Divulgation responsable · RFC 9116

    Politique de divulgation responsable

    Vous avez identifié une vulnérabilité sur notre site ou nos services ? Voici comment nous la signaler de manière coordonnée. On répond, on remédie, on remercie.

    Comment signaler une vulnérabilité

    Envoyez un email à [email protected] avec :

    • Description technique (vecteur, impact, étapes de reproduction)
    • URL ou endpoint concerné
    • Capture(s) d'écran ou logs si pertinent
    • Vos coordonnées si vous souhaitez être tenu informé / crédité

    [email protected]

    Engagements M-KIS

    • Accusé de réception sous 3 jours ouvrés
    • Évaluation initiale et qualification sous 10 jours ouvrés
    • Pas de poursuite à votre encontre si vous respectez le périmètre et les règles ci-dessous
    • Information sur l'avancement de la remédiation
    • Crédit public à la divulgation coordonnée si vous le souhaitez

    Périmètre couvert (in-scope)

    • m-kis.fr et tous ses sous-domaines
    • api.m-kis.fr (endpoints publics /api/*)
    • Application mobile et webapp officielles

    Hors périmètre (out-of-scope)

    • Sites tiers, services externes (OpenRouter, Resend, hébergeurs, partenaires)
    • Comptes clients M-KIS (gérés sous NDA, scope spécifique sur demande)
    • Attaques nécessitant un accès physique aux locaux
    • Attaques par déni de service (DDoS) sans démonstration utile
    • Ingénierie sociale envers nos collaborateurs
    • Spam, phishing de masse, brute force aveugle

    Règles à respecter

    • Ne pas accéder, modifier ou détruire des données qui ne vous appartiennent pas
    • Ne pas dégrader la qualité de service pour les autres utilisateurs
    • Ne pas divulguer publiquement avant accord coordonné (90 jours par défaut)
    • Ne pas utiliser la vulnérabilité au-delà de la preuve de concept
    • Effacer toute donnée tierce récupérée par accident

    Vulnérabilités prioritaires

    • RCE, SSRF, désérialisation, injection (SQL, NoSQL, OS command)
    • Authentification, contrôle d'accès, IDOR
    • Fuite de données sensibles (PII, secrets, tokens)
    • Compromission de la chaîne d'approvisionnement (CI/CD, dépendances)

    Ressources

    • /.well-known/security.txt (RFC 9116)
    • Référentiels : OWASP Top 10, OWASP API Top 10, NIST CSF 2.0, ANSSI
    • Bug-bounty externe : non, divulgation directe par email

    Pour les CISO / RSSI clients

    Incident impactant un service M-KIS que vous utilisez ? Contactez [email protected] (réponse sous 4 h ouvrées).

    Dernière mise à jour : 3 mai 2026.

    Pas une vulnérabilité — une question ?

    Pour toute autre demande sécurité, utilisez le formulaire de contact standard.

    Nous contacter