Skip Links Navigation

Header

Meta Navigation

Recherche

Vulnerability Disclosure Policy

La Banque nationale suisse (BNS) accorde une très grande importance à la sécurité de ses systèmes informatiques et de ses sites Internet ainsi qu'à la protection de ses données. Nous avons conscience que des vulnérabilités peuvent apparaître dans des environnements informatiques complexes et apprécions le soutien que nous recevons de la communauté de recherche sur la sécurité. Vos contributions nous aident à améliorer continuellement nos mesures de sécurité.
Si vous découvrez ou avez connaissance d'une vulnérabilité dans les systèmes informatiques ou sur les sites Internet de la BNS, nous vous prions de bien vouloir nous en faire part sans délai conformément à la stratégie en matière de divulgation des vulnérabilités.

Marche à suivre pour notifier une vulnérabilité

  • Renseignez-vous tout d'abord sur les vulnérabilités qui ne sont pas recevables et ne peuvent pas être traitées dans le cadre de la présente stratégie.
  • Veillez à ce que la vulnérabilité ou sa notification n'enfreignent pas le droit en vigueur.
  • Envoyez par courriel crypté à vulnerability-disclosure@snb.ch la description de la vulnérabilité découverte. Vous trouverez les informations nécessaires dans le fichier security.txt.
  • Mettez à notre disposition des informations détaillées pour que les services responsables à la BNS puissent analyser la vulnérabilité et la comprendre. Pour procéder à sa notification, utilisez le modèle de compte rendu établi à cet effet.
vulnerability-disclosure@snb.ch vulnerability-disclosure@snb.ch
security.txt security.txt

Traitement de la notification par la BNS

  • La BNS confirmera la réception de votre notification, examinera la vulnérabilité et la corrigera le plus rapidement possible.
  • Votre compte rendu sera traité de manière confidentielle et aucune information ne sera transmise à une tierce personne sans votre accord, hormis si la loi l'exige.
  • La BNS ne prendra aucune mesure juridique à votre encontre si vous vous conformez aux règles de la stratégie en matière de divulgation des vulnérabilités, qu'aucune mauvaise intention ou intention criminelle ne peut être reconnue et qu'aucun acte répréhensible n'a été commis. Si une violation contre la présente stratégie en matière de divulgation des vulnérabilités ou un acte répréhensible sont commis, la BNS se réserve le droit de mettre en oeuvre toutes les mesures juridiques à sa disposition.
  • Après examen de votre notification, nous vous communiquerons les résultats de notre analyse.
  • La BNS ne verse aucune récompense pour la notification de vulnérabilités.
  • Vous trouverez des informations sur le traitement de vos données personnelles sur le site https://www.snb.ch/fr/srv/disclaimer_data
Informations sur le traitement de vos données personnelles Informations sur le traitement de vos données personnelles

Vulnérabilités recevables

En principe, toute vulnérabilité peut être notifiée. Exemples:

  • Cross-site scripting (XSS)
  • Cross-site request forgery (CSRF)
  • Server-side request forgery (SSRF)
  • Remote code execution (RCE)
  • Erreur de configuration
  • Authentification manquante
  • Fuite de données

Vulnérabilités non recevables et activités interdites

Les types suivants de vulnérabilités n'ont pas besoin d'être notifiés. Nous ne traitons pas les comptes rendus qui présentent des vulnérabilités de cette nature, qui sont incomplets ou qui n'utilisent pas le modèle requis.

  • Écarts par rapport aux meilleures pratiques et absence d'en-têtes de sécurité
  • Failles dans des navigateurs obsolètes
  • Détournement de clics (clickjacking) sans conséquences concrètes
  • Attributs non sécurisés relatifs à des cookies non sensibles (absence d'indicateurs de cookies pour des cookies non sensibles)

Nous soulignons par ailleurs que les activités suivantes en particulier sont expressément interdites. Elles peuvent être considérées comme des actes relevant du droit pénal:

  • Ingénierie sociale (par exemple phishing) à l'encontre de collaboratrices ou de collaborateurs de la BNS
  • Activités susceptibles d'avoir une incidence négative sur la BNS (par exemple attaque de déni de service, envoi de spam au nom de la BNS)
  • Recours à des outils automatisés ou à des scripts qui surchargent les systèmes de la BNS ou peuvent entraver leur fonctionnement normal
  • Autres attaques susceptibles de nuire à la performance ou à l'intégrité des systèmes de la BNS (par exemple installation d'un maliciel, attaque par force brute, test à données aléatoires (fuzzing) ou techniques similaires)
  • Modification, suppression ou copie non autorisées de données enregistrées dans les systèmes de la BNS
  • Publication d'informations sur des vulnérabilités identifiées ou supposées sans accord écrit exprès de la BNS

Modèle de compte rendu pour les vulnérabilités

  1. Titre / désignation de la vulnérabilité
  2. Auteur et données de contact
  3. Application, système, appareil ou produit concernés (URL, adresse IP, fabricant, produit, version)
  4. Description de la vulnérabilité, y compris détails techniques
  5. Preuve de concept
  6. Révision, solution, prévention

Vos paramètres

Cookies nécessaires: ces cookies (par exemple pour enregistrer votre adresse IP) ne peuvent pas être refusés, car ils sont indispensables au fonctionnement du site Internet. Ces données ne sont pas analysées plus en avant.
Cookies d'analyse: en acceptant cette catégorie de cookies, vous autorisez la collecte d'informations comme l'adresse IP, la localisation, les informations sur les appareils, la version du navigateur et le comportement de navigation. Ces données sont évaluées à des fins internes par la BNS et supprimées après deux ans.
Cookies de tiers: en acceptant cette catégorie de cookies, vous autorisez l'activation de services de tiers (par exemple pour proposer des contenus multimédia sur le site Internet de la BNS). Ces services collectent, traitent et communiquent des données personnelles à l'étranger, à savoir dans le monde entier. Ils utilisent également des cookies. Les dispositions en vigueur sur la protection des données figurent dans la Déclaration sur la protection des données - site Internet de la Banque nationale suisse.

Sélectionnez les paramètres souhaités:

Pour mettre à disposition les fonctions, les contenus et les services demandés, personnaliser les contenus affichés et proposer des liens vers les réseaux sociaux, ce site utilise des cookies, des outils d'analyse et diverses technologies. De plus, son utilisation est analysée de manière anonyme afin d'améliorer sa convivialité. Des données personnelles sont également transmises à des prestataires de services vidéo à l'étranger, à savoir dans le monde entier, et il est fait utilisation des outils d'analyse de ces prestataires. Vous trouverez de plus amples informations à la rubrique Gestion des paramètres.