Signaler des vulnérabilités de sécurité
Si vous découvrez une vulnérabilité de sécurité dans ISMS Copilot, nous souhaitons en être informés. Cet article explique ce qui constitue un problème de sécurité, comment le signaler de manière responsable et à quoi vous attendre lors de notre processus de résolution.
Ne divulguez pas publiquement les vulnérabilités avant que nous ayons eu la possibilité d'enquêter et de les corriger. Une divulgation publique met en danger tous les utilisateurs d'ISMS Copilot.
Ce qui constitue une vulnérabilité de sécurité
Signalez les problèmes qui pourraient compromettre :
La confidentialité des données : Accès non autorisé aux données utilisateur, aux espaces de travail, aux conversations ou aux documents téléchargés
L'authentification et le contrôle d'accès : Contournement de la connexion, détournement de session, élévation de privilèges ou accès aux comptes d'autres utilisateurs
L'intégrité des données : Modification ou suppression non autorisée de données utilisateur ou de configurations système
La sécurité de l'application : Injection SQL, cross-site scripting (XSS), cross-site request forgery (CSRF) ou attaques par injection similaires
La sécurité de l'infrastructure : Mauvaises configurations de serveur, identifiants exposés ou points de terminaison d'API non sécurisés
Les défaillances de chiffrement : Chiffrement faible ou défaillant, transmission de données non sécurisée ou clés cryptographiques exposées
Ce qui ne constitue pas une vulnérabilité
Les éléments suivants ne sont pas considérés comme des vulnérabilités de sécurité :
Demandes de fonctionnalités ou rapports de bugs généraux (utilisez notre canal de support standard pour cela)
Problèmes nécessitant un accès physique à l'appareil d'un utilisateur
Attaques d'ingénierie sociale ciblant les utilisateurs finaux
Attaques par déni de service (DoS) sans impact démontrable
Spam ou contournement de la limitation de débit pour des fonctionnalités légitimes
Vulnérabilités dans des services tiers que nous ne contrôlons pas (signalez-les directement au fournisseur)
Si vous n'êtes pas certain qu'un problème constitue une vulnérabilité de sécurité, signalez-le quand même. Nous préférons examiner un faux problème plutôt que de rater une véritable vulnérabilité.
Versions supportées
ISMS Copilot fonctionne comme une plateforme de logiciel en tant que service (SaaS) avec un déploiement continu. Tous les utilisateurs utilisent automatiquement la dernière version de production — il n'y a pas de versions héritées à maintenir.
Les vulnérabilités de sécurité doivent être signalées pour :
L'application de production : https://chat.ismscopilot.com
Le centre d'aide : https://help.ismscopilot.com
Les sites web publics : https://www.ismscopilot.com, https://trust.ismscopilot.com
Les points de terminaison d'API : Toute API accessible publiquement ou authentifiée utilisée par l'application
Comment signaler une vulnérabilité
Suivez ces étapes pour soumettre une divulgation responsable :
Contactez immédiatement le support ISMS Copilot via le centre d'aide à l'adresse https://help.ismscopilot.com ou par e-mail à [email protected]
Incluez des informations détaillées :
Description de la vulnérabilité et de son impact potentiel
Instructions de reproduction étape par étape
URLs, points de terminaison ou fonctionnalités affectés
Captures d'écran, vidéos ou code de preuve de concept (le cas échéant)
Votre évaluation de la gravité (basse, moyenne, élevée, critique)
N'exploitez pas la vulnérabilité au-delà de ce qui est nécessaire pour démontrer le problème
N'accédez pas, ne modifiez pas et ne supprimez pas les données d'autres utilisateurs pendant vos tests
Gardez le problème confidentiel jusqu'à ce que nous ayons confirmé le déploiement d'un correctif
Plus vous fournirez de détails, plus vite nous pourrons valider et corriger le problème. Des étapes de reproduction claires sont particulièrement précieuses.
Délai de réponse et de résolution
Lorsque vous signalez une vulnérabilité, voici ce qui se passe :
Accusé de réception initial : Nous confirmerons la réception de votre rapport sous 24 heures
Évaluation : Notre équipe de sécurité évaluera le problème sous 24 heures pour déterminer la gravité et l'impact
Enquête : Nous enquêterons sur la cause racine et développerons un correctif. Le délai dépend de la complexité :
Vulnérabilités critiques : Résolution sous 48-72 heures
Problèmes de gravité élevée : Résolution sous 7 jours
Problèmes de gravité moyenne/basse : Résolution sous 30 jours
Notification : Si la vulnérabilité affecte des données utilisateur, nous informerons les utilisateurs concernés sous 72 heures (exigence de l'article 33 du RGPD)
Confirmation de résolution : Nous vous informerons lorsque le correctif sera déployé et confirmerons qu'il est sûr de divulguer l'information publiquement (si vous choisissez de le faire)
Nous apprécions la divulgation responsable. Une fois le problème résolu, nous serons ravis de vous citer publiquement (avec votre autorisation) ou de garder votre contribution anonyme si vous préférez.
Ce qu'il ne faut pas faire
Pour protéger tous les utilisateurs, veuillez éviter :
La divulgation publique : Ne postez pas de vulnérabilités sur les réseaux sociaux, les forums ou les outils de suivi de problèmes publics avant que nous ne les ayons résolues
Les tests excessifs : N'exécutez pas de scans automatisés ou de tests d'intrusion qui pourraient perturber le service pour les autres utilisateurs
L'exfiltration de données : Ne téléchargez pas, ne stockez pas et ne partagez pas les données d'autres utilisateurs — même pour prouver qu'une vulnérabilité existe
L'extorsion ou les menaces : La recherche en sécurité doit être menée de bonne foi pour améliorer la plateforme, et non pour exercer une pression
Programme de bug bounty
ISMS Copilot ne gère pas actuellement de programme formel de bug bounty avec des récompenses financières. Nous apprécions profondément les chercheurs en sécurité qui signalent les vulnérabilités de manière responsable et nous reconnaîtrons votre contribution publiquement (avec permission) lorsque les problèmes seront résolus.
Nous pouvons offrir une reconnaissance, des goodies (swag) ou des crédits de service au cas par cas pour des découvertes particulièrement percutantes.
Ressources associées
Présentation de la sécurité et de la protection des données - Documentation complète sur la sécurité
Comment nous maintenons ISMS Copilot sûr et précis - Notre approche de la sécurité
Page d'état du système - Surveillance de la disponibilité en temps réel
Politiques de sécurité - Politiques et procédures de sécurité internes
Des questions ?
Si vous n'êtes pas sûr que quelque chose constitue une vulnérabilité de sécurité ou si vous avez besoin d'éclaircissements sur notre processus de divulgation, contactez-nous à [email protected]. Nous sommes là pour aider à rendre ISMS Copilot plus sûr.