Qu'est-ce qu'un programme de primes aux failles ?

Un programme de primes aux failles, ou primes bogues, invite les chercheurs en sécurité à analyser nos applications afin de détecter différentes vulnérabilités. Si vous identifiez une faille de sécurité et que vous la signalez de manière responsable, en suivant nos règles, vous pouvez être éligible à une récompense. Ce programme vise à encourager la collaboration entre Appinio et la communauté des experts en cybersécurité, dans le but d’améliorer continuellement notre posture de protection globale. Grâce à cette démarche, nous renforçons la fiabilité et la robustesse de nos produits tout en valorisant les contributions des chercheurs qui participent à la sécurisation de nos systèmes.

Ce programme de récompenses couvre le domaine suivant : research.appinio.com.

Exclusions du programme

Les vulnérabilités suivantes ne sont pas éligibles à une récompense et sont donc exclues du programme : attaques par déni de service (DoS) vulnérabilités liées aux emails (mauvaises configurations SPF, DKIM, DMARC) ingénierie sociale

Signalement des vulnérabilités

Pour nous faire part d’une vulnérabilité, veuillez envoyer un email à vulnerability-reports@appinio.com. Votre rapport doit contenir : une description claire et précise de la faille, incluant son impact potentiel les étapes nécessaires pour la reproduire l’URL concernée tout élément de preuve (captures d’écran, code de preuve de concept)

Nous accusons réception de votre signalement dans les plus brefs délais et entamons immédiatement son analyse. Notre objectif est de vous confirmer la validité de votre rapport et, en cas de prime, de procéder au versement dans un délai d’une semaine après correction. Nous nous engageons à vous tenir régulièrement informé tout au long du processus.

Le montant de la prime attribuée dépendra de la gravité et de l’impact de la vulnérabilité, évalués selon la méthodologie OWASP. Les rapports concernant des failles très mineures ou purement informatives ne donnent généralement pas lieu à une récompense. En cas de rapports en double pour la même vulnérabilité, seule la première soumission recevra une prime.

Nous vous demandons de ne pas divulguer vos découvertes tant que la vulnérabilité n'aura pas été corrigée. Toute publication prématurée entraînera une exclusion du programme de récompenses. Merci également d’éviter tout test perturbateur susceptible de provoquer des interruptions de systèmes. Les attaques par déni de service ne sont pas couvertes par le programme. Vous êtes autorisé à tester uniquement les systèmes inclus dans le périmètre indiqué. Dès que vous avez confirmé une faille, merci de cesser toute tentative d’exploitation supplémentaire et de nous la signaler rapidement. Une fois que vous avez confirmé avoir trouvé une vulnérabilité, nous vous demandons de ne pas tenter d'exploitation supplémentaire, mais de nous la signaler immédiatement. Enfin, veillez à fournir un rapport complet, contenant toutes les informations nécessaires à la vérification de votre découverte. Cela facilitera le traitement de votre demande et accélérera le versement de votre potentielle récompense.

Sécurité

Chez Appinio, la sécurité de vos données est notre priorité. Nous mettons en place de nombreuses mesures pour garantir leur confidentialité et leur intégrité. Notre équipe d’experts surveille en continu nos systèmes et s’adapte aux évolutions constantes de la sécurité en ligne afin de vous offrir le plus haut niveau de protection. Nous nous engageons pleinement à maintenir votre confiance grâce à notre vigilance constante sur la sécurité de vos données.

Plus de 3 000 références s’appuient sur Appinio pour obtenir des insights qui font la différence

La plateforme d'études nouvelle génération

geobra Brandstaetter Stiftung & Co. KG black

Comment nous assurons la protection de vos données

Sécurité des données

Pour garantir la sécurité des données de nos clients et utilisateurs, nous appliquons des mesures de cryptage aussi bien lors du stockage que pendant leur transmission. Nous utilisons des outils et modules de sécurité conformes aux meilleures pratiques du secteur pour la gestion des clés de cryptage, dans le but d’optimiser la protection.

Sécurité des infrastructures

Appinio héberge son application sur les services web d’Amazon (AWS). Nous tirons parti des fonctions de sécurité intégrées à l’écosystème AWS, telles que GuardDuty, CloudWatch et CloudTrail. Notre application est déployée via des conteneurs sur des services gérés AWS, ce qui nous dispense généralement de gérer des serveurs ou des instances EC2 en production.

Sécurité de l'application

Pour garantir la robustesse de nos produits, nous utilisons des outils avancés d’analyse de code permettant de détecter toute vulnérabilité à chaque étape du développement. De plus, le trafic interne et externe de nos applications est systématiquement sécurisé grâce à l’utilisation du protocole SSL (Secure Sockets Layer).

Sécurité de l'information

Nous appliquons le principe du moindre privilège en limitant l’accès aux fonctionnalités uniquement aux utilisateurs qui en ont besoin, afin d’éviter tout accès inutile ou non autorisé. Nous renforçons également la sécurité par l’authentification multifactorielle pour chaque outil utilisé. Par ailleurs, nos équipes bénéficient de formations et de sessions de sensibilisation à la sécurité, organisées chaque mois.

Confiance et fiabilité

RGPD

Nous respectons pleinement le Règlement général sur la protection des données (RGPD) et avons mis en place des mesures strictes garantissant la protection des informations traitées.
Nos pratiques

Pour en savoir plus sur les mesures techniques et organisationnelles que nous déployons pour protéger les données personnelles, veuillez consulter notre centre de sécurité.
SOC 2 Type II

Nous avons obtenu avec succès la certification SOC 2 Type II. Pour en savoir plus, rendez-vous sur notre centre de sécurité.

Vous avez découvert une faille de sécurité ?

Si vous êtes expert en sécurité ou chercheur et pensez avoir identifié une faille sur nos sites ou produits, nous vous serions reconnaissants de nous en faire part.

Plus d'informations sont disponibles ci-dessous ou à l'adresse email suivante :

vulnerability-reports@appinio.com

Programme de primes aux failles

Chez Appinio, la protection de nos applications est une priorité. Nous remercions vivement les chercheurs et experts en sécurité qui contribuent à identifier et corriger les vulnérabilités potentielles.

Veuillez noter qu'en raison de capacités limitées, le traitement de votre demande pourrait être retardé. Seuls les signalements identifiés comme importants recevront une réponse prioritaire. Les autres seront traités dans un délai pouvant aller jusqu’à trois mois.

Comment ça marche ?

Un programme de primes aux failles, ou primes bogues, invite les chercheurs en sécurité à analyser nos applications afin de détecter différentes vulnérabilités. Si vous identifiez une faille de sécurité et que vous la signalez de manière responsable, en suivant nos règles, vous pouvez être éligible à une récompense. Ce programme vise à encourager la collaboration entre Appinio et la communauté des experts en cybersécurité, dans le but d’améliorer continuellement notre posture de protection globale. Grâce à cette démarche, nous renforçons la fiabilité et la robustesse de nos produits tout en valorisant les contributions des chercheurs qui participent à la sécurisation de nos systèmes.
Ce programme de récompenses couvre le domaine suivant : research.appinio.com.
Les vulnérabilités suivantes ne sont pas éligibles à une récompense et sont donc exclues du programme :
- attaques par déni de service (DoS)
- vulnérabilités liées aux emails (mauvaises configurations SPF, DKIM, DMARC)
- ingénierie sociale
Pour nous faire part d’une vulnérabilité, veuillez envoyer un email à vulnerability-reports@appinio.com. Votre rapport doit contenir :
- une description claire et précise de la faille, incluant son impact potentiel
- les étapes nécessaires pour la reproduire
- l’URL concernée
- tout élément de preuve (captures d’écran, code de preuve de concept)
Nous accusons réception de votre signalement dans les plus brefs délais et entamons immédiatement son analyse. Notre objectif est de vous confirmer la validité de votre rapport et, en cas de prime, de procéder au versement dans un délai d’une semaine après correction. Nous nous engageons à vous tenir régulièrement informé tout au long du processus.
Le montant de la prime attribuée dépendra de la gravité et de l’impact de la vulnérabilité, évalués selon la méthodologie OWASP. Les rapports concernant des failles très mineures ou purement informatives ne donnent généralement pas lieu à une récompense. En cas de rapports en double pour la même vulnérabilité, seule la première soumission recevra une prime.
Nous vous demandons de ne pas divulguer vos découvertes tant que la vulnérabilité n'aura pas été corrigée. Toute publication prématurée entraînera une exclusion du programme de récompenses.

Merci également d’éviter tout test perturbateur susceptible de provoquer des interruptions de systèmes. Les attaques par déni de service ne sont pas couvertes par le programme.

Vous êtes autorisé à tester uniquement les systèmes inclus dans le périmètre indiqué. Dès que vous avez confirmé une faille, merci de cesser toute tentative d’exploitation supplémentaire et de nous la signaler rapidement.

Une fois que vous avez confirmé avoir trouvé une vulnérabilité, nous vous demandons de ne pas tenter d'exploitation supplémentaire, mais de nous la signaler immédiatement.

Enfin, veillez à fournir un rapport complet, contenant toutes les informations nécessaires à la vérification de votre découverte. Cela facilitera le traitement de votre demande et accélérera le versement de votre potentielle récompense.