Politique de divulgation des vulnérabilités | OneSuite

Signaler des vulnerabilites dans les systemes OneSuite

Introduction

Chez OneSuite, la securite de l'information est une priorite absolue, et nous nous engageons a proteger la confidentialite, l'integrite et la disponibilite de nos systemes et donnees. Cette politique fournit aux chercheurs en securite des directives claires pour mener des recherches sur les vulnerabilites et decrit comment les vulnerabilites peuvent nous etre signalees de maniere responsable.

Ce document precise quels systemes et types de recherche sont couverts par cette politique, comment soumettre des rapports de vulnerabilites et les delais que nous suggerons pour la divulgation publique.

Nous encourageons les chercheurs en securite a signaler les vulnerabilites conformement a cette politique. Vos efforts nous aident a resoudre les problemes potentiels et a maintenir la securite de l'ecosysteme OneSuite.

Autorisation

Si vous faites un effort de bonne foi pour vous conformer a cette politique, OneSuite considere votre recherche comme autorisee. Nous travaillerons avec vous pour comprendre et resoudre le probleme rapidement, et nous ne recommanderons ni n'engagerons de poursuites judiciaires liees a votre recherche.

Si un tiers engage des poursuites judiciaires contre vous pour des activites menees conformement a cette politique, OneSuite fera connaitre cette autorisation.

Directives

Dans le cadre de cette politique, le terme « recherche » designe les activites dans lesquelles vous :

  • Nous informez dans les meilleurs delais apres avoir decouvert un probleme de securite reel ou potentiel.
  • Effectuez l'analyse uniquement dans le perimetre defini.
  • Evitez les violations de la vie privee, la degradation de l'experience utilisateur, la perturbation des systemes de production et la destruction ou la manipulation de donnees.
  • Utilisez les exploits uniquement dans la mesure necessaire pour confirmer l'existence d'une vulnerabilite. N'utilisez pas les exploits pour compromettre ou exfiltrer des donnees, obtenir un acces en ligne de commande ou pivoter vers d'autres systemes.
  • Nous accordez un delai raisonnable pour corriger le probleme avant de le divulguer publiquement.
  • Evitez de soumettre un grand volume de rapports de faible qualite.

Des que vous avez determine qu'une vulnerabilite existe, ou que vous rencontrez des donnees sensibles (y compris des donnees personnelles, des donnees financieres ou des informations proprietaires ou des secrets commerciaux de toute partie), vous devez arreter votre test, nous en informer immediatement et ne pas divulguer ces donnees a quiconque.

Perimetre

Cette politique s'applique aux systemes et services suivants :

  • *.onesuite.io

Problemes hors perimetre

Les problemes suivants sont consideres comme hors du perimetre de cette politique :

  • Tests des actifs des clients de OneSuite.
  • Hallucinations de modeles.
  • Problemes de moderation de contenu ou de recrutement.
  • Pratiques de securite attenuees par d'autres controles (par exemple, en-tetes de securite manquants).
  • Ingenierie sociale, hameconnage et attaques physiques.
  • Problemes tels que les indicateurs de cookies manquants, les CSRF a faible impact (par exemple, CSRF de connexion/deconnexion), l'usurpation de contenu ou les traces de pile.
  • Vulnerabilites sans impact de securite demontrable.
  • Attaques DOS/DDOS.
  • Injection d'en-tete d'hote sans impact.
  • Sorties de scanner, messages d'erreur du serveur (sauf s'ils revelent des informations critiques).
  • Rapports concernant des navigateurs obsoletes ou des bogues non critiques.

Tous les services non explicitement listes dans la section « Perimetre » ci-dessus, tels que les services connectes, sont exclus du perimetre et ne sont pas autorises pour les tests. De plus, les vulnerabilites trouvees dans les systemes de nos fournisseurs sont hors du perimetre de cette politique et doivent etre signalees directement au fournisseur conformement a sa politique de divulgation (le cas echeant). Si vous n'etes pas sur qu'un systeme soit dans le perimetre, contactez-nous a security@onesuite.io avant de commencer votre recherche.

Reconnaissance

Bien que OneSuite n'offre pas actuellement de recompenses financieres, nous valorisons vos contributions. En signe de notre appreciation, nous reconnaîtrons votre aide sur notre page de Reconnaissance des Divulgations de Securite, sauf si vous preferez rester anonyme. Nous travaillons a la mise en place d'un programme de prime aux bogues pour permettre des recompenses financieres a l'avenir.

Signaler une vulnerabilite

Les informations soumises dans le cadre de cette politique seront utilisees exclusivement a des fins defensives. Si vos decouvertes revelent des vulnerabilites affectant la communaute des utilisateurs au sens large, nous pouvons partager votre rapport avec la Cybersecurity and Infrastructure Security Agency (CISA). Nous ne divulguerons pas votre nom ou vos coordonnees sans votre autorisation.

Ce que nous aimerions voir

Pour nous aider a trier et a hierarchiser efficacement les soumissions, veuillez fournir les elements suivants :

  • L'emplacement et l'impact potentiel de la vulnerabilite.
  • Une description detaillee des etapes necessaires pour reproduire la vulnerabilite (par exemple, scripts de preuve de concept, captures d'ecran).
  • Rapports en anglais.

Ce que vous pouvez attendre de nous

Si vous partagez vos coordonnees, nous nous engageons a :

  • Accuser reception de votre rapport dans les 14 jours ouvrables.
  • Confirmer l'existence de la vulnerabilite et fournir des informations sur notre processus de remediation, y compris les retards eventuels.

Veuillez noter que OneSuite n'offre pas de compensation pour les vulnerabilites soumises. En soumettant un rapport, vous renoncez a toute reclamation d'indemnisation.

Questions

Pour toute question ou suggestion concernant cette politique, contactez-nous a security@onesuite.io.

Derniere mise a jour : November 12, 2024