En tant qu’éditeur de cybersécurité, la sécurité de nos clients et de nos partenaires est notre raison d’être. Nous concevons et développons donc des solutions de la meilleure qualité et fiabilité possible. Malgré tous nos efforts pour mettre en œuvre les meilleures mesures de sécurité possibles, il est possible que des vulnérabilités apparaissent dans nos solutions ou que nous soyons affectés par un incident de sécurité nous-mêmes. 

Chacun est donc encouragé à signaler toute vulnérabilité identifiée sur une de nos solutions. Chercheurs, partenaires, clients et toute personne intéressée sont les bienvenus pour signaler les vulnérabilités ou les incidents de sécurité. 
 

Nous signaler une vulnérabilité ou un incident de sécurité 

Pour contacter notre équipe en charge de la sécurité de nos solutions et de notre société, vous pouvez écrire à security@harfanglab.fr. 

Si vous avez identifié une vulnérabilité potentielle de sécurité avec une de nos solutions, merci de nous transmettre les éléments suivants :   

  • Heure et date de la découverte 
  • Version de la solution 
  • Toutes les données nécessaires pour reproduire la vulnérabilité ; 
  • Description technique de la vulnérabilité : donnez le plus de détails techniques possibles sur les conditions de sa réalisation ainsi que sur les impacts identifiés  ; 
  • Configuration des solutions - détails de la configuration de la solution et des dispositifs sous-jacents sur lesquelles elle a été identifiée ; 
  • Code utilisé pour exploiter la vulnérabilité si possible ; 
  • Coordonnées du soumissionnaire pour que nous puissions vous joindre 

Ces éléments devront être transmis en anglais ou en français et ne devront inclure aucune donnée personnelle, en dehors des informations nécessaires pour vous contacter. 

Le partage d’une éventuelle vulnérabilité ne vous confère aucun droit de propriété intellectuelle appartenant à HarfangLab ou à un tiers. 
 

Nos engagements en matière de traitement des signalements de sécurité 

Après réception de votre rapport de vulnérabilité ou d’incident, notre équipe prendra contact avec vous pour le suivi de votre signalement. Pour des raisons de confidentialité et de sécurité, nous vous encourageons à chiffrer toute information sensible que vous nous envoyez par email. Pour cela, vous pouvez utiliser notre clé PGP publique. 

Nous nous efforcerons d’accuser réception de tous les signalements soumis dans un délai de sept jours et nous engagerons ensuite un dialogue ouvert pour discuter des problèmes identifiés et vous informer des suites données à votre signalement. 

Nous restons libre d’accepter ou non un signalement comme pertinent. Par exemple, nous ne considérerons pas les vulnérabilités sur des composants tiers, les vulnérabilités sur des versions obsolètes de nos solutions ou des analyses automatiques dont l’exploitabilité n’a pas été vérifiée manuellement. 
 

Nos exigences sur les vulnérabilités et les incidents de sécurité identifiés 

Nous excluons formellement du périmètre de signalement toute vulnérabilité identifiée :  

  • En effectuant de l’ingénierie sociale, du spam ou phishing sur des employés d’HarfangLab, des clients ou des tiers ;  
  • En testant la sécurité physique de biens d’HarfangLab ou de tiers ;  
  • En effectuant des attaques par déni de service ;  
  • En nuisant de manière directe ou indirecte à HarfangLab, ses employés, ses clients ou des tiers. 

Nous vous remercions pour votre contribution au renforcement de la sécurité de nos solutions et d’œuvrer la sécurisation de notre espace numérique dans notre ensemble en divulguant de manière responsable des vulnérabilités identifiées. 

Clé PGP