Préambule

Vous êtes un expert en sécurité ou un simple utilisateur d’une de nos solutions et vous pensez avoir détecté une faille de sécurité, une vulnérabilité ou un problème quelconque sur un de nos outils ?

Merci d’avance de nous en informer de manière responsable.

Nous vous prions donc de ne pas accéder aux données et de ne pas les modifier ou supprimer sans permission, mais d’agir de bonne foi et de manière à ne pas affecter les performances de nos infrastructures.

Merci de vous référer à la « Procédure de gestion des vulnérabilités » décrite ci-dessous pour faciliter au mieux la transmission de votre remarque.

Et surtout :
Merci à vous de nous aider à renforcer la sécurité et la robustesse de nos productions.

— 

You don’t speak french ?

You would like to report a vulnerability or have a security concern regarding our services ?
Send us an email at : security@alphamosa.fr
Please describe as much as possible the detected vulnerability and include a functioning email address in your message to ensure our technical team could contact you if they need any additional information.

And most importantly :
Thanks so much for helping us to enforce security and robustness of our productions.

Procédure de gestion des vulnérabilités Alphamosa

Préambule

Cette procédure a pour objet de définir les modalités de gestion des vulnérabilités découvertes sur un service exposé mis en œuvre par Alphamosa.

Modalités

Remontée utilisateur

Un utilisateur peut remonter une vulnérabilité découverte sur un service en envoyant un email à l’adresse security@alphamosa.fr.

Pour une gestion optimale de la remontée utilisateur, cet email devra prendre en compte les différents éléments décrits ci-dessous.

Contenu de la communication

La communication identifiant la vulnérabilité devra décrire et détailler l’ensemble des étapes et éléments nécessaires permettant l’exploitation de la vulnérabilité identifiée.

Auteur

  • Moyen de contact (email fonctionnel, numéro de téléphone) de l’utilisateur à l’origine de la remontée

Contexte

  • Date et heure (précises) du déclanchement de la vulnérabilité
  • URL concernée
  • IP de la machine ayant provoqué la vulnérabilité

Environnement

  • Type et version du système d’exploitation
  • Type et version du navigateur utilisé, ainsi que des plugins si nécessaires

Actions

  • Contenu exhaustif de la requête et actions effectuées

Résultat(s)

  • Description du ou des résultats de la vulnérabilité

Il est également possible d’intégrer à la communication différentes pièces jointes comme des captures d’écran, des screencast et tout autre matériel permettant aux équipes d’Alphamosa de comprendre et reproduire au mieux la vulnérabilité.

Prise en charge

La personne en charge de la sécurité du service concerné chez Alphamosa ouvre un ticket dans notre outil consacré avec les éléments qui lui ont été communiqués et accuse réception de la prise en compte de la remontée.

  • Il reproduit l’exploitation à l’aide des informations données
  • S’il est impossible d’exploiter la vulnérabilité, il demandera des précisions à la personne ayant effectué la remontée.

Dernière mise à jour : 13 octobre 2021

Les engagements d’Alphamosa en matière de sécurité

Vous vous demandez comment Alphamosa appréhende les problématiques de sécurité ?
Vous nous avez adressé un mail concernant une vulnérabilité et vous vous interrogez sur les suites données à votre message ?

Nos engagements sont clairs :

  • chaque vulnérabilité identifiée est considérée comme une urgence et traitée dans les plus brefs délais
  • la portée de chaque vulnérabilité est établie et l’intégralité des services concernés est inspectée et corrigée
  • nous communiquons en toute transparence avec nos clients sur le moindre problème identifié et mettons en œuvre tous les outils nécessaires au respect des différentes contraintes légales en matière d’information utilisateur si une vulnérabilité venait à toucher des données personnelles ou sensibles

Plus généralement :

  • tous nos développeurs sont sensibilisés et formés régulièrement aux problématiques de sécurité
  • nous intégrons les problématiques de sécurités dans l’ensemble de nos productions et ce dès les phases préliminaires de conception et d’élaboration
  • nous appliquons une approche "Security by Design"
  • sur demande du client, nous pouvons mandater un prestataire en cybersécurité indépendant pour effectuer des tests d’intrusions, audits et évaluations de sécurité sur nos plateformes

Crédits

Nous tenons à remercier ces experts en sécurité qui nous ont aidé à identifier des vulnérabilités sur nos services.

DateNameReport
2022-07-18 Mayank Mukhi Reflected Xss vulnerability
2022-01-05 Shivam Pravin Khambe Clickjacking vulnerability

Vous avez des questions sur la sécurité web ?

Nous vous présenterons notre approche en toute transparence.

Contactez-nous si vous souhaitez en savoir plus sur la manière dont nous prenons en compte la sécurité dans nos développements, notre hébergement ou nos procédures internes.

info@alphamosa.fr
Tél. 03 26 48 17 56