Sécurité et conformité
Nous respectons les normes les plus élevées pour protéger vos données et garantir la confiance.
Signaler un problème de sécurité
Devolutions Inc. est dédié à effectuer une diligence raisonnable exceptionnelle lors du développement et de la livraison de solutions, afin de prévenir et de mitiger les menaces qui pourraient avoir un impact négatif sur les données de nos clients et sur notre capacité à fournir des produits et services sûrs, fiables et conformes. Pour atteindre cet objectif critique, nous utilisons des cadres, des normes, des contrôles, des processus et des meilleures pratiques de l'industrie, y compris notre programme privé de Bug Bounty.
À propos du programme
La transparence est une valeur fondamentale chez Devolutions, car elle favorise des relations saines, établit la confiance et promeut une culture d'ouverture, d'amélioration et d'innovation. Notre programme de bug bounty, qui est hébergé sur YesWeHack.com, encourage les chercheurs à essayer d'« attaquer et briser » nos produits, afin que nous puissions fortifier de manière proactive les vulnérabilités et corriger les erreurs de codage/de programmation.
Veuillez noter que l'inscription à notre programme de bug bounty se fait actuellement uniquement sur invitation via YesWeHack.com.
Pour demander une invitation, veuillez nous contacter à security@devolutions.net.
Divulgation responsable
Nous encourageons continuellement les chercheurs et les clients à signaler les vulnérabilités identifiées. Pour mieux protéger nos clients, les rapports restent confidentiels jusqu'à ce que les vulnérabilités soient confirmées, résolues et publiées en production par Devolutions. Nous nous efforçons de faire de notre mieux pour traiter les vulnérabilités dans un délai raisonnable et acceptable par l'industrie.
Signaler un problème de sécurité
Bien que nous prenions soin de la sécurité de nos produits, la nature en évolution rapide et la complexité de la sécurité peuvent exposer involontairement notre logiciel ou notre infrastructure de support à des vulnérabilités. Si vous identifiez une telle vulnérabilité, veuillez nous envoyer votre rapport en temps opportun via notre programme YesWeHack. Le rapport doit inclure les éléments suivants :
- Code de preuve de concept et captures d'écran pertinentes pour nous aider à confirmer et reproduire les constats.
- Justification de la façon dont les impacts peuvent affecter notre organisation et/ou nos clients s'ils sont exploités.
- Correctif proposé, si possible et applicable.
Une fois soumis, accordez-nous un délai raisonnable pour vous fournir des retours. Notre équipe de sécurité doit :
- Reproduire et confirmer la vulnérabilité telle que décrite dans votre rapport.
- Établir un score de gravité selon CVSS 3.1.
- Considérer les recommandations de votre rapport et élaborer un plan d'action avec les équipes concernées.
- Maintenir la communication avec le rapporteur jusqu'à ce que le cas soit résolu.
Nous vous demandons gentiment de maintenir le rapport et son contenu confidentiels jusqu'à ce que les mesures correctives appropriées soient publiées en production. Veuillez également noter que l'exploitation abusive ou à des fins illégales, malveillantes ou autres de nature inappropriée d'une vulnérabilité signalée peut entraîner des poursuites judiciaires contre le rapporteur, ce qui pourrait entraîner une responsabilité civile ou pénale. Une action est considérée comme abusive ou inappropriée lorsque son objectif compromet des informations confidentielles liées aux clients ou internes de manière indue ou disproportionnée, ou lorsque cette action a un autre but que la démonstration d'une vulnérabilité.
Récompenses
Les chercheurs sont récompensés pour les vulnérabilités signalées* de trois manières importantes :
Une fois qu'une vulnérabilité est corrigée et qu'un correctif est publié en production, les chercheurs peuvent rendre publique leur découverte et contribution sur leurs pages de blog/réseaux sociaux. Cela élève leur profil et leur position dans les communautés TI et sécurité TI et peut soutenir leurs objectifs d'avancement de carrière.
Nous offrons des récompenses financières** basées sur la gravité de chaque vulnérabilité signalée en utilisant la norme CVSS 3.1. Pour les problèmes à haut risque (ex. exploitables élevés/critiques), les chercheurs peuvent gagner jusqu'à 5 000,00 $ par problème (USD).
De temps en temps, nous pouvons également fournir aux chercheurs participants des articles de marchandises portant la marque Devolutions.
*Une vulnérabilité est un trou ou une faiblesse dans l'application, qui peut être un défaut de conception ou un bug de mise en œuvre, qui permet à un attaquant de causer du tort aux parties prenantes d'une application. Les parties prenantes incluent le propriétaire de l'application, les utilisateurs de l'application et d'autres entités qui dépendent de l'application.
**Les montants des primes varient en fonction du nombre de vulnérabilités ou de composants affectés, ainsi que de la qualité globale du rapport.
Comment s'inscrire
Pour le moment, l'inscription à notre programme de bug bounty se fait exclusivement sur invitation. Des codes d'invitation seront fournis aux chercheurs en sécurité et aux clients lors de divers événements tout au long de l'année (ex. Hackfest, NorthSec, etc.). Si vous avez reçu votre code d'invitation, envoyez-nous un courriel (en mentionnant votre code) à security@devolutions.net. pour obtenir des instructions d'inscription.
En vous inscrivant à notre programme de bug bounty, vous nous autorisez à communiquer avec vous par courriel pour répondre à vos soumissions, demandes et questions, et à d'autres fins liées à la gestion du programme ou à votre participation au programme en général.
Vous souhaitez rejoindre ou en savoir plus sur le programme?
Contacter l'équipe de sécurité pour rejoindre le programme fermé de bug bounty de Devolutions!
