Securite

Politique de Securite

Programme de Divulgation Responsable

1. Introduction

Chez Einix SA, la securite est fondamentale dans tout ce que nous construisons. Nous developpons des logiciels d'entreprise pour les secteurs de la defense, de l'energie et des infrastructures critiques ou les defaillances de securite peuvent avoir des consequences graves. Nous valorisons la communaute de recherche en securite et accueillons la divulgation responsable des vulnerabilites.

Cette politique decrit comment nous signaler des vulnerabilites de securite, ce que vous pouvez attendre de nous, et ce que nous attendons de vous.

2. Signaler une Vulnerabilite

Contact Securite

Email : security [at] einix [dot] fr

Cle PGP : Telecharger la Cle PGP

Formulaire Web : Formulaire de Contact (Recommande)

Langues : Francais, Anglais, Allemand

Lors du signalement d'une vulnerabilite, veuillez inclure :

  • Une description detaillee de la vulnerabilite
  • Les etapes pour reproduire le probleme
  • Le(s) produit(s) et version(s) affecte(s)
  • Tout code de preuve de concept ou captures d'ecran
  • Votre evaluation de la severite et de l'impact potentiel
  • Vos coordonnees pour le suivi

3. Notre Engagement

Delais de Reponse

  • Reponse Initiale : Sous 48 heures
  • Triage et Evaluation : Sous 7 jours
  • Mises a Jour : Au minimum tous les 14 jours
  • Objectif de Resolution : 90 jours pour la plupart des problemes

Nous nous engageons a :

  • Accuser reception de votre signalement sous 48 heures
  • Fournir un delai estime pour la resolution
  • Vous tenir informe de nos progres
  • Vous crediter dans toute divulgation publique (sauf si vous preferez l'anonymat)
  • Ne pas engager de poursuites judiciaires contre les chercheurs qui suivent cette politique

4. Perimetre

Actif Statut
Site web einix.fr et sous-domaines Dans le Perimetre
Logiciels produits Einix (avec licence) Dans le Perimetre
Projets open source (SHELLOG, DECISCOPE CLI) Dans le Perimetre
Points d'API documentes dans la documentation produit Dans le Perimetre
Services et integrations tiers Hors Perimetre
Tests de securite physique Hors Perimetre
Attaques d'ingenierie sociale Hors Perimetre
Attaques par deni de service Hors Perimetre

5. Vulnerabilites Qualifiantes

Nous sommes particulierement interesses par :

  • Vulnerabilites d'execution de code a distance
  • Contournements d'authentification et d'autorisation
  • Faiblesses cryptographiques
  • Vulnerabilites d'injection (SQL, commande, etc.)
  • Cross-site scripting (XSS) et CSRF
  • Exposition de donnees sensibles
  • Server-side request forgery (SSRF)
  • Failles de logique metier avec impact securite

Problemes Non Qualifiants

Les elements suivants ne qualifient generalement pas :

  • Vulnerabilites necessitant un acces physique
  • Self-XSS (utilisateur s'attaquant lui-meme)
  • En-tetes de securite manquants sans impact demonstrable
  • Clickjacking sur des pages sans actions sensibles
  • Problemes de limitation de taux sans impact securite
  • Versions logicielles obsoletes sans vulnerabilite exploitable

6. Directives pour les Chercheurs

Lors de vos recherches en securite, veuillez :

  • Ne pas acceder, modifier ou supprimer des donnees appartenant a d'autres utilisateurs
  • Ne pas effectuer d'attaques par deni de service
  • Ne pas envoyer d'emails non sollicites aux utilisateurs (tests de phishing)
  • Ne pas divulguer publiquement les vulnerabilites avant leur resolution
  • Arreter les tests et signaler immediatement si vous accedez a des donnees sensibles
  • Utiliser des comptes de test que vous creez vous-meme quand c'est possible
  • Minimiser l'impact de vos tests sur nos systemes

7. Protection Juridique

Einix SA considere que la recherche en securite menee conformement a cette politique est :

  • Autorisee en vertu des lois anti-piratage applicables
  • Autorisee en vertu des lois anti-contournement applicables
  • Exemptee des restrictions de nos Conditions d'Utilisation qui interdiraient autrement la recherche en securite

Nous n'engagerons pas d'action civile ou penale contre les chercheurs qui suivent cette politique. Si une action juridique est initiee par un tiers, nous prendrons des mesures pour faire savoir que vos actions ont ete menees conformement a cette politique.

8. Reconnaissance

Nous croyons en la reconnaissance des contributions precieuses des chercheurs en securite. Pour les vulnerabilites qualifiantes, nous offrons :

  • Reconnaissance publique (avec votre permission) dans nos avis de securite
  • Une lettre d'appreciation pour votre portfolio professionnel
  • Consideration pour notre Hall of Fame

Note : Nous n'offrons actuellement pas de primes monetaires, mais nous apprecions profondement la divulgation responsable.

9. Contact

Pour les questions de securite, veuillez utiliser notre formulaire de contact securise ou nous joindre a :

Email : security [at] einix [dot] fr
Delai de Reponse : Sous 48 heures
Chiffrement : Cle PGP disponible a /.well-known/pgp-key.txt

Derniere mise a jour : Fevrier 2026

Retour a l'Accueil