RetourDernière mise à jour: 09/11/2025

Responsible Disclosure

Nous encourageons la communauté des chercheurs en sécurité à nous signaler de manière responsable toute vulnérabilité potentielle affectant Godia.ai. Cette page décrit le périmètre, la procédure de signalement, le cadre de protection (« safe harbor ») et notre engagement de réponse.

Objectif

Promouvoir un signalement responsable des vulnérabilités afin de protéger les utilisateurs, leurs données et l’intégrité de la plateforme Godia.ai.

Périmètre couvert

Les domaines et services *.godia.ai, y compris les interfaces web publiques et les sous-domaines officiels. Les environnements internes, comptes d’employés et données de clients réels sont exclus.

Bonnes pratiques requises

  • Pas d’impact utilisateur

    Évitez toute interruption de service, altération de données ou atteinte à la confidentialité. Préférez des tests ciblés et proportionnés.

  • Pas d’accès ou d’exfiltration de données

    N’accédez pas aux données personnelles d’autrui. Si vous y parvenez par inadvertance, cessez immédiatement et détruisez-les sans les conserver.

  • Pas de divulgation publique avant correctif

    Donnez-nous un délai raisonnable pour analyser et corriger avant toute publication. Nous favoriserons une divulgation coordonnée.

Canal de signalement

Contactez legal@godia.ai avec un rapport clair : étapes de reproduction, impact, surfaces affectées, captures anonymisées et vos coordonnées.

Détails à inclure dans le rapport

  • Résumé & sévérité estimée

    Brève description du problème et du risque.

  • Étapes de reproduction

    Instructions pas-à-pas, payload minimal, comptes/tests isolés.

  • Preuve de concept

    Logs, captures ou vidéos démontrant la vulnérabilité sans exposer de données sensibles.

  • Portée & impact

    Composants affectés, conditions, probabilité d’exploitation.

  • Mesures d’atténuation

    Pistes de correctif, contrôles compensatoires, bonnes pratiques.

Cadre de protection (« safe harbor »)

Dans la mesure permise par la loi, nous n’intenterons pas d’action contre les chercheurs qui effectuent de bonne foi des tests proportionnés, respectent ce programme et n’exploitent pas les failles au-delà de la démonstration. Ce cadre ne couvre pas les activités illégales (ex. : accès à des données de tiers, DDoS, rançongiciels).

Hors périmètre

  • DDoS et volumétrie

    Stress tests, fuzz massifs, scan intrusifs non autorisés.

  • Social engineering

    Phishing, vishing, usurpation d’identité d’employés/clients.

  • Faiblesses mineures

    Best practices non-bloquantes (ex. headers manquants sans impact exploitable direct).

  • Services tiers

    Failles relevant d’outils externes et fournisseurs SaaS utilisés par Godia.ai.

Sévérité et délais de réponse

  • Triage initial

    Accusé de réception sous 2 jours ouvrés.

  • Catégorisation

    Priorisation basée sur l’impact et la probabilité (critique, élevé, moyen, faible).

  • Remédiation

    Délai variable selon la complexité. Nous communiquerons des mises à jour jusqu’à résolution.

Vie privée et données

Les signalements peuvent contenir des données personnelles (coordonnées du chercheur). Elles sont traitées conformément à notre Politique de confidentialité et conservées le temps nécessaire au traitement.

Reconnaissance

Nous ne proposons pas de programme de bug bounty public à ce jour. Selon les cas, une mention de remerciement peut être accordée. Merci de contribuer à la sécurité de l’écosystème Godia.ai.

Modifications du programme

Ce programme peut évoluer à tout moment. La date de dernière mise à jour est indiquée ci-dessus.