Référence · Sécurité

Politique de sécurité et divulgation des vulnérabilités.

WeeSec applique à son propre site et à ses opérations les principes que nous recommandons à nos clients. Cette page documente le programme de divulgation des vulnérabilités (VDP), conforme RFC 9116, CRA et NIS2.

Comment signaler une vulnérabilité

Si vous pensez avoir identifié une vulnérabilité de sécurité affectant le site weesec.com, ses infrastructures ou ses services, nous vous remercions de nous contacter selon la procédure suivante :

  • Email principal : security@weesec.com
  • Délai d'accusé de réception : 2 jours ouvrés.
  • Délai de traitement initial : 5 jours ouvrés.
  • Langues acceptées : français, anglais.

Le fichier /.well-known/security.txt est conforme à la RFC 9116 et liste les contacts officiels.

Périmètre concerné

Inclus dans le périmètre du programme :

  • Le site weesec.com et ses sous-domaines.
  • Les services en ligne opérés par WeeSec (formulaires, API publique, portails clients).
  • Les communications avec les outils tiers utilisés en production (Calendly, Plausible) lorsque la vulnérabilité affecte spécifiquement notre intégration.

Exclu du périmètre :

  • Les vulnérabilités des fournisseurs tiers eux-mêmes (à signaler directement au fournisseur).
  • Les findings d'analyse purement automatisée sans démonstration d'impact.
  • Les attaques DoS / DDoS, dépendant de l'infrastructure du CDN.
  • Les vulnérabilités nécessitant un accès physique au matériel d'un employé.

Engagements WeeSec

  1. Réception : accusé de réception sous 2 jours ouvrés.
  2. Triage : qualification de la criticité (CVSS 4.0) sous 5 jours ouvrés.
  3. Communication : informations régulières sur l'avancement de la remédiation.
  4. Remédiation : selon la criticité, entre 24 heures (critique) et 90 jours (faible).
  5. Reconnaissance : crédit public si vous le souhaitez (Hall of Fame des contributeurs).
  6. Pas de poursuites : aucune action légale ne sera engagée contre les chercheurs respectant cette politique en bonne foi.

Bonnes pratiques attendues du chercheur

  • Ne pas exploiter la vulnérabilité au-delà de ce qui est strictement nécessaire pour démontrer son existence.
  • Ne pas accéder, modifier ou supprimer des données utilisateur.
  • Ne pas publier les détails techniques avant que la remédiation soit effective et qu'une communication coordonnée ait été convenue.
  • Respecter le RGPD et la vie privée de tous les utilisateurs concernés.

Conformité réglementaire

Cette politique répond aux exigences :

  • RFC 9116 (security.txt) : standard IETF de signalement des contacts sécurité.
  • Cyber Resilience Act (Article 13 et Annexe I, partie II point 5) : obligation pour les fabricants de produits avec éléments numériques de mettre en place un programme de divulgation des vulnérabilités, applicable au 11 septembre 2026.
  • NIS2 (Article 21.2.j) : politique de divulgation coordonnée des vulnérabilités, élément du tronc commun obligatoire pour les entités essentielles et importantes.
  • ENISA Good Practice Guide on Vulnerability Disclosure.

Vous opérez un produit numérique ?

WeeSec accompagne les éditeurs de logiciels et opérateurs de services européens dans la mise en place de leur propre programme de divulgation des vulnérabilités, conforme CRA et NIS2. Voir notre guide sur le VDP CRA-compliant ou la page pilier CRA.

Besoin d'aide pour structurer votre VDP ?

20 minutes pour cadrer ensemble. Mise en place type sous 4 à 6 semaines.

Réserver un échange Calendly