Le programme
Bug Bounty d’Infomaniak
Contribuez à l'amélioration de nos solutions éthiques pour assurer le plus haut niveau de sécurité à nos clients en rejoignant notre communauté de chercheurs.
Rejoindre le programmeEngagé pour la cybersécurité et la confiance numérique
La sécurité absolue n'existe pas. C'est pourquoi elle est notre priorité et qu'elle se trouve au cœur de tous nos processus et de ce que nous créons.
Nos solutions se focalisent sur les besoins essentiels de nos utilisateurs pour limiter les erreurs de sécurité humaines.
Nos technologies sont développées en Suisse par nos équipes et/ou se basent sur des projets open source mondialement reconnus.
Les lanceurs d’alerte sont protégés et nos collaborateurs peuvent à tout moment signaler une éventuelle irrégularité de manière anonyme.
Les données qui nous sont confiées sont hébergées et traitées dans nos centres de données en Suisse, conformément à notre politique de confidentialité engagée, la LPD et le RGPD.
Pour compléter cette approche, nous travaillons avec l'intelligence collective de la communauté de chercheurs et de hackers éthiques pour assurer le plus haut niveau de sécurité possible à nos clients.
Votre objectif : défier la sécurité de nos solutions
Toute personne interagissant avec nos produits et nos services est encouragée à signaler les vulnérabilités identifiées à notre équipe de sécurité. Des primes conséquentes peuvent être octroyées en cas de signalement avéré et c’est aussi un excellent moyen d’entrer en contact avec nos équipes techniques pour rejoindre Infomaniak et contribuer au développement d’un cloud éthique et respectueux de la vie privée et de l’environnement.
Comment ça marche ?
La sécurité et la confiance de nos clients sont nos priorités absolues. Avec notre programme de bug bounty, nous récompensons les hackers éthiques et les chercheurs qui contribuent à renforcer la cybersécurité de nos solutions cloud éthiques.
1
2
3
Reportez la vulnérabilité découverte
Décrivez-nous le plus précisément possible la vulnérabilité identifiée.
Entrez en contact avec notre équipe de sécurité
Un expert analysera votre rapport et vous contactera pour obtenir plus d’informations.
Obtenez un suivi et votre récompense
Vous pourrez suivre le cas et vous serez rémunéré en fonction du service rendu.
La confiance de nos clients est notre priorité. Nous encourageons la collaboration entre notre équipe de sécurité et la communauté pour renforcer notre cyberdéfense. Notre programme de Bug Bounty s’inscrit dans notre engagement pour la sécurité, la protection des données et la transparence.
Rejoignez le programme de Bug Bounty
Rejoignez la plateforme YesWeHack pour nous signaler des vulnérabilités et obtenir une rémunération à la hauteur de votre contribution.
Rejoindre le programme Bug BountyNous privilégions la plateforme YesWeHack qui agit comme un tiers de confiance. En cas de nécessité, il est possible de nous soumettre votre rapport à l’adresse security@infomaniak.com
Clé publique PGP :
Télécharger la cléUne question ? Un doute ?
Nous avons réuni ci-dessous les questions qui nous sont souvent posées.
Pourquoi utiliser la plateforme YesWeHack ?
Le service en ligne de bug bounty YesWeHack nous permet de traiter plus rapidement vos remontées, la gestion du triage est faite par l'équipe du service, et nous disposons de moyens de communications plus fluides pour la collaboration avec les chercheurs en failles de sécurité.
Les récompenses sont alors gérées automatiquement suivant la validité du rapport, et le niveau de sévérité de ce qui a été trouvé.
Vous bénéficiez d'un outil performant pour travailler avec les équipes internes d'Infomaniak.Comment sont évalués les rapports de sécurité ?
Nous vous demandons de nous envoyer un maximum de détails concernant la faille que vous avez identifiée pour que nous puissions évaluer avec justesse la sévérité et l'impact de votre découverte.
Le triage de l'équipe YesWeHack va alors reproduire (PoC) la faiblesse qui est identifiée pour une seconde évaluation de votre rapport.
Nos équipes vont effectuer une dernière évaluation suivant les critères CVSS, l'impact sur notre cœur de métier et d'autres critères internes.Quelles sont les règles et les tests autorisés ?
Veuillez respecter les règles suivantes lorsque vous effectuez des recherches :- Les attaques par déni de service (DoS) contre nos applications, nos serveurs, nos réseaux ou notre infrastructure sont strictement interdites.
- Évitez les tests qui pourraient entraîner une dégradation ou une interruption de nos services.
- N'utilisez pas de scanners automatisés ou d'outils qui génèrent une grande quantité de trafic réseau.
- Ne pas divulguer, manipuler ou détruire des données ou des fichiers d'utilisateurs dans l'une de nos applications/serveurs.
- Ne pas copier de fichiers de nos applications/serveurs et les divulguer.
- Aucune divulgation de vulnérabilité, complète, partielle ou autre, n'est autorisée.
Comment fonctionne le système de prime aux bugs ?
Sur notre programme YesWeHack, une échelle des primes est indiquée en fonction de l'évaluation de la sévérité et de son impact. Une fois votre rapport validé, il sera accordé une récompense qui sera automatiquement versée via le système de YesWeHack