Code de conduite

Avertissement : L'original de cette page est rédigé en néerlandais. Cette page a été traduite automatiquement dans d'autres langues à l'aide de DeepL. Il peut en résulter des différences de nuances, de ton et de sens. En cas de doute, consultez toujours d'abord la version néerlandaise. En raison du coût élevé des traductions, le contenu de cette page peut être inférieur à celui de la version néerlandaise. Nous considérons la version néerlandaise de cette page comme la première.

Code de conduite Internet Cleanup Foundation version 1.0

Les bénévoles de l’Internet Cleanup Foundation mènent leurs activités conformément à ce code de conduite.

  1. L’Internet Cleanup Foundation est une fondation néerlandaise dont l’objectif est de rendre l’internet sûr. Les objectifs sous-jacents sont une société résiliente face aux menaces en ligne et la possibilité pour chacun d’utiliser l’internet en toute sécurité. Nous y parvenons en partie en donnant un aperçu de la disponibilité, de l’intégrité et de la confidentialité des services numériques. Par exemple, en visualisant l’application des mesures de sécurité numérique.
  2. Ce code de conduite jette les bases éthiques de nos activités. Il s’agit d’un point essentiel car nous travaillons avec des données potentiellement sensibles et, dans la plupart des cas, sans consentement préalable ni accord de traitement.
  3. Nous nous occupons de :
    1. la recherche (automatisée) par domaine et la mesure automatisée des (mesures de protection contre les) vulnérabilités de l’infrastructure numérique
    2. la visualisation à très grande échelle de l’application ou de l’absence d’exigences de sécurité, lorsqu’il est éthiquement acceptable de la publier (voir la politique de publication)
    3. communiquer ces résultats de la manière la plus publique possible, dans le but de résoudre les vulnérabilités éventuelles
    4. Travailler avec des organisations de confiance pour résoudre ces vulnérabilités
  4. Nous sommes conscients que nous sommes à la limite de ce qui est légalement admissible. C’est pourquoi nos activités reposent sur des considérations prudentes. Les activités doivent toujours respecter les bases suivantes :
    1. Avantage social : nous agissons dans l’intérêt public parce que nous pensons que l’internet devrait être un endroit sûr pour tous. Nos activités ne sont pas motivées par des intérêts financiers, politiques ou individuels.
    2. Proportionnalité : l’objectif est d’accroître la disponibilité, l’intégrité et la confidentialité des services en ligne, l’objectif supérieur étant de rendre la société plus sûre. Nos efforts visent à renforcer la sécurité et non à l’affaiblir.
    3. Subsidiarité : la solution qui permet d’atteindre l’objectif avec le moins d’impact est toujours choisie.
  5. Nous sommes méticuleux : les mesures sont vérifiables, justifiées et clairement formulées. Nous créons et utilisons des outils de mesure de haute qualité qui n’endommagent pas les systèmes ou l’infrastructure. Les mesures ne sont jamais prises au-delà de ce qui est nécessaire pour démontrer la vulnérabilité ou l’absence d’une mesure de sécurité.
  6. Nous sommes conscients de la complexité de l’internet et de l’infrastructure numérique. C’est pourquoi le principe « se conformer ou expliquer » est appliqué aux mesures. Cela permet d’établir une norme concernant les exceptions à la sécurité de base qui sont acceptables dans telle ou telle situation. Cette politique est rendue publique afin que les organisations puissent s’y conformer. Une explication est acceptée si elle porte sur une solution « de conception ». Pour les explications qui indiquent des erreurs de mesure, les outils de mesure sont davantage ciblés et la mesure est mise à jour.
  7. Nous mesurons et publions à l’échelle nationale et ciblons des industries entières et les organisations faîtières concernées. Nous traitons toutes les organisations sur un pied d’égalité et attendons d’elles qu’elles respectent les mêmes exigences en matière de sécurité.
  8. Les vulnérabilités sont publiées si possible conformément à ce code de conduite. La publication présente un certain nombre de caractéristiques que nous nous efforçons explicitement d’atteindre :
    1. Les personnes moins au fait de la sécurité numérique se rendent compte de la qualité de la gestion de la sécurité par les organisations. Elles peuvent en tirer des conclusions et s’efforcer de s’améliorer,
    2. La sécurité devient tangible pour les conducteurs, ce qui leur permet de s’orienter vers elle au lieu de naviguer à l’aveuglette,
    3. Cela évite à une grande organisation de personnel de devoir traiter et suivre chaque vulnérabilité individuellement,
    4. La transparence est en train d’émerger : sur l’étendue des services en ligne et sur leur qualité. Cette image fait défaut à de nombreuses organisations, ce qui explique, par exemple, que des systèmes soient oubliés, ne soient pas corrigés et deviennent de plus en plus vulnérables.
    5. Nous rendons public ce qui l’est déjà, tout en protégeant ce qui devrait l’être. En d’autres termes, « Öffentliche Daten nützen, private Daten schützen ».
  9. Les mesures publiées sont actuelles. Elles sont répétées régulièrement et, dans la plupart des cas, ne remontent pas à plus de deux mois. Par conséquent, chaque organisation qui fait l’objet d’une mesure contrôle sa propre évaluation.
  10. Nous signalons les failles de sécurité de base en les communiquant publiquement et le plus largement possible. Le propriétaire des systèmes est responsable de la résolution des problèmes constatés.
  11. Toutes les personnes impliquées dans les activités de la fondation connaissent ces règles de conduite et veillent à ce qu’elles soient respectées. Si quelqu’un ne respecte pas ces règles de conduite, des mesures sont prises. L’une de ces mesures consiste, par exemple, à refuser l’accès aux projets et aux infrastructures.
  12. Avant de publier des informations sur de nouveaux groupes d’organisations, les organisations faîtières seront contactées pour annoncer et rationaliser la publication en vue d’un atterrissage en douceur avec les responsables. Après une période d’atterrissage d’au moins un mois, la publication sera lancée.
  13. Les nouveaux types de mesures sont annoncés aux organisations faîtières. Celles-ci ont ainsi la possibilité de les transmettre à leurs participants pour un suivi rapide.
  14. Nous appliquons les slogans des hackers « soyez excellents les uns envers les autres » et « toutes les créatures sont les bienvenues » aux manières sociales dans la fondation.

Ce code de conduite s’inspire de celui de l’Institut néerlandais pour la divulgation des vulnérabilités, que nous remercions.