Politique de sécurité

Périmètre

Ce que couvre cette politique

La présente politique concerne uniquement le site institutionnel dawi.fr et ses sous-domaines techniques.

Les applications conçues par Dawi pour ses clients ont chacune leur propre politique de sécurité, propre à leur responsable de traitement (le client). Pour les vulnérabilités concernant ces applications, contactez directement leur éditeur ou leur responsable indiqué dans la documentation de l'application concernée.

Signaler une vulnérabilité

Contact et procédure

Si vous découvrez une vulnérabilité de sécurité sur dawi.fr, écrivez à :

Email : contact@dawi.fr
Objet recommandé : « [SECURITY] Vulnérabilité dawi.fr »

Merci d'inclure dans votre message :

• L'URL ou le composant concerné ;
• Une description claire de la vulnérabilité ;
• Les étapes pour reproduire le problème ;
• L'impact potentiel estimé ;
• Le cas échéant, des captures d'écran ou un proof-of-concept (de préférence chiffré, voir clé PGP ci-dessous si configurée).

Engagement

Notre réponse

• Accusé de réception : sous 48 heures ouvrées.
• Première analyse : sous 5 jours ouvrés, avec qualification de la sévérité et calendrier prévisionnel de correction.
• Correction : les vulnérabilités critiques sont corrigées en priorité (objectif 7 jours) ; les autres dans un délai raisonnable selon la sévérité.
• Notification publique : nous informons les rapporteurs avant toute communication publique de la correction. Aucune attribution n'est faite sans votre accord explicite.
• Reconnaissance : nous remercions publiquement les personnes ayant contribué à la sécurité du site (avec leur accord), dans une page de remerciements ou via une mention dans le commit de correction.

Règles du jeu

Engagement réciproque

Dawi s'engage à ne pas poursuivre légalement les chercheurs en sécurité agissant de bonne foi et respectant les règles suivantes :

• Ne pas perturber le service ou les autres utilisateurs (pas de DoS, pas de fuzzing massif sur la production) ;
• Ne pas accéder, modifier, télécharger ou supprimer des données autres que les vôtres ;
• Ne pas exfiltrer de données. Si une vulnérabilité expose des données, arrêtez immédiatement et signalez sans télécharger ces données ;
• Respecter un délai raisonnable de correction avant toute divulgation publique (90 jours par défaut, négociable selon la sévérité) ;
• Agir dans le cadre de la loi française et européenne applicable.

Hors périmètre

Ce qui n'est pas considéré comme une vulnérabilité

• Absence de certains en-têtes HTTP best-effort (CSP très restrictif sur des sous-domaines techniques, etc.) — signaler reste utile mais ne constitue pas une vulnérabilité critique ;
• Manque de protection contre l'attaque par bruteforce sur l'envoi d'emails à contact@dawi.fr : le filtrage anti-spam relève du fournisseur de messagerie ;
• Vulnérabilités dans des dépendances déjà publiquement connues et pour lesquelles aucun correctif n'est disponible ;
• Problèmes nécessitant un accès physique au serveur de l'hébergeur ou un compromis du compte de l'éditeur ;
• Spéculations sur des configurations non vérifiables (par exemple, pratiques internes de gestion des sauvegardes).

Standard ouvert

security.txt

Conformément au standard RFC 9116↗ (nouvel onglet), un fichier security.txt est servi à l'adresse /.well-known/security.txt. Il fournit aux outils automatisés de chercheurs en sécurité les coordonnées de contact, la politique en vigueur et la date d'expiration de la déclaration.

Mise à jour

Date de dernière mise à jour

Présente politique de sécurité mise à jour le 4 mai 2026. La date d'expiration de security.txt est synchronisée avec cette page.