Politique de Divulgation des Vulnérabilités

Version : 2026-03-11

1. Objet et Champ d'Application

1.1. AtroCore GmbH (ci-après également désignée la Société) s'engage à maintenir la sécurité de ses produits logiciels, services de plateforme et systèmes internes. La sécurité des données que nous confient nos clients, partenaires et utilisateurs est d'une importance capitale.

1.2. Cette Politique de Divulgation des Vulnérabilités (PDV) établit un processus transparent et structuré permettant aux chercheurs en sécurité externes, aux clients, aux partenaires et aux membres du public (ci-après désignés les Déclarants) de signaler de manière responsable des vulnérabilités de sécurité suspectées ou confirmées affectant les produits et systèmes d'AtroCore.

1.3. Cette politique s'applique à l'ensemble des logiciels, services, API et infrastructures exploités ou maintenus par AtroCore GmbH, y compris, sans s'y limiter :

  • La plateforme AtroCore et son API REST
  • Les interfaces Import/Export Feed
  • Les environnements SaaS hébergés par AtroCore
  • Les sites web et applications web publics d'AtroCore

1.4. Cette politique ne s'applique pas aux vulnérabilités dans des logiciels ou services tiers qu'AtroCore ne développe pas ou ne contrôle pas, même si ces logiciels sont utilisés en lien avec les produits AtroCore. Les Déclarants sont encouragés à signaler ces problèmes directement au fournisseur concerné.

2. Nos Engagements

2.1. AtroCore GmbH s'engage à collaborer de bonne foi avec les chercheurs en sécurité et la communauté de la sécurité au sens large. En contrepartie d'une divulgation responsable conformément à cette politique, AtroCore prend les engagements suivants :

2.2. La Société accusera réception d'un rapport de vulnérabilité dans un délai de 5 jours ouvrables à compter de sa réception.

2.3. La Société examinera toutes les vulnérabilités signalées rapidement et tiendra le Déclarant informé de l'avancement de l'enquête dans la mesure permise par les considérations de confidentialité et légales.

2.4. La Société n'engagera pas de poursuites judiciaires contre les Déclarants qui découvrent et signalent des vulnérabilités de bonne foi et en conformité avec cette politique.

2.5. La Société traitera tous les rapports soumis avec confidentialité et ne partagera pas les informations personnelles du Déclarant avec des tiers sans son consentement explicite, sauf si la loi l'exige.

2.6. La Société s'efforcera de remédier aux vulnérabilités confirmées dans les délais fixés à la Section 6 de cette politique et informera le Déclarant une fois la remédiation effectuée.

3. Lignes Directrices pour la Divulgation Responsable

3.1. Les Déclarants sont tenus d'agir de bonne foi et de mener leurs recherches d'une manière qui ne cause aucun préjudice à AtroCore, à ses clients ni à toute personne dont les données pourraient être concernées.

3.2. Lors de l'investigation d'une vulnérabilité potentielle, les Déclarants ne doivent pas :

  • Accéder, modifier, supprimer ou exfiltrer des données appartenant à AtroCore ou à ses clients au-delà de ce qui est strictement nécessaire pour démontrer l'existence de la vulnérabilité
  • Effectuer des attaques par déni de service ou toute autre action dégradant la disponibilité ou les performances des systèmes d'AtroCore
  • Introduire des logiciels malveillants, des portes dérobées ou tout autre code malveillant dans les systèmes d'AtroCore
  • Mener des attaques d'ingénierie sociale contre les employés, sous-traitants ou clients d'AtroCore
  • Divulguer des informations sur une vulnérabilité à des tiers ou publiquement avant qu'AtroCore ait eu la possibilité raisonnable de l'investiguer et d'y remédier
  • Utiliser des outils d'analyse automatisée sur des environnements de production sans approbation écrite préalable d'AtroCore

3.3. Les Déclarants qui respectent cette politique seront considérés comme ayant agi de bonne foi, et AtroCore ne prendra pas de mesures judiciaires à leur encontre en lien avec leurs activités de recherche.

3.4. AtroCore encourage les Déclarants à utiliser des environnements de test ou de préproduction dédiés, lorsqu'ils sont disponibles, pour leurs activités de recherche en sécurité. Si un Déclarant n'est pas certain qu'une activité de test particulière est autorisée, il doit contacter AtroCore avant de procéder.

4. Comment Signaler une Vulnérabilité

4.1. Les vulnérabilités de sécurité doivent être signalées à l'Équipe de Sécurité de l'Information d'AtroCore en envoyant un e-mail au Délégué à la Protection des Données à l'adresse avec l'objet : « Rapport de Vulnérabilité – [brève description] ».

4.2. Afin de permettre à AtroCore d'évaluer le rapport et d'y répondre efficacement, les Déclarants sont invités à inclure les informations suivantes dans la mesure du possible :

  • Une description claire et concise de la vulnérabilité, incluant son type (p. ex. injection SQL, contrôle d'accès défaillant, divulgation d'informations)
  • Le produit, service ou système affecté, y compris les numéros de version lorsqu'ils sont connus
  • Une description étape par étape de la manière de reproduire la vulnérabilité
  • L'impact potentiel de la vulnérabilité, notamment les données ou fonctionnalités susceptibles d'être affectées
  • Tout élément de preuve à l'appui, tel que des captures d'écran, du code de preuve de concept ou des captures de requêtes/réponses HTTP
  • Les coordonnées du Déclarant, au cas où AtroCore aurait besoin d'un suivi

4.3. Les rapports peuvent être soumis en anglais, en allemand ou en français.

4.4. AtroCore ne gère pas actuellement de programme de primes aux bugs. Les rapports de vulnérabilités sont acceptés sur une base volontaire et sans compensation financière, sauf accord écrit explicite contraire.

5. Classification de la Sévérité

5.1. À réception d'un rapport, AtroCore évaluera la gravité de la vulnérabilité signalée selon la classification suivante :

Critique désigne les vulnérabilités permettant un accès non autorisé à des données personnelles sensibles ou à des données clients confidentielles, l'exécution de code à distance, la compromission totale du système, ou tout problème susceptible d'entraîner une violation de données à caractère personnel au sens de l'Article 33 du RGPD.

Haute désigne les vulnérabilités permettant un accès non autorisé significatif à des systèmes ou des données, une élévation de privilèges, ou le contournement des contrôles principaux d'authentification ou d'autorisation.

Moyenne désigne les vulnérabilités présentant un risque de sécurité significatif mais nécessitant des conditions spécifiques ou une interaction de l'utilisateur pour être exploitées, ou ayant un impact limité sur la confidentialité, l'intégrité ou la disponibilité des données.

Faible désigne les vulnérabilités avec une exploitabilité ou un impact minimal, incluant les problèmes informatifs, les erreurs de configuration mineures, ou les constats présentant un risque théorique plutôt que pratique.

6. Délais de Remédiation

6.1. AtroCore s'engage à remédier aux vulnérabilités confirmées dans les délais cibles suivants, calculés à partir de la date à laquelle la vulnérabilité est confirmée :

Les vulnérabilités de sévérité critique seront traitées dans un délai de 72 heures.

Les vulnérabilités de sévérité haute seront traitées dans un délai de 7 jours calendaires.

Les vulnérabilités de sévérité moyenne seront traitées dans un délai de 30 jours calendaires.

Les vulnérabilités de sévérité faible seront traitées dans un délai de 90 jours calendaires.

6.2. Lorsque la remédiation dans les délais susmentionnés n'est pas techniquement ou opérationnellement réalisable, AtroCore notifiera le Déclarant du retard, en expliquera les raisons et fournira une nouvelle date cible.

6.3. Dans les cas où une vulnérabilité a été confirmée comme Critique et implique un risque pour les données à caractère personnel, AtroCore suivra également les procédures de réponse aux violations définies dans la Politique de Violation de Données à Caractère Personnel d'AtroCore et, le cas échéant, notifiera l'autorité de contrôle compétente dans un délai de 72 heures conformément à l'Article 33 du RGPD.

7. Divulgation Coordonnée

7.1. AtroCore suit une approche de divulgation coordonnée. Cela signifie que les détails des vulnérabilités ne seront pas publiés publiquement tant qu'une remédiation n'aura pas été mise à disposition, ou jusqu'à l'expiration d'un délai de divulgation convenu.

7.2. AtroCore demande aux Déclarants de s'abstenir de publier ou de partager les détails d'une vulnérabilité signalée pendant une période d'au moins 90 jours calendaires à compter de la date de soumission du rapport initial, afin de disposer d'un délai suffisant pour l'investigation et la remédiation.

7.3. Si AtroCore n'est pas en mesure de remédier à une vulnérabilité dans un délai de 90 jours, la Société s'engagera de bonne foi avec le Déclarant pour convenir d'un calendrier de divulgation prolongé approprié.

7.4. AtroCore pourra, avec le consentement du Déclarant, reconnaître publiquement la contribution du Déclarant après la remédiation de la vulnérabilité signalée.

8. Questions Hors Champ d'Application

8.1. Les catégories de problèmes suivantes sont considérées comme hors du champ d'application de cette politique et ne seront généralement pas acceptées comme rapports de vulnérabilité valides :

  • Vulnérabilités dans des logiciels, bibliothèques ou services tiers non contrôlés par AtroCore
  • Problèmes nécessitant un accès physique à un appareil ou un système
  • Attaques d'ingénierie sociale ou de phishing ciblant le personnel d'AtroCore
  • Attaques par déni de service ou constats issus de telles attaques
  • Vulnérabilités théoriques sans chemin d'exploitation démontré ou plausible
  • En-têtes de sécurité manquants ou problèmes de configuration TLS sur des points de terminaison non sensibles où le risque est négligeable
  • Rapports générés par des outils d'analyse automatisée sans analyse complémentaire ni preuve d'exploitabilité
  • Problèmes liés à des versions de logiciels ayant atteint leur fin de vie et qui ne sont plus prises en charge par AtroCore

9. Révision de la Politique

9.1. Cette politique sera révisée au moins une fois par an, ou à la suite de tout incident de sécurité significatif, de tout changement matériel dans le paysage des produits ou de l'infrastructure d'AtroCore, ou de tout changement pertinent dans le droit applicable de l'UE ou allemand.

9.2. Le Délégué à la Protection des Données est responsable du maintien et de la mise à jour de cette politique et doit être consulté lors de toute révision affectant le traitement des données à caractère personnel.

Pour les rapports de vulnérabilités et les demandes liées à la sécurité, contactez :