Bug bounty icon

Sécurité de Devolutions
programme de primes aux bogues

Sysadminotaur bug

Devolutions Inc. s'engage à faire preuve de diligence exceptionnelle et à fournir des solutions les plus sécuritaires dans le but de prévenir et d'atténuer les menaces pouvant avoir un impact négatif sur les données de nos clients et sur notre capacité à livrer des produits et des services. Nous employons des cadres, standards et pratiques parmi les meilleurs de l’industrie pour mettre en œuvre des processus et contrôles stricts, incluant notre programme privé de primes aux bogues.

Détails du programme

La transparence est une valeur fondamentale chez Devolutions, car elle permet d'établir des relations saines, de favoriser la confiance et de contribuer à une culture laissant place à l'ouverture, l'amélioration et l'innovation. Dans un souci de transparence, notre programme de primes aux bogues encourage les chercheurs à essayer « d’attaquer et de casser »nos produits afin que nous puissions, de façon proactive, corriger les vulnérabilités et les erreurs de programmation.

Veuillez noter qu'il est présentement possible de s'inscrire au programme de prime aux bogues sur invitation seulement.

Divulgation responsable

Nous encourageons les chercheurs et les clients à signaler des vulnérabilités trouvées. Afin de protéger nos clients, les rapports restent confidentiels jusqu’à ce que les vulnérabilités aient été confirmées, corrigées et publiées en production par Devolutions. Nous faisons tout en notre pouvoir pour corriger les vulnérabilités dans un délai raisonnable et acceptable selon les standards de l’industrie.

Signaler un problème de sécurité

Bien que nous nous soucions de la sécurité dans nos produits, l’évolution rapide et la complexité de la sécurité peuvent involontairement exposer notre logiciel ou infrastructure à des vulnérabilités. Si vous décelez une vulnérabilité, veuillez nous envoyer un rapport le plus tôt possible à security@devolutions.net. Le rapport doit inclure les éléments suivants :

  • Du code prouvant la faisabilité et des captures d’écran pertinentes pour nous aider à confirmer et à reproduire la vulnérabilité.
  • Une justification sur les impacts possibles d’une éventuelle exploitation de la faille et l’incidence sur notre organisation et/ou sur les clients.
  • Une suggestion de correctif, si possible et applicable.

Une fois le problème signalé, laissez-nous suffisamment de temps pour y donner suite. Notre équipe de sécurité doit :

  • Reproduire et confirmer la vulnérabilité telle que décrite dans votre rapport.
  • Déterminer une cote de sévérité selon le standard CVSS 3.1.
  • Considérer les recommandations énumérées dans le rapport et établir un plan d’action avec les équipes concernées.
  • Communiquer avec la personne à l’origine du signalement jusqu’à ce que le problème soit réglé.

Nous vous prions de garder le rapport et son contenu confidentiels jusqu’à ce que les correctifs soient publiés en production. Veuillez également noter que l’exploitation abusive, illégale, malicieuse ou inappropriée d’une vulnérabilité signalée peut vous exposer à des procédures juridiques en responsabilité civile ou criminelle. Une action est considérée abusive ou inappropriée lorsqu’elle compromet des informations confidentielles internes ou relatives à des clients de façon excessive ou disproportionnée, ou lorsque celle-ci est effectuée dans un but autre que la démonstration d’une vulnérabilité.

Devolutions advantage

Récompenses

Pour chaque vulnérabilité signalée*, les chercheurs sont récompensés de trois façons:

1

Une fois que la vulnérabilité est corrigée et qu'un correctif est déployé en production, les chercheurs peuvent publier leur découverte et leur contribution sur les médias sociaux. Ainsi, cette reconnaissance leur permet de rehausser leur profil au sein des communautés en sécurité informatique, en plus de favoriser l'avancement dans leur carrière.

2

Nous offrons des récompenses financières** en fonction de la gravité de chaque vulnérabilité rapportée selon le standard CVSS 3.1. En ce qui a trait aux problèmes à risque élevé (p.ex. exploitable à risque élevé/critique), les chercheurs peuvent obtenir jusqu'à 1 500 $US par bogue.

3

De temps en temps, nous pouvons également donner des articles de marque Devolutions aux chercheurs participants.

*Une vulnérabilité est une faille ou une faiblesse dans l’application, qui peut être un défaut de conception ou un bogue d’implémentation, permettant à un attaquant de causer préjudice aux parties prenantes d’une application. Les parties prenantes incluent le propriétaire de l’application, les utilisateurs de l'application et toutes autres entités qui dépendent de l’application.

**Le montant versé varie en fonction de la quantité de vulnérabilités ou de composants touchés,ainsi que la qualité du rapport dans son ensemble.

Inscription au programme

Présentement, il est seulement possible de s'inscrire au programme de prime aux bogues sur invitation. Des codes d’invitation seront envoyés aux chercheurs en sécurité et aux clients à différents événements au cours de l'année (p. ex. Hackfest, NorthSec, etc.). Si vous avez reçu un code d’invitation, écrivez-nous (en mentionnant votre code) à security@devolutions.net afin de connaître la procédure d’inscription.

En vous inscrivant au programme de primes aux bogues, vous consentez à ce que nous communiquons avec vous par courriel afin de répondre à vos soumissions, demandes et questions, ou toutes autres fins relatives à la gestion du programme ou à votre participation dans le programme en général.

Vous souhaitez signaler un bogue ou en apprendre davantage au sujet du programme?

Écrivez à notre équipe de sécurité afin de joindre le programme de primes aux bogues!

Phil presenting