligne non autorisées des noms de compte ou de réservation de billet ;
• Exposition des systèmes de cloud accessibles au public contenant des informations sur MSC Croisières ;
• Vulnérabilités d’injection de code SQL ;
• Vulnérabilités de Falsification de requête inter-site (CSRF) ;
• Vulnérabilités de script inter-site exploitable (XSS) ;
• Techniques de contournement du pare-feu d’une application Web (WAF) ;
• Consultation d’informations personnelles sensibles (par exemple, données à caractère personnel, informations complètes sur les cartes bancaires, informations sur les passeports, géolocalisation précise, données de santé, numéros de téléphone) ;
• Combinaisons de plusieurs éléments de données qui augmentent la gravité de la vulnérabilité.

1.3. Questions ne relevant pas du champ d’application

1.3.1. Activités interdites

Les activités suivantes sont considérées comme interdites et ne relèvent pas du champ d’application de la présente Politique :

• Toute activité susceptible d’entraîner une perturbation de notre service/infrastructure (Déni de service, DoS), y compris à bord de nos navires ;
• Attaques nécessitant un accès de type « Homme au milieu » (Man-In-The-Middle, MITM) ou un accès physique à l’appareil d’un utilisateur ;
• Attaques nécessitant un accès physique à l’appareil d’un employé, d’un sous-traitant ou d’un client de MSC Croisières ;
• Problèmes liés à la saisie automatique sur des formulaires Web ;
• Détournement de clic sur des pages sans activité sensible, sauf si une exploitation réussie de la vulnérabilité peut être démontrée ;
• Vulnérabilités du navigateur côté client ;
• Injection de valeurs séparées par des virgules (CSV) sans démonstration de vulnérabilité ;
• Problèmes d’usurpation de contenu et d’injection de texte sans présenter le vecteur d’attaque ou démontrer la capacité à modifier le code HTML/CSS ;
• Erreurs de tarification des cabines basées sur la saisie de données ;
• Déni d’inventaire ;
• Problèmes liés à la politique de récupération des mots de passe et des comptes, y compris les exigences en matière de complexité ;
• Attaques basées sur l’ingénierie sociale (hameçonnage ou harponnage) ;
• Rapports POST nécessitant qu’une victime demande des fichiers hébergés sur des ressources ne relevant pas du champ d’application ;
• Rapports concernant des bibliothèques vulnérables déjà connues sans preuve de concept (PoC) fonctionnelle ;
• Rapports provenant d’outils ou de scanners automatisés (par exemple, Burp, sqlmap, Acunetix, etc.) sans vérification manuelle ;
• Auto-exploitation ;
• Signalement concernant la version d’un logiciel sans démontrer l’existence d’une vulnérabilité ;
• Problèmes liés aux meilleures pratiques SSL/TLS ;
• Falsification de requête inter-site (CSRF) sans authentification/lors de la connexion/lors de la déconnexion ;
• Vulnérabilités qui ne peuvent pas être reproduites ;
• Interaction avec un compte individuel (y compris la modification ou l’accès aux données du compte) sans le consentement de son propriétaire ;
• Infraction à des lois ou réglementations applicables, y compris celles interdisant l’accès non autorisé à des données, telles que des données à caractère personnel (données relatives à une personne physique identifiée ou identifiable), sauf si cet accès est expressément autorisé aux seules fins du signalement de la vulnérabilité dans le cadre des modalités prévues par la présente Politique et l’Accord de traitement des données (DPA) qui l’accompagne.
• Divulgation publique d’une vulnérabilité, directement ou indirectement (par exemple, en la présentant dans des vidéos publiques, qu’elle soit répertoriée ou non) ;
• Tentative visant à affecter la disponibilité d’un actif (par exemple, les navires MSC Croisières) grâce à des réservations involontaires ;
• Envoi de rapports à partir d’outils automatisés sans vérifier qu’une preuve de concept fonctionne ;
• Modification ou suppression de fichiers ou de données, y compris les autorisations ;
• Interruption des activités normales (par exemple, provoquer un redémarrage) ;
• Création et maintien d’une connexion permanente au serveur ;
• Consultation intentionnelle de fichiers ou de données autres que ceux qui sont nécessaires pour prouver la vulnérabilité ;
• Prise de contact directe avec des employés de MSC Croisières pour obtenir de l’aide, négocier une vente ou formuler des demandes liées à un signalement effectué ;
• Création massive d’utilisateurs, de groupes et de projets ;
• Activités de typosquattage ou autres activités de squattage de marque ;
• Activités de type spam ou autres activités caractérisées par un volume élevé ;
• Utilisation d’outils d’analyse automatisés pour analyser les actifs de MSC Croisières ;
• Utilisation de charges malveillantes lors de la confirmation des vulnérabilités XSS stockées ;
• Exfiltration de données : Transfert, stockage ou partage de données consultées lors de tests de sécurité, en particulier les informations personnelles ou sensibles.

La liste des activités interdites ci-dessus a été élaborée afin de garantir la sécurité et la stabilité de nos services tout en permettant un signalement responsable et efficace des vulnérabilités. Toute activité qui ne relève pas du champ d’application autorisé peut engendrer les conséquences évoquées au point 6.

2. Exigences de confidentialité et Politique de divulgation

Vous ne devez pas partager vos conclusions avec des tiers tant que MSC Croisières n’a pas eu la possibilité de répondre et de remédier aux vulnérabilités signalées. Toute demande de divulgation doit être coordonnée avec MSC Croisières et explicitement approuvée par celle-ci. Si vous décidez de divulguer des informations concernant une vulnérabilité qui a été corrigée après avoir obtenu l’accord de MSC Croisières, vous devez supprimer toutes les informations d’identification et éviter d’utiliser le nom, les marques ou les logos de MSC Croisières. De plus, vous ne devez pas déclarer ou insinuer que votre travail a été approuvé ou autorisé par MSC Croisières.

Cela permet de s’assurer que toutes les activités sont menées de manière responsable et dans les limites établies par notre cadre coordonné de divulgation des vulnérabilités. Votre coopération est essentielle pour préserver l’intégrité de nos systèmes et la confiance que nous porte notre communauté.

3. Signaler une vulnérabilité

3.1. Canal et structure de signalement

Pour signaler une vulnérabilité, veuillez utiliser le lien ci-dessous. Sachez qu’en transmettant un rapport de divulgation de vulnérabilité, vous acceptez expressément les conditions énoncées dans la présente Politique de divulgation des vulnérabilités et dans l’Accord de traitement des données (DPA) qui l’accompagne. Sa transmission vaut acceptation de toutes les obligations et exigences énoncées dans ces documents. Si vous n’acceptez pas de vous conformer à ces conditions, veuillez ne pas transmettre de rapport.

Ce rapport doit inclure :

• une description détaillée de la vulnérabilité et de ses conséquences éventuelles ;
• des preuves et des explications concernant toutes les étapes nécessaires pour reproduire la vulnérabilité, telles que :
  • vecteur et score CVSS 4.0 ;
  • identifiant CVE (si disponible) ;
  • captures d’écran ;
  • vidéos ;
  • code d’exploitation/charge ;
  • requêtes et réponses Web/API ;
  • adresse e-mail ou identifiant d’utilisateur de tout compte utilisé lors des tests ;
  • adresse IP utilisée lors des tests ;
  • solutions de contournement ou stratégies d’atténuation suggérées.

3.2. Obligation de confidentialité

Bien qu’il soit inévitable que l’identification de vulnérabilités donne lieu à l’accès à des informations confidentielles et à des données à caractère personnel de notre entreprise ou de ses personnes concernées, les participants agissant de bonne foi et respectant la présente Politique ne feront pas l’objet de mesures répressives.

La présente Politique vise également à vous autoriser exclusivement à traiter des données à caractère personnel dans la mesure où cela est nécessaire pour identifier, rechercher ou enquêter sur les vulnérabilités dans le respect du cadre défini et des instructions qui y sont prévues. Tout accès supplémentaire ou inutile à ces données à caractère personnel, y compris à la suite d’activités interdites, est interdit.

En tant que personne assujettie à la présente Politique, vous êtes contractuellement tenu de traiter toutes les données à caractère personnel auxquelles vous avez accès avec le plus grand soin et dans le respect de l’Annexe I de la présente Politique et de la législation sur la protection des données applicable. Le fait de contourner cette Politique pourrait avoir pour conséquence que vous soyez considéré comme un responsable du traitement des données indépendant aux fins de toute utilisation ultérieure des données à caractère personnel en question, ce qui exonère MSC Croisières de toute responsabilité, y compris l’application de toute action en justice décrite au point 6.

Nous ne pouvons pas collaborer avec quiconque enfreint les lois ou les réglementations ou tente d’exploiter, à des fins malveillantes, un problème de sécurité. Lorsque vous recherchez des problèmes de sécurité susceptibles de porter atteinte à la vie privée des utilisateurs, veuillez toujours utiliser des comptes de test. Si vous ne pouvez pas reproduire un problème grâce à un compte de test, vous pouvez utiliser un compte réel (sauf pour les tests automatisés). Si tel est le cas, vous devez respecter à la lettre la présente Politique et ne devez accéder aux données à caractère personnel qu’en cas d’absolue nécessité. MSC Croisières se réserve le droit d’engager toutes les actions en justice nécessaires à l’encontre de toute personne qui accède aux systèmes sans respecter le cadre défini par la présente Politique.

Si, par accident, vous êtes à l’origine d’une violation de la confidentialité ou d’une perturbation lors de l’investigation d’un problème ou d’une identification d’une vulnérabilité, vous devez l’indiquer dans votre rapport.

3.3. Coordination et réponse

Dès réception d’un rapport de vulnérabilité, nous nous engageons à nous assurer de la mise en œuvre d’un processus structuré et réactif.

Tout d’abord, nous accuserons réception de votre rapport, en veillant bien à ce que vous sachiez que nous avons lancé l’examen de votre rapport.

Nous vous communiquerons une évaluation initiale de la vulnérabilité, en décrivant les éventuelles répercussions, ainsi qu’un délai de résolution estimé. Tout au long du processus d’enquête et de remédiation, nous continuerons à communiquer avec vous au cas où nous aurions besoin d’informations complémentaires.

Cette approche garantit à la fois transparence et collaboration, ce qui nous permet de répondre aux vulnérabilités et de trouver des solutions, de manière efficace.

De plus, nous vous indiquerons les délais de tri et de traitement. Nous essaierons également de répondre aux questions que vous pourriez vous poser au cours de l’enquête, à notre discrétion, dans la mesure où nous le jugeons utile dans le cadre de la gestion de la vulnérabilité. Pour garantir une évaluation approfondie, chaque rapport doit inclure une description détaillée de la vulnérabilité ainsi que des étapes claires en vue de sa reproduction. Si ces informations ne sont pas détaillées ou ne peuvent pas être vérifiées, ce rapport sera considéré comme « incomplet » ou « non étayé ».

Nous nous efforçons de garantir un traitement rapide et efficace de votre rapport. Les informations détaillées que vous nous transmettez en temps opportun sont essentielles pour que nous puissions remédier efficacement à la vulnérabilité signalée.

4. Indemnisation

À l’heure actuelle, nous n’offrons pas de récompenses monétaires ou non monétaires en cas de signalement d’une vulnérabilité. Cependant, nous apprécions sincèrement vos efforts pour identifier et signaler les problèmes de sécurité. Vos contributions jouent un rôle crucial dans l’amélioration de notre environnement de sécurité, et nous vous remercions pour votre aide dans ce domaine.

4.1. Admissibilité

MSC Croisières se réserve le droit absolu de déterminer la gravité et la validité des vulnérabilités signalées, y compris si celle-ci a déjà été signalée.

Pour que votre rapport soit admissible, vous devez remplir les conditions suivantes :

• être la première personne à signaler la vulnérabilité en question ;
• respecter toutes les directives évoquées au point 3 ;
• vous assurer que la vulnérabilité signalée touche l’un des domaines dont la liste relève du champ d’application ;
• vous abstenir d’entreprendre toute activité dont la liste figure dans la partie intitulée « Activités interdites », y compris toute autre activité susceptible de perturber, de dégrader ou d’avoir une incidence négative sur nos services ;
• entreprendre des activités de test dans le cadre exclusivement défini par la présente Politique ;
• divulguer le rapport de vulnérabilité directement et exclusivement à MSC Croisières ;
• Sans préjudice du point 3, vous abstenir de divulguer publiquement les détails de cette vulnérabilité avant que nous ayons eu la possibilité de la traiter et de la résoudre.

En respectant ces directives, vous nous aidez à garantir un processus de signalement des vulnérabilités sûr et efficace, ce qui nous permet de saluer vos précieuses contributions comme il se doit.

5. Protection juridique

6. Conséquences en cas de non-respect

Le non-respect, par une personne physique ou morale, des directives et instructions figurant dans les présentes, surtout si elle agit de mauvaise foi, entraînera l’une ou plusieurs des conséquences suivantes :

1. 1. Perte de la reconnaissance associée : toute reconnaissance associée au signalement d’une vulnérabilité sera perdue si les directives et les instructions figurant dans la présente Politique ne sont pas respectées.
2. Révocation de la protection juridique : Des protections de type « safe harbor » sont offertes à celles et ceux qui agissent de bonne foi et respectent la présente Politique. Toute activité non autorisée ou tout non-respect du champ d’application pourra entraîner la révocation immédiate de ces protections, vous exposant ainsi à des poursuites judiciaires de la part de MSC Croisières.
3. Actions en justice : En cas de non-respect, MSC Croisières est susceptible d’engager les actions en justice jugées appropriées, notamment des poursuites civiles, des mesures conservatoires, des signalements aux autorités chargées de l’application de la loi et des poursuites pénales, le cas échéant.

7. Indemnisation

Vous acceptez de garantir, de défendre et de dégager de toute responsabilité MSC Croisières, ses dirigeants, administrateurs, employés, agents et sociétés affiliées au titre des demandes, responsabilités, préjudices, pertes et dépenses, y compris les frais et coûts juridiques raisonnables.

8. Signalement d’une infraction

Si vous soupçonnez ou avez connaissance d’activités qui enfreignent la présente Politique, veuillez les signaler immédiatement à MSC Croisières.

9. Nous contacter

Si vous avez des questions, si vous avez besoin d’éclaircissements ou si vous souhaitez signaler une vulnérabilité, n’hésitez pas à nous contacter.

S’agissant des questions urgentes ou si vous souhaitez signaler une vulnérabilité critique, veuillez indiquer « URGENT » dans la ligne d’objet de votre message.

1. Introduction

Le présent Accord de traitement des données (« ATD ») fait partie intégrante de la Politique de divulgation des vulnérabilités de cybersécurité (la « Politique ») et est conclu entre MSC Croisières S.A. (« MSC Croisières » ou le « Responsable du traitement ») et les « Participants » qui signalent des vulnérabilités conformément à la Politique (les « Sous-traitants »).

Le présent ATD s’applique à tout traitement de données à caractère personnel qui sont susceptibles, à titre exceptionnel, d’être consultées ou traitées par les Participants dans le cadre de l’investigation et du signalement de vulnérabilités dans le cadre de la Politique. En transmettant un rapport de vulnérabilité, les Participants acceptent de se conformer au présent ATD et aux clauses qui y figurent.

2. Obligations et droits du Sous-traitant

2.1 Instructions

Le Sous-traitant ne traite les données à caractère personnel que sur instructions documentées du Responsable du traitement telles qu’énoncées dans la présente Politique. Cela inclut tout transfert de données à caractère personnel vers un pays tiers ou une organisation internationale, sauf si le droit applicable auquel le Sous-traitant est soumis l’exige.

À cet égard, le transfert de données à caractère personnel vers des pays tiers ne pourra intervenir que sur la base de garanties juridiques adéquates. 

2.2 Mesures de sécurité

Le Sous-traitant devra mettre en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel contre un traitement non autorisé ou illicite et contre la perte, la destruction, un dommage, l’altération ou la divulgation, de manière accidentelle. Ces mesures doivent satisfaire aux exigences des articles 32 à 36 du RGPD, le cas échéant, et garantir un niveau de sécurité adapté au risque, entre autres :

• le chiffrement des données à caractère personnel ;
• des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes de traitement ;
• des moyens permettant de rétablir la disponibilité des données personnelles et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;
• la réalisation régulière de tests, d’analyses et d’évaluation de l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement ;
• la gestion sécurisée des activités de maintenance et d’assistance, en garantissant un traitement minimal des données, l’utilisation de canaux sécurisés dans le cadre de la migration des données et la suppression appropriée des données après leur utilisation.

2.3 Sous-traitants ultérieurs

Les Participants ne devront pas faire appel à des sous-traitants ultérieurs pour traiter des données à caractère personnel sans l’autorisation écrite à cet effet de MSC Croisières.

2.4 Droits des personnes concernées

Le Sous-traitant devra assister le Responsable du traitement dans la réponse aux demandes des personnes concernées en vertu de la législation sur la protection des données applicable, y compris les droits d’accès, de rectification, d’effacement, de limitation du traitement, de portabilité et d’opposition.

2.5 Notification des violations des données

Le Sous-traitant devra informer le Responsable du traitement dans les meilleurs délais dès qu’il a connaissance d’une violation des données à caractère personnel, en lui communiquant des informations suffisantes pour lui permettre de s’acquitter de toute obligation qui lui est faite de signaler ou d’informer les personnes concernées de cette violation conformément à la législation sur la protection des données applicable.

2.6 Conservation et suppression des données

Le Sous-traitant devra supprimer ou restituer toutes les données à caractère personnel auxquelles il a pu accéder immédiatement après avoir signalé la vulnérabilité, conformément à la Politique.

2.7 Assistance dans le cadre du respect de la loi

Le Sous-traitant devra aider le Responsable du traitement à s’assurer du respect des articles 32 à 36 du RGPD, en partageant toutes les informations pertinentes décrites dans la Politique.

2.8 Responsabilité

Si le Sous-traitant enfreint le présent ATD dans le cadre de la détermination des finalités et moyens du traitement, il sera considéré comme un Responsable du traitement au titre dudit traitement et en assumera l’entière responsabilité. Le point 6 de la Politique s’applique également.

3. Obligations et droits du Responsable du traitement

3.1 Instructions

Le Responsable du traitement donne des instructions documentées eu égard aux activités de traitement des données via la Politique.

4. Coordonnées concernant les questions de protection des données

4.1 Responsable du traitement

Toutes les communications concernant les questions de protection des données doivent être adressées au délégué à la protection des données à l’adresse suivante : dpo@msccruises.com.

5. Droit applicable

Le présent ATD est régi par le droit suisse. Tout litige en découlant sera soumis à la compétence exclusive des tribunaux de Genève, en Suisse.