Politique de divulgation des vulnérabilités de NORALSY

1. Introduction

Chez NORALSY, la sécurité de nos systèmes, applications et matériels est une priorité. Nous apprécions le travail des chercheurs en sécurité, des utilisateurs et de toute personne souhaitant nous signaler des vulnérabilités. Cette politique vise à encadrer la manière dont vous pouvez nous faire part de vulnérabilités de façon responsable et coordonnée.

2. Portée

Les vulnérabilités signalées peuvent concerner :

  • BATICONNECT (nos applications, systèmes ou services dédiés)
  • NORALSY.COM (nos sites web, API, infrastructure en ligne)
  • Matériel (équipements, dispositifs physiques conçus ou distribués par NORALSY)

Vous pouvez nous signaler une vulnérabilité de deux manières :

  1. Par e-mail
 Envoyez un message à : vulnerability@noralsy.com


Merci d’inclure dans votre e-mail :

  • Une description précise de la vulnérabilité
  • Les étapes pour la reproduire
  • L’impact potentiel
  • Des preuves (captures d’écran, code de preuve de concept, logs, etc.)
  • Vos coordonnées (nom, pseudo, e-mail). Facultatif, mais cela peut faciliter nos échanges
  1. Via un formulaire sécurisé disponible en fin de page.

Après soumission, le contenu sera automatiquement envoyé à vulnerability@noralsy.com pour traitement.

4. Nos engagements

Nous accusons réception de votre signalement dans un délai raisonnable.Nous traiterons les vulnérabilités de manière confidentielle.Nous nous engageons à analyser vos rapports et, si nécessaire, à travailler à un correctif.Si vous le souhaitez, et selon la nature de la vulnérabilité, nous pourrons coordonner une publication publique (divulgation) avec vous.

5. Bonnes pratiques et limites

Lorsque vous effectuez vos tests :

  • Agissez de bonne foi et évitez tout comportement malveillant.
  • Limitez-vous aux systèmes que vous testez (ne pas accéder à des données inutiles).
  • Utilisez des méthodes non destructrices pour confirmer la vulnérabilité.
  • Ne publiez aucune découverte avant que nous ayons eu l’occasion d’y répondre, sauf accord préalable.
  • Si vous trouvez des informations sensibles (données personnelles, secrets d’entreprise…), interrompez vos tests et prévenez-nous immédiatement.

6. Protection des personnes qui signalent

Tant que vous respectez cette politique (tests de bonne foi, non-exploitation malveillante, confidentialité), vous ne ferez pas l’objet de poursuites de la part de NORALSY liées à vos tests de sécurité.

7. Confidentialité des données

Les informations que vous nous fournissez peuvent contenir des données personnelles (par exemple, votre adresse e-mail) :

  • Nous les traiterons conformément à notre politique de confidentialité.
  • Nous ne partagerons pas vos informations personnelles sans votre consentement, sauf exigence légale.
  • Si vous acceptez, nous pouvons vous créditer comme “découvreur·se” lors d’une éventuelle divulgation publique.

8. Confidentialité des données

Si la vulnérabilité est critique, nous pourrons établir une stratégie de divulgation coordonnée :

  • discussion du calendrier de publication / correctif
  • désignation d’un identifiant (par exemple CVE) si pertinent
  • communication conjointe si vous le souhaitez