Qu'est-ce qu'un programme de divulgation responsable ?

Un programme de divulgation responsable invite les chercheurs en sécurité à analyser nos applications afin de détecter différentes vulnérabilités. Si vous identifiez une faille de sécurité et que vous la signalez de manière responsable, en suivant nos règles, vous pouvez être éligible à une récompense. Ce programme vise à encourager la collaboration entre Appinio et la communauté des experts en cybersécurité, dans le but d’améliorer continuellement notre posture de protection globale. Grâce à cette démarche, nous renforçons la fiabilité et la robustesse de nos produits tout en valorisant les contributions des chercheurs qui participent à la sécurisation de nos systèmes.

Ce programme de récompenses couvre le domaine suivant : research.appinio.com.

Exclusions du programme

Les vulnérabilités suivantes sont explicitement hors champ d'application et ne seront pas éligibles à recevoir de primes de bogue. Attaques par déni de service (DoS) Vulnérabilités liées aux e-mails (par exemple, mauvaises configurations SPF, DKIM, DMARC) Ingénierie sociale Résultats liés à l'OSINT, tels que des identifiants divulgués

Signalement des vulnérabilités

Pour nous faire part d’une vulnérabilité, veuillez envoyer un email à vulnerability-reports@appinio.com. Votre rapport doit contenir : une description claire et précise de la faille, incluant son impact potentiel les étapes nécessaires pour la reproduire l’URL concernée tout élément de preuve (captures d’écran, code de preuve de concept)

Nous accusons réception de votre signalement dans les plus brefs délais et entamons immédiatement son analyse. Notre objectif est de vous confirmer la validité de votre rapport et, en cas de prime, de procéder au versement dans un délai d’une semaine après correction. Nous nous engageons à vous tenir régulièrement informé tout au long du processus.

Nous vous demandons de ne pas divulguer vos découvertes tant que la vulnérabilité n'aura pas été corrigée. Toute publication prématurée entraînera une exclusion du programme de récompenses. Merci également d’éviter tout test perturbateur susceptible de provoquer des interruptions de systèmes. Les attaques par déni de service ne sont pas couvertes par le programme. Vous êtes autorisé à tester uniquement les systèmes inclus dans le périmètre indiqué. Dès que vous avez confirmé une faille, merci de cesser toute tentative d’exploitation supplémentaire et de nous la signaler rapidement. Une fois que vous avez confirmé avoir trouvé une vulnérabilité, nous vous demandons de ne pas tenter d'exploitation supplémentaire, mais de nous la signaler immédiatement. Enfin, veillez à fournir un rapport complet, contenant toutes les informations nécessaires à la vérification de votre découverte. Cela facilitera le traitement de votre demande et accélérera le versement de votre potentielle récompense.

Sécurité

Chez Appinio, la sécurité de vos données est notre priorité. Nous mettons en place de nombreuses mesures pour garantir leur confidentialité et leur intégrité. Notre équipe d’experts surveille en continu nos systèmes et s’adapte aux évolutions constantes de la sécurité en ligne afin de vous offrir le plus haut niveau de protection. Nous nous engageons pleinement à maintenir votre confiance grâce à notre vigilance constante sur la sécurité de vos données.

Plus de 3 000 références s’appuient sur Appinio pour obtenir des insights qui font la différence

La plateforme d'études nouvelle génération

geobra Brandstaetter Stiftung & Co. KG original

Comment nous assurons la protection de vos données

Sécurité des données

Pour garantir la sécurité des données de nos clients et utilisateurs, nous appliquons des mesures de cryptage aussi bien lors du stockage que pendant leur transmission. Nous utilisons des outils et modules de sécurité conformes aux meilleures pratiques du secteur pour la gestion des clés de cryptage, dans le but d’optimiser la protection.

Sécurité des infrastructures

Appinio héberge son application sur les services web d’Amazon (AWS). Nous tirons parti des fonctions de sécurité intégrées à l’écosystème AWS, telles que GuardDuty, CloudWatch et CloudTrail. Notre application est déployée via des conteneurs sur des services gérés AWS, ce qui nous dispense généralement de gérer des serveurs ou des instances EC2 en production.

Sécurité de l'application

Pour garantir la robustesse de nos produits, nous utilisons des outils avancés d’analyse de code permettant de détecter toute vulnérabilité à chaque étape du développement. De plus, le trafic interne et externe de nos applications est systématiquement sécurisé grâce à l’utilisation du protocole SSL (Secure Sockets Layer).

Sécurité de l'information

Nous appliquons le principe du moindre privilège en limitant l’accès aux fonctionnalités uniquement aux utilisateurs qui en ont besoin, afin d’éviter tout accès inutile ou non autorisé. Nous renforçons également la sécurité par l’authentification multifactorielle pour chaque outil utilisé. Par ailleurs, nos équipes bénéficient de formations et de sessions de sensibilisation à la sécurité, organisées chaque mois.

Confiance et fiabilité

RGPD

Nous respectons pleinement le Règlement général sur la protection des données (RGPD) et avons mis en place des mesures strictes garantissant la protection des informations traitées.
Nos pratiques

Cette section est en cours de mise à jour. Nos dernières mesures seront bientôt disponibles.
SOC 2 Type II

Informations temporairement indisponibles en raison d'une migration d'outils. De retour prochainement.

Vous avez découvert une faille de sécurité ?

Si vous êtes expert en sécurité ou chercheur et pensez avoir identifié une faille sur nos sites ou produits, nous vous serions reconnaissants de nous en faire part.

Pour en savoir plus sur notre Responsible Disclosure Program, rendez-vous ci-dessous.

vulnerability-reports@appinio.com

Programme de divulgation des vulnérabilités d'Appinio

Nous accordons une grande importance à la sécurité de nos applications et remercions les chercheurs en sécurité qui nous aident à identifier et à corriger les vulnérabilités potentielles. Nous encourageons la divulgation responsable (Responsible Disclosure) des failles de sécurité concernant les systèmes énumérés ci-dessous.

Remarque importante : Appinio ne gère pas de programme de bug bounty payant et n'offre pas de récompenses financières pour les vulnérabilités signalées. Nous examinons cependant chaque rapport valide, corrigerons les failles confirmées et nous ferons un plaisir de mentionner publiquement les chercheurs qui signalent leurs découvertes de manière responsable (sur demande).

Périmètre (Scope)

Ce programme couvre les domaines suivants :

research.appinio.com

Hors périmètre (Out of Scope)

Les éléments suivants sont explicitement hors périmètre :

Attaques par déni de service (DoS/DDoS)
Problèmes liés aux e-mails (ex. mauvaises configurations SPF, DKIM, DMARC)
Ingénierie sociale (Social Engineering)
Découvertes liées à l'OSINT, telles que des identifiants qui ont fuité

Signaler une vulnérabilité

Pour signaler une vulnérabilité, veuillez envoyer un e-mail à vulnerability-reports@appinio.com. Votre rapport doit inclure :

Une description claire et concise de la vulnérabilité et de son impact potentiel
Les étapes pour la reproduire (PoC)
L'URL concernée
Tout document d'appui (ex. captures d'écran, code de preuve de concept)

Un rapport complet nous permet d'effectuer le traitement (Triage) plus rapidement.

Délais et traitement

Nous accusons réception de votre rapport dans les plus brefs délais et commençons immédiatement l'évaluation. Nous évaluons la gravité de la faille en utilisant la méthodologie de notation des risques de l'OWASP.

En raison de contraintes de capacité actuelles, nous priorisons les rapports de criticité élevée et nous efforçons de confirmer s'ils sont valides dans un délai de 14 jours ouvrables. Pour les rapports de criticité moindre, l'obtention d'une réponse de fond peut prendre jusqu'à trois mois. Nous vous tiendrons informé tout au long du processus de correction.

Conditions et règles de conduite

Ne divulguez pas vos découvertes publiquement tant que la vulnérabilité n'a pas été corrigée. Nous vous demandons de coordonner le calendrier de publication avec nous (Coordinated Disclosure).
Évitez tout test destructeur ou perturbateur. Les tests de déni de service sont strictement interdits.
Testez uniquement les systèmes figurant dans le périmètre (In Scope). Ne testez aucun système en dehors de ce cadre.
Dès que vous avez confirmé une vulnérabilité, arrêtez vos investigations. Ne tentez pas d'exploiter davantage la faille — signalez-la-nous immédiatement.

Comment ça marche ?

Un programme de divulgation responsable invite les chercheurs en sécurité à analyser nos applications afin de détecter différentes vulnérabilités. Si vous identifiez une faille de sécurité et que vous la signalez de manière responsable, en suivant nos règles, vous pouvez être éligible à une récompense. Ce programme vise à encourager la collaboration entre Appinio et la communauté des experts en cybersécurité, dans le but d’améliorer continuellement notre posture de protection globale. Grâce à cette démarche, nous renforçons la fiabilité et la robustesse de nos produits tout en valorisant les contributions des chercheurs qui participent à la sécurisation de nos systèmes.
Ce programme de récompenses couvre le domaine suivant : research.appinio.com.
Les vulnérabilités suivantes sont explicitement hors champ d'application et ne seront pas éligibles à recevoir de primes de bogue.
- Attaques par déni de service (DoS)
- Vulnérabilités liées aux e-mails (par exemple, mauvaises configurations SPF, DKIM, DMARC)
- Ingénierie sociale
- Résultats liés à l'OSINT, tels que des identifiants divulgués
Pour nous faire part d’une vulnérabilité, veuillez envoyer un email à vulnerability-reports@appinio.com. Votre rapport doit contenir :
- une description claire et précise de la faille, incluant son impact potentiel
- les étapes nécessaires pour la reproduire
- l’URL concernée
- tout élément de preuve (captures d’écran, code de preuve de concept)
Nous accusons réception de votre signalement dans les plus brefs délais et entamons immédiatement son analyse. Notre objectif est de vous confirmer la validité de votre rapport et, en cas de prime, de procéder au versement dans un délai d’une semaine après correction. Nous nous engageons à vous tenir régulièrement informé tout au long du processus.
Nous vous demandons de ne pas divulguer vos découvertes tant que la vulnérabilité n'aura pas été corrigée. Toute publication prématurée entraînera une exclusion du programme de récompenses.

Merci également d’éviter tout test perturbateur susceptible de provoquer des interruptions de systèmes. Les attaques par déni de service ne sont pas couvertes par le programme.

Vous êtes autorisé à tester uniquement les systèmes inclus dans le périmètre indiqué. Dès que vous avez confirmé une faille, merci de cesser toute tentative d’exploitation supplémentaire et de nous la signaler rapidement.

Une fois que vous avez confirmé avoir trouvé une vulnérabilité, nous vous demandons de ne pas tenter d'exploitation supplémentaire, mais de nous la signaler immédiatement.

Enfin, veillez à fournir un rapport complet, contenant toutes les informations nécessaires à la vérification de votre découverte. Cela facilitera le traitement de votre demande et accélérera le versement de votre potentielle récompense.