🔍 Légal — Divulgation Responsable

Divulgation
Responsable

NBS Consulting encourage la recherche éthique en sécurité. Si vous avez découvert une vulnérabilité, nous vous remercions de nous la signaler de manière coordonnée — dans un esprit de transparence et de collaboration.

📅 Dernière mise à jour : janvier 2025
🌐 Applicable à : nbsconsulting.com
📧 Contact : security@nbsconsulting.com

Sommaire

  1. Introduction & engagement
  2. Périmètre de la politique
  3. Processus de signalement
  4. Nos engagements envers vous
  5. Règles de bonne conduite
  6. Ce qui est hors périmètre
  7. Contact sécurité
  8. Reconnaissance & remerciements

1. Introduction & engagement

NBS Consulting est une société spécialisée en cybersécurité et outsourcing IT. À ce titre, nous accordons une importance capitale à la sécurité de nos systèmes, de nos données et de celles de nos clients. Nous reconnaissons que, malgré tous nos efforts, des vulnérabilités peuvent exister.

Nous croyons fermement que la collaboration avec la communauté de la sécurité contribue à rendre l'écosystème numérique plus sûr pour tous. C'est pourquoi nous avons établi cette politique de divulgation responsable (Responsible Disclosure Policy) pour encourager les chercheurs en sécurité à nous signaler les vulnérabilités qu'ils découvrent, de manière éthique et coordonnée.

Notre engagement : Nous nous engageons à traiter chaque signalement avec sérieux, à communiquer de manière transparente avec les chercheurs, et à corriger les vulnérabilités confirmées dans des délais raisonnables. No bullshit — nous disons ce que nous faisons, et nous faisons ce que nous disons.

Cette politique s'inspire des meilleures pratiques internationales, notamment du cadre ISO/IEC 29147 (divulgation des vulnérabilités) et ISO/IEC 30111 (traitement des vulnérabilités).

2. Périmètre de la politique

Cette politique de divulgation responsable s'applique aux systèmes et services suivants, directement opérés par NBS Consulting :

Dans le périmètre

  • Site web principal : nbsconsulting.com
  • Sous-domaines officiels (*.nbsconsulting.com)
  • Portail client et interfaces d'administration
  • API exposées publiquement
  • Applications web développées par NBS Consulting
  • Infrastructures d'hébergement propres

Hors périmètre

  • Systèmes appartenant à nos clients
  • Services tiers (hébergeurs, CDN, fournisseurs SaaS)
  • Infrastructures de partenaires
  • Applications mobiles non publiées
  • Systèmes de test ou de développement non accessibles publiquement
  • Adresses e-mail et numéros de téléphone

Important : Les systèmes de nos clients sont strictement hors périmètre. Toute tentative de test sur les infrastructures de nos clients sans autorisation explicite de leur part constitue une activité illégale, indépendamment de cette politique.

3. Processus de signalement

Si vous pensez avoir découvert une vulnérabilité de sécurité dans l'un de nos systèmes, nous vous invitons à suivre le processus suivant :

1

Documentez votre découverte

Avant de nous contacter, rassemblez les informations nécessaires : description de la vulnérabilité, étapes de reproduction, impact potentiel, captures d'écran ou preuves de concept (PoC). Plus votre rapport est détaillé, plus nous pourrons agir rapidement.

2

Envoyez votre rapport par e-mail sécurisé

Transmettez votre rapport à security@nbsconsulting.com. Pour les vulnérabilités critiques, nous vous encourageons à chiffrer votre message avec notre clé PGP publique (disponible sur demande). Indiquez clairement « Responsible Disclosure » dans l'objet de votre e-mail.

3

Accusé de réception sous 48h ouvrées

Nous vous confirmerons la réception de votre rapport dans un délai de 48 heures ouvrées. Nous vous attribuerons un identifiant de suivi unique pour faciliter les échanges ultérieurs.

4

Évaluation et qualification

Notre équipe sécurité évaluera la vulnérabilité signalée, la reproduira dans un environnement contrôlé et déterminera sa criticité selon le référentiel CVSS v3.1. Nous vous tiendrons informé de l'avancement de cette analyse.

5

Correction et validation

Une fois la vulnérabilité confirmée, nous travaillerons à sa correction dans les délais définis selon sa criticité. Nous pourrons vous solliciter pour valider que le correctif est efficace avant sa mise en production.

6

Divulgation coordonnée

Après correction, nous vous informerons de la clôture du dossier. Si vous souhaitez publier vos recherches, nous vous demandons de nous en informer au préalable afin de coordonner la divulgation publique — généralement 90 jours après le signalement initial.

4. Nos engagements envers vous

En échange de votre coopération et du respect de cette politique, NBS Consulting s'engage à :

  • Ne pas engager de poursuites judiciaires à votre encontre pour des activités de recherche menées de bonne foi et dans le respect de cette politique.
  • Accuser réception de votre rapport dans un délai de 48 heures ouvrées.
  • Vous tenir informé de l'avancement du traitement de votre signalement à chaque étape clé.
  • Traiter votre rapport avec confidentialité — nous ne partagerons pas vos informations personnelles sans votre consentement explicite.
  • Corriger les vulnérabilités confirmées dans des délais proportionnels à leur criticité (voir tableau ci-dessous).
  • Vous créditer publiquement pour votre découverte, si vous le souhaitez, dans notre Hall of Fame.
  • Travailler avec vous pour coordonner toute divulgation publique de manière responsable.

Délais de correction cibles

Nous nous efforçons de respecter les délais suivants selon la criticité de la vulnérabilité :

  • Critique (CVSS ≥ 9.0) : Correction ou mitigation sous 7 jours ouvrés
  • Élevée (CVSS 7.0–8.9) : Correction sous 30 jours ouvrés
  • Moyenne (CVSS 4.0–6.9) : Correction sous 60 jours ouvrés
  • Faible (CVSS < 4.0) : Correction planifiée dans le cycle de maintenance normal

Bonne foi : Si vous agissez de bonne foi, en respectant cette politique et sans causer de dommages, nous considérerons votre activité comme autorisée et ne prendrons aucune mesure légale à votre encontre. Votre sécurité est notre priorité commune.

5. Règles de bonne conduite

Pour que votre recherche soit considérée comme menée de bonne foi et bénéficie des protections prévues par cette politique, vous devez respecter les règles suivantes :

Ce que vous pouvez faire

  • Tester uniquement les systèmes explicitement listés dans le périmètre de cette politique.
  • Utiliser des comptes de test ou vos propres comptes pour vos recherches.
  • Nous signaler toute vulnérabilité découverte dès que possible.
  • Nous accorder un délai raisonnable pour corriger la vulnérabilité avant toute divulgation publique.
  • Utiliser des techniques de test non destructives et non intrusives.

Ce que vous ne devez pas faire

  • Accéder, modifier ou supprimer des données qui ne vous appartiennent pas.
  • Exécuter des attaques de déni de service (DoS/DDoS) ou toute action susceptible de dégrader la disponibilité de nos services.
  • Utiliser des outils d'analyse automatisés agressifs susceptibles de surcharger nos infrastructures.
  • Tester les systèmes de nos clients sans leur autorisation explicite et écrite.
  • Exfiltrer des données au-delà de ce qui est strictement nécessaire pour démontrer la vulnérabilité.
  • Divulguer publiquement une vulnérabilité avant que nous ayons eu l'opportunité de la corriger.
  • Mener des attaques d'ingénierie sociale contre nos employés ou nos clients.
  • Demander une compensation financière en échange de la non-divulgation d'une vulnérabilité (extorsion).

Attention : Le non-respect de ces règles peut entraîner l'annulation des protections prévues par cette politique et exposer le chercheur à des poursuites judiciaires conformément aux lois applicables, notamment la loi française sur la fraude informatique (article 323-1 et suivants du Code pénal).

6. Ce qui est hors périmètre

Les catégories de vulnérabilités suivantes sont généralement considérées comme hors périmètre ou de faible priorité, sauf si vous pouvez démontrer un impact significatif :

  • Attaques nécessitant un accès physique aux appareils.
  • Vulnérabilités dans des logiciels tiers non maintenus par NBS Consulting.
  • Résultats de scanners automatiques sans preuve d'exploitabilité réelle.
  • Problèmes de configuration DNS de faible impact (SPF, DKIM, DMARC non critiques).
  • Absence de bonnes pratiques sans impact de sécurité démontrable (ex. : headers HTTP manquants de faible criticité).
  • Attaques de type clickjacking sur des pages sans actions sensibles.
  • Énumération de noms d'utilisateurs via des messages d'erreur différenciés.
  • Vulnérabilités nécessitant une interaction utilisateur hautement improbable.
  • Rapports de type « best practice » sans vecteur d'attaque concret.
  • Attaques de type brute-force sur des formulaires protégés par rate-limiting.

7. Contact sécurité

Pour tout signalement de vulnérabilité ou question relative à cette politique, veuillez utiliser les canaux suivants :

📧

E-mail sécurité (canal principal)

Pour tout signalement de vulnérabilité, envoyez un e-mail détaillé à :
security@nbsconsulting.com

Objet recommandé : [Responsible Disclosure] — [Description courte]

Pour les vulnérabilités critiques, demandez notre clé PGP publique afin de chiffrer votre rapport.

🔐

Chiffrement PGP (optionnel pour vulnérabilités critiques)

Notre clé PGP publique est disponible sur demande à l'adresse e-mail ci-dessus. Nous vous encourageons à l'utiliser pour tout signalement impliquant des données sensibles ou des vulnérabilités de criticité élevée ou critique.

Empreinte de clé : disponible sur demande.

🏢

Contact général (hors sécurité)

Pour toute autre question non liée à la sécurité, utilisez notre formulaire de contact général :
nbsconsulting.com/contact

Ne transmettez pas de rapports de vulnérabilité via ce canal — ils pourraient ne pas être traités avec la priorité requise.

8. Reconnaissance & remerciements

NBS Consulting reconnaît et apprécie la contribution des chercheurs en sécurité qui nous aident à améliorer la sécurité de nos systèmes. En guise de remerciement pour les signalements valides et conformes à cette politique :

  • Crédit public : Avec votre accord, nous vous mentionnerons dans notre Hall of Fame sur ce site.
  • Lettre de reconnaissance : Sur demande, nous pouvons vous fournir une lettre officielle attestant de votre contribution responsable.
  • Communication directe : Vous aurez un accès direct à notre équipe sécurité pour discuter de vos recherches.

NBS Consulting ne propose pas actuellement de programme de bug bounty avec récompenses financières. Nous nous réservons le droit d'introduire un tel programme à l'avenir.

Hall of Fame : Nous remercions tous les chercheurs qui ont contribué à la sécurité de NBS Consulting en signalant des vulnérabilités de manière responsable. La liste des contributeurs reconnus sera publiée sur cette page dès que des signalements valides auront été reçus et traités.

Modifications de cette politique

NBS Consulting se réserve le droit de modifier cette politique de divulgation responsable à tout moment. Les modifications seront publiées sur cette page avec une date de mise à jour. Nous vous encourageons à consulter régulièrement cette page pour rester informé des éventuelles évolutions.

Pour toute question relative à cette politique, n'hésitez pas à nous contacter à security@nbsconsulting.com.

Vous avez découvert une vulnérabilité ?

Contactez notre équipe sécurité directement. Nous traitons chaque signalement avec sérieux et dans les meilleurs délais — parce que la sécurité est notre métier, pas juste notre discours.

Signaler une vulnérabilité Contact général