Signalement d’un problème de cybersécurité : Politique de divulgation des vulnérabilités en matière de sécurité

L’UNESCO est reconnaissante de l'aide apportée par le public pour renforcer la sécurité de ses ressources en matière de technologies de l'information et de la communication, en informant l'UNESCO de toute faiblesse sur les systèmes d'information et les actifs que l'UNESCO met à la disposition du public, ainsi qu'en signalant tous types de problèmes de cybersécurité.

Dernière mise à jour4 mars 2025

Quoi signaler

Tout incident de sécurité ou vulnérabilité associée aux ressources des technologies de l'information et de la communication (TIC) de l'UNESCO accessibles au public, y compris ses sites web.

Quoi ne pas signaler

Les vulnérabilités hors du périmètres sont les suivantes :

TIC sites/web applications en dehors du domaine UNESCO.ORG
Tous les tests sur des sites ou applications web non liées (pas de configuration DNS ou email associé à l’UNESCO).
Cookie non marqué comme HttpOnly.
Cookie non marqué comme Secure.
HTTP security headers manquant.
HTTP Header Information Disclosure manquant.
Divulgation de la version du logiciel/ banner identification.
Meilleures pratiques manquantes dans la configuration SSL/TLS.
xmlrpc.php sans page d'administration exposée à Internet.
Pas de fuzzing automatisé des formulaires ni d'activités de type web scraping.
Toute activité pouvant conduire à une interruption de service (DoS).

Cependant, si un incident critique a été identifié concomitamment, merci de le signaler

Politique de signalement des vulnérabilités

L’UNESCO peux prendre en compte les signalements de vulnérabilités sur la base des conditions suivantes :

La vulnérabilité est liée à une ressource TIC de l’UNESCO.
La vulnérabilité n’a pas déjà été publiée officiellement.
La vulnérabilité est signalée dès que possible à l’UNESCO après sa découverte.
La vulnérabilité signalée et ses détails doivent rester confidentiel pendant au moins 90 jours après la date du signalement auprès de l’UNESCO ou jusqu’à sa divulgation au public sur ce site web.
La criticité de la vulnérabilité est évaluée par l’UNESCO à sa discrétion.
Le nom et les informations de contact de la personne ayant signalé la vulnérabilité pourront être partagés avec le(s) fournisseur(s) de l’application, sauf indication contraire du chercheur.
UNESCO se réserve le droit de rejeter des signalements de vulnérabilités à sa discrétion.

Pour signaler des vulnérabilités concernant des ressources d’autres organisation des Nations Unies, nous vous invitons à vous référer à .

L’UNESCO contactera les chercheurs à l’origine du signalement si des détails supplémentaires sont nécessaires. Si l’UNESCO prends en compte le rapport de signalement de la vulnérabilitié, l'UNESCO vérifiera l’existence de la vulnérabilité, informera les parties prenantes, et implémentera les actions pour mitiger la vulnérabilité. Une fois que la vulnérabilité aura été corrigée, le chercheur sera remercié sauf contre-indication de sa part, et listé sur cette page avec une description courte de la vulnérabilité signalée.

En signalant une vulnérabilité à l’UNESCO, le chercheur reconnait que cette action est effectuée pro bono et sans contrepartie financière ou d’autre type. Le chercheur s’engage à ne pas être, à titre personnel ou via son organisation, complice de crime contre l’humanité, tolère le travail forcé ou le travail des enfants, est impliqué dans la vente ou la fabrication de mines anti-personnelles ou leurs composants, ou ne respectent pas les principes et objectifs de l’UNESCO.

Comment signaler?

Les chercheurs peuvent signaler une vulnérabilité via un email chiffré avec une clé PGP à cybersecurity@unesco.org contenant une documentation claire présentant comment reproduire la vulnérabilité décrite.

91麻豆国产精品自拍