Politique de divulgation des vulnérabilités

Dernière mise à jour : 21 décembre 2025

Introduction

Efficlose s'efforce d'aider ses partenaires et clients à réduire les risques liés aux vulnérabilités de sécurité de nos produits. Nous nous engageons à respecter les bonnes pratiques du secteur en matière de sécurité et de traitement des vulnérabilités, et à fournir aux clients des informations, orientations et options d'atténuation en temps utile.

Traitement des signalements de vulnérabilités

Nous accordons une grande valeur aux retours de nos partenaires et des chercheurs en sécurité, et apprécions toute contribution à nos initiatives de sécurité. Notre objectif est de proposer des correctifs et/ou stratégies d'atténuation au moment de la divulgation des vulnérabilités spécifiques à Efficlose, et de travailler avec les fournisseurs tiers lorsque la correction nécessite leur collaboration.

Si vous pensez avoir découvert une vulnérabilité, un problème de confidentialité, des données exposées ou tout autre problème de sécurité sur l'un de nos actifs, nous souhaitons en être informés. Cette politique décrit les étapes pour nous signaler des vulnérabilités, ce que nous attendons de vous et ce que vous pouvez attendre de nous.

Conformément à cette politique, toute information divulguée concernant de nouvelles vulnérabilités est considérée comme confidentielle et ne doit être partagée qu'entre Efficlose et la partie qui signale, tant que l'information n'est pas déjà publique, qu'un correctif n'est pas disponible et que les actions de divulgation sont coordonnées.

Systèmes concernés

Cette politique s'applique à tout actif détenu, exploité ou maintenu par Efficlose, notamment :

• Le site web et les applications web Efficlose
• Les applications mobiles Efficlose
• Les API Efficlose et services backend
• Tout autre actif numérique sous le domaine efficlose.com

Hors périmètre

Les éléments suivants sont considérés comme hors périmètre de cette politique :

• Les actifs ou équipements non détenus par Efficlose
• Les services tiers intégrés à Efficlose (à signaler au fournisseur concerné)
• Les attaques d'ingénierie sociale visant les employés ou prestataires d'Efficlose
• Les vulnérabilités de sécurité physique
• Les attaques par déni de service (DoS)

Les vulnérabilités découvertes ou suspectées sur des systèmes hors périmètre doivent être signalées au fournisseur ou à l'autorité compétente appropriée.

Nos engagements

Lorsque vous travaillez avec nous conformément à cette politique, vous pouvez attendre de nous que nous :

• Répondions rapidement : Nous accusons réception de votre signalement sous 3 jours ouvrés et travaillons avec vous pour comprendre et valider votre rapport.
• Vous tenions informé : Nous nous efforçons de vous tenir informé de l'avancement du traitement d'une vulnérabilité.
• Remédiions rapidement : Nous nous efforçons de corriger les vulnérabilités découvertes dans les meilleurs délais, dans le cadre de nos contraintes opérationnelles.
• Offrions une protection Safe Harbor : Nous accordons une protection Safe Harbor pour vos recherches de vulnérabilités menées dans le cadre de cette politique.
• Citions les chercheurs : Avec votre permission, nous reconnaîtrons votre contribution dans nos avis de sécurité.

Nos attentes

En participant de bonne foi à notre programme de divulgation des vulnérabilités, nous vous demandons de :

• Respecter les règles : Jouer le jeu, notamment en suivant cette politique et les autres accords pertinents. En cas d'incohérence entre cette politique et d'autres conditions applicables, les termes de la présente politique prévalent.
• Signaler rapidement : Signaler toute vulnérabilité découverte sans délai.
• Respecter la vie privée : Éviter de porter atteinte à la vie privée d'autrui, de perturber nos systèmes, de détruire des données et/ou de nuire à l'expérience utilisateur.
• Utiliser les canaux officiels : N'utiliser que les canaux officiels pour échanger avec nous sur les informations relatives aux vulnérabilités.
• Laisser un délai raisonnable : Nous accorder un délai raisonnable (minimum 90 jours à compter du signalement initial) pour résoudre le problème avant toute divulgation publique.
• Rester dans le périmètre : Effectuer des tests uniquement sur les systèmes concernés et respecter les systèmes et activités hors périmètre.
• Limiter l'accès aux données : Si une vulnérabilité donne un accès non prévu à des données, limiter la quantité de données consultées au strict minimum nécessaire pour démontrer efficacement une preuve de concept. Cesser immédiatement les tests et soumettre un rapport si vous rencontrez des données utilisateur lors des tests (données personnelles identifiables, informations de santé, données de carte bancaire, informations propriétaires, etc.).
• Utiliser des comptes de test : Vous ne devez interagir qu'avec des comptes de test vous appartenant ou avec l'autorisation explicite du titulaire du compte.
• Maintenir la confidentialité : Ne pas divulguer les détails de la vulnérabilité avant qu'Efficlose confirme la correction.
• Ne pas stocker de données : Ne pas conserver de données découvertes pendant le processus de test.
• Pas d'extorsion : Ne pas se livrer à l'extorsion.

Canaux officiels

Veuillez signaler les problèmes de sécurité à [email protected], en fournissant toutes les informations pertinentes. Plus vous donnez de détails, plus nous pourrons trier et traiter le problème rapidement.

Lors de l'envoi d'un rapport, merci d'inclure :

• Une description de la vulnérabilité
• Les étapes pour reproduire le problème
• L'impact potentiel de la vulnérabilité
• Tout code de preuve de concept ou captures d'écran
• Vos coordonnées pour les questions de suivi

Safe Harbor

Lorsque vous menez des recherches de vulnérabilités dans le cadre de cette politique, nous considérons que ces recherches sont :

• Autorisées au regard des lois anti-piratage : Nous n'engagerons ni ne soutiendrons d'action en justice contre vous pour des violations accidentelles et de bonne foi de cette politique.
• Autorisées au regard des lois anti-contournement : Nous ne formerons pas de réclamation contre vous pour contournement de contrôles technologiques.
• Exonérées des restrictions des Conditions d'utilisation : Nous renonçons aux restrictions de nos Conditions d'utilisation (TOS) et/ou Politique d'utilisation acceptable (AUP) qui feraient obstacle à la conduite de recherches en sécurité de manière limitée.
• Légales et de bonne foi : Vos recherches sont considérées comme légales, utiles à la sécurité globale d'Internet et menées de bonne foi.

Vous êtes tenu de respecter toutes les lois applicables dans vos recherches, tests et signalements. Si un tiers engage une action en justice contre vous et que vous avez respecté cette politique, nous prendrons des mesures pour faire savoir que vos agissements ont été conformes à cette politique.

Si vous avez des interrogations ou n'êtes pas certain que vos recherches en sécurité sont conformes à cette politique, veuillez envoyer un rapport à [email protected].

Notez que le Safe Harbor ne s'applique qu'aux réclamations juridiques relevant du contrôle d'Efficlose et que la politique ne lie pas les tiers indépendants.

Délais de réponse

Nous nous efforçons de respecter les délais suivants :

Reconnaissance

Nous tenons à reconnaître la valeur des contributions des chercheurs en sécurité. Avec votre permission, nous :

• Vous citerons dans nos avis de sécurité
• Vous inclurons dans notre Security Researcher Hall of Fame (le cas échéant)
• Fournirons une lettre de remerciement sur demande

Modifications de cette politique

Nous pouvons réviser cette politique de temps à autre. La version la plus récente régira notre traitement des signalements de vulnérabilités et sera toujours disponible à divulgation-des-vulnérabilités.

Nous contacter

Pour toute question concernant cette Politique de divulgation des vulnérabilités :

• Signalements de sécurité : [email protected]
• Demandes générales : [email protected]

Nous vous remercions de contribuer à la sécurité d'Efficlose et de nos utilisateurs.