Sécurité des systèmes d'information

Sécurité des systèmes d'information

Cette page décrit la politique de divulgation responsable de Keyyo pour le traitement des rapports sur les vulnérabilités.

Le blason de Keyyo entouré de ses 3 engagements : innovation, fiabilité, services

Dans la continuité de nos valeurs, Keyyo et ses sociétés affiliées (ci-après conjointement « Keyyo », « nous », « notre » ou « nos ») mettent un point d’honneur à préserver la disponibilité, l’intégrité, la traçabilité et la confidentialité des informations.

C’est pourquoi nous nous efforçons de proposer des offres et services de la meilleure qualité et fiabilité possible dans le respect des normes de sécurité et recommandations en vigueur.

Comment remonter une faille de sécurité ?

Si vous découvrez une faille avérée ou potentielle, sur nos systèmes d’information ou pouvant affecter Keyyo, nous souhaitons être informé afin de prendre les mesures nécessaires pour y remédier le plus rapidement possible.

Tous les rapports sont bienvenus, que vous soyez spécialiste de la sécurité, développeur, client ou particulier, sous réserve de respecter les conditions suivantes :

Remonter une faille de sécurité - Keyyo
  • Ne pas tirer avantage des faiblesses, par exemple en téléchargeant plus de données que nécessaire ou en supprimant ou altérant les données d'autres personnes.
  • Ne pas utiliser d’outils automatisés ou d’attaques tels que : la sécurité physique, l'ingénierie sociale (hameçonnage inclus), les dénis de service (DoS, D-DoS), le pourriel (spam, scam).
  • Garder les informations sur les vulnérabilités découvertes confidentielles.
  • Anonymiser les données personnelles.
  • Partager toutes les informations nécessaires pour reproduire et vérifier le problème, à minima l'adresse IP ou l'URL du système affecté, une description de la vulnérabilité ou une référence (OWASP, CVE, ATT&CK), une capture d’écran ou une vidéo compressée.
  • Nous communiquer un moyen pour répondre si vous souhaitez être informé des suites.
  • Chiffrer les résultats avec notre clé PGP disponible ci-dessous.
  • Envoyer les résultats par courriel à security [arobase] keyyo [point] com.

Par la suite :

  • Après réception de votre rapport, nous nous engageons à vous répondre dans les meilleurs délais et le cas échéant avec une date de résolution prévisionnelle.
  • Nous vous garantissons de traiter votre rapport en toute confidentialité.

Récompense

Confidentialité du rapport de sécurité

A date nous n’offrons pas ou ne participons pas à un programme de prime aux bogues (Bug bounty), cependant nous pouvons octroyer des récompenses de façon exceptionnelle ou des crédits pour nos clients selon la qualité du rapport et la criticité de la vulnérabilité.

La participation au rapport ne confère aucun droit de propriété intellectuelle appartenant à Keyyo ou à un tiers.

Contactez-nous

Cette adresse est destinée uniquement au signalement des vulnérabilités. Les autres sollicitations ne seront pas traitées.
security [arobase] keyyo [point] com

Clé de chiffrement PGP

-----BEGIN PGP PUBLIC KEY BLOCK-----

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Tl2t

-----END PGP PUBLIC KEY BLOCK-----