Programme de divulgation des vulnérabilités.
Nous avons toujours eu à cœur d’assurer la sécurité et la confidentialité de nos utilisateurs. Nous reconnaissons donc l’importance de collaborer avec des chercheurs en sécurité et des membres de la communauté au sens large pour identifier et atténuer les vulnérabilités potentielles de nos produits et services.
Notre programme de divulgation des vulnérabilités est spécialement conçu pour encourager la divulgation responsable des vulnérabilités de sécurité dans nos systèmes et pour faciliter la coordination des efforts de divulgation et de remédiation.
Champ d’application
Notre programme de divulgation des vulnérabilités couvre tous les systèmes, applications et services détenus et exploités par Agendrix.
Divulgation responsable
Nous encourageons les chercheurs en sécurité et les personnes qui découvrent des vulnérabilités potentielles à les signaler rapidement. Nous vous demandons cependant de nous accorder un délai raisonnable pour enquêter sur les problèmes signalés et les résoudre avant de les divulguer au public ou à des tiers. Nous nous attendons aussi à ce que vous agissiez de bonne foi pour :
- Ne pas compromettre la vie privée ou la sécurité de nos clients;
- Ne pas interrompre ou dégrader nos services;
- Ne pas modifier ou accéder à des données qui ne vous appartiennent pas.
Types de vulnérabilités
Nous encourageons la divulgation responsable de toute faille de sécurité susceptible de compromettre la confidentialité, l’intégrité ou la disponibilité des systèmes ou des données d’Agendrix. Ceci inclut entre autres :
- Les scripts intersites (XSS);
- L’injection SQL;
- La falsification de requête côté serveur (SSRF);
- Le contournement de l’authentification;
- L’exécution de code à distance (RCE);
- La divulgation d’information;
- L’élévation des privilèges.
Hors champ d’application
Notre programme de divulgation des vulnérabilités ne couvre pas :
- Tout type de balayage automatisé (scan);
- Les vulnérabilités connues ou déjà signalées;
- Les attaques par déni de service;
- Spam/Problèmes de rate limiting;
- Les attaques par ingénierie sociale ou phishing;
- Les fichiers et répertoires non sensibles accessibles (par exemple : README.txt, robots.txt, .gitignore, etc.);
- Les vulnérabilités en matière de sécurité physique;
- L’usurpation d’adresse électronique (y compris l’absence de SPF, DKIM, l’usurpation de l’adresse « From: » et les problèmes visuellement semblables ou connexes);
- Les en-têtes de sécurité HTTP manquants;
- Les vulnérabilités dans les applications ou services tiers, même s’ils s’intègrent aux systèmes d’Agendrix.
Processus de signalement
Pour signaler une vulnérabilité, veuillez envoyer un courriel à l’adresse [email protected].
Votre courriel doit contenir les informations suivantes :
- Une description détaillée de la vulnérabilité, y compris les étapes pour la reproduire;
- Toute information technique pertinente ou code de preuve de concept;
- Vos coordonnées, y compris votre nom et votre adresse électronique.
Votre rapport doit clairement démontrer l’impact. Choisissez toujours une méthode non perturbatrice pour démontrer l’impact. Si la démonstration de l’impact nécessite une approche perturbatrice, arrêtez et signalez le problème. Nous validerons alors l’impact.
Réponse et communication
Dès réception d’un rapport de vulnérabilité, nous en accuserons de réception dans les 48 heures. Nous nous efforcerons aussi de valider la vulnérabilité signalée et de déterminer son niveau de risque en évaluant sa probabilité, sa gravité et son impact sur nos systèmes. Une fois la vulnérabilité vérifiée, nous donnerons la priorité à sa résolution en fonction de son niveau de risque.
Nous maintiendrons une communication ouverte avec l’auteur du signalement tout au long du processus de remédiation en fournissant des mises à jour régulières sur l’état d’avancement de l’enquête et de la résolution.
Récompenses
Nous déciderons si la vulnérabilité donne droit à une récompense ou non, en fonction de sa probabilité et de son impact.
Si c’est le cas, nous offrons des récompenses pour la divulgation responsable des failles de sécurité conformément à ce programme. Le montant de la récompense sera déterminé en fonction de la gravité et de l’impact de la vulnérabilité signalée. Les récompenses pour les découvertes qualifiées vont de 50 à 1000 CAD.
Conclusion
Nous apprécions les contributions des chercheurs en sécurité et des membres de la communauté qui nous aident à maintenir la sécurité et l’intégrité de nos systèmes. Nous nous engageons à traiter et à résoudre rapidement les vulnérabilités signalées afin d’assurer la protection de nos utilisateurs et de leurs données.
Nous vous remercions de votre coopération dans le maintien de la sécurité d’Agendrix.
Informations de contact
Courriel : [email protected]
Site web : https://www.agendrix.com/fr/securite