Politique de divulgation des vulnérabilités

Chez Noralsy, nous nous engageons à traiter les problèmes de sécurité de manière coordonnée, responsable et constructive, afin d’assurer la meilleure protection possible à nos clients, partenaires, collaborateurs et à l’ensemble des utilisateurs de nos services en ligne.

Une vulnérabilité de sécurité est une faille dans nos systèmes, applications ou services pouvant compromettre leur sécurité. Cette politique s’applique à toutes les vulnérabilités identifiées, que ce soit par nos équipes internes ou par des chercheurs ou utilisateurs externes.

La responsabilité de cette politique incombe à la direction de Noralsy, qui s’engage à la réviser au moins une fois par an. Tous les membres de notre personnel sont tenus de la respecter et bénéficient de formations régulières sur les bonnes pratiques en matière de sécurité informatique.

Signaler une vulnérabilité

Si vous avez identifié une vulnérabilité affectant l’un de nos services ou souhaitez nous signaler un incident de sécurité, merci de nous contacter à l’adresse suivante : vulnerability@noralsy.com, ou d’envoyer votre demande via le formulaire dédié en fin de page.

Pour garantir la confidentialité des échanges, notre clé PGP est disponible sur demande

Lors de l’envoi de votre rapport, merci d’indiquer les éléments suivants :

  • L’adresse du site, l’IP, la page, ou le produit concerné par la vulnérabilité,
  • Une brève description du type de vulnérabilité,
  • Les étapes pour reproduire la faille (idéalement sous forme de preuve de concept bénigne et non destructive), afin de faciliter l’analyse.

Que se passe-t-il après le signalement ?

Dès réception de votre rapport, Noralsy prendra les mesures suivantes :

1- Accusé de réception rapide du signalement ;
2- Demande de confidentialité durant le traitement du rapport ;
3- Analyse approfondie de la faille en collaboration avec vous ;
4- Communication d’un délai estimé de résolution ;
5- Notification une fois la faille corrigée, avec possibilité de retest de votre part ;
6- Annonce publique de la correction dans nos notes de mise à jour, et éventuellement via nos réseaux sociaux.

Nous pouvons, sauf demande contraire, mentionner votre nom dans nos publications comme contributeur à l’amélioration de notre sécurité.

Règles d’engagement

Vous ne devez en aucun cas :

  • Enfreindre la législation en vigueur ;
  • Divulguer les détails de la faille autrement que via les canaux mentionnés dans notre fichier security.txt ;
  • Utiliser des outils de scan intensifs ou destructifs pouvant perturber nos services ;
  • Mener des tests physiques ou de l’ingénierie sociale sur nos locaux ou équipes ;
  • Réaliser ou signaler des attaques de type déni de service (DDoS) ;
  • Rapporter des défauts mineurs de configuration TLS (ex. : prise en charge de TLS 1.0 ou suites de chiffrement jugées faibles) ;
  • Exiger une compensation financière, avant ou après la divulgation.

Vous ne devez pas divulguer publiquement une vulnérabilité affectant Noralsy tant qu’elle n’a pas été corrigée et validée comme telle par nos équipes. Cela ne vous empêche pas d’en informer d’autres parties directement concernées, à condition que la confidentialité soit respectée jusqu’à la résolution.

Vous devez également :

  • Toujours respecter la législation sur la protection des données (RGPD) ;
  • Ne jamais violer la vie privée des utilisateurs ou des collaborateurs de Noralsy ;
  • Supprimer en toute sécurité toute donnée récupérée durant vos tests, dès qu’elle n’est plus nécessaire ou au plus tard un mois après la résolution de la vulnérabilité, sauf exigence contraire imposée par la loi.

Cadre légal

Cette politique s’appuie sur les bonnes pratiques reconnues en matière de divulgation responsable. Elle ne constitue pas une autorisation légale à agir en dehors de la loi ou à exposer Noralsy à une quelconque infraction.

Elle prend notamment en compte les textes suivants :

  • Le Règlement Général sur la Protection des Données (RGPD) ;
  • Le Code pénal français (notamment les infractions liées à l’accès frauduleux à un système de traitement automatisé de données) ;
  • Le Code de la propriété intellectuelle.

Noralsy s’engage à ne pas engager de poursuites à l’encontre des chercheurs ou personnes ayant signalé une vulnérabilité, dans la mesure où leurs actions ont été réalisées de bonne foi et dans le respect de cette politique.