Divulgation responsable

Chez FORCYD, nous accordons une grande importance à la sécurité de nos systèmes, de notre réseau et de nos produits. Bien que nous accordions une grande attention à la sécurité, il peut arriver qu'une faille soit détectée. Si tel est le cas, nous souhaitons en être informés dès que possible afin de pouvoir prendre rapidement des mesures.

Les failles peuvent être découvertes de deux manières : vous tombez accidentellement sur quelque chose lors de l'utilisation normale d'un environnement numérique, ou vous faites explicitement de votre mieux pour trouver une faille. Notre politique de divulgation responsable n'est pas une invitation à scanner activement le réseau de notre entreprise à la recherche de failles. Nous surveillons nous-mêmes notre réseau. Par conséquent, il y a de fortes chances qu'un scan soit détecté, que notre centre d'opérations de sécurité (SOC) mène une enquête et que des coûts inutiles soient engagés. En ce qui concerne nos produits, vous êtes cordialement invité à rechercher activement les vulnérabilités dans un environnement hors ligne et hors production et à nous signaler vos découvertes. Par souci de responsabilité envers nos clients, nous ne voulons pas encourager les tentatives de piratage de leur infrastructure. Cependant, là encore, nous souhaitons être informés dès que possible de la découverte de vulnérabilités afin de pouvoir les corriger de manière adéquate. Nous souhaitons travailler avec vous afin de mieux protéger nos clients et nos systèmes.

NOUS VOUS DEMANDONS

  • Envoyez vos résultats le plus rapidement possible à responsibledisclosure@forcyd.com. Veuillez sécuriser vos communications à l'aide de notre  clé PGP (Empreinte digitale : C569 7486 1AD5 E1E0 9FD5 C158 13BC 0557 8803 0BFD).
  • N'abusez pas de cette faiblesse, par exemple en téléchargeant, modifiant ou supprimant des données. Nous prenons toujours vos signalements au sérieux et enquêtons sur tout soupçon de vulnérabilité, même en l'absence de « preuve ».
  • Ne partagez pas le problème avec d'autres personnes tant qu'il n'est pas résolu.
  • N'utilisez pas d'attaques contre la sécurité physique, d'ingénierie sociale ou d'outils de piratage, tels que des scanners de vulnérabilité.
  • Donnez-nous suffisamment d'informations pour reproduire le problème afin que nous puissions le résoudre le plus rapidement possible. En général, l'adresse IP ou l'URL du système concerné et une description de la vulnérabilité suffisent, mais les vulnérabilités plus complexes peuvent nécessiter davantage d'informations.
  • Veuillez noter que nous considérons que notre site web WordPress d'entreprise (hébergé sur forcyd.com) est hors du champ d'application. En outre, les applications tierces (SaaS) sur notre (nos) domaine(s) qui ne sont pas gérées par nous sont également hors de portée pour un bounty. Toutefois, nous acceptons volontiers les rapports sur les vulnérabilités.

NOUS VOUS PROMETTONS

  • Nous répondrons à votre rapport dans un délai de trois jours ouvrables avec notre évaluation du rapport et une date prévue pour une solution.
  • Nous traiterons votre rapport de manière confidentielle et ne partagerons pas vos informations personnelles avec des tiers sans votre consentement. Une exception à cette règle concerne la police et la justice, en cas de déclaration ou si des données sont réclamées.
  • Nous vous tiendrons informé de l'évolution du problème.
  • Dans notre rapport sur le problème signalé, nous mentionnerons, si vous le souhaitez, votre nom en tant que découvreur.
  • Malheureusement, il n'est pas possible d'exclure à l'avance toute action en justice à votre encontre. Nous voulons pouvoir évaluer chaque situation séparément. Nous nous considérons moralement obligés de signaler dès que nous soupçonnons que la faille ou les données sont utilisées de manière abusive, ou que vous avez partagé des informations sur la faille avec d'autres personnes. Vous pouvez être sûr qu'une découverte accidentelle dans notre environnement en ligne ne donnera pas lieu à un signalement.
  • En guise de remerciement pour votre aide, nous offrons une récompense pour chaque signalement d'un problème de sécurité inconnu. Nous déterminons le montant de la rémunération en fonction de la gravité de la fuite et de la qualité du signalement.

Nous nous efforçons de résoudre tous les problèmes le plus rapidement possible et de tenir toutes les parties concernées informées. Nous sommes heureux de participer à toute publication sur le problème après sa résolution.

HALL OF THANKS

À l'heure actuelle, aucun individu ni aucune organisation n'a été ajouté à notre Hall of Thanks.

 Cette page web a été mise à jour en octobre 2025.