Aller au contenu
Sécurité

Politique de sécurité

Divulgation responsable, gestion des vulnérabilités et notre engagement envers la sécurité de vos données.

Dernière mise à jour : mai 2026

01 Politique de divulgation responsable

InfoPeak valorise la communauté de recherche en sécurité et accueille favorablement la divulgation responsable des vulnérabilités. Si vous découvrez un problème de sécurité dans un service InfoPeak, nous vous encourageons à nous le signaler.

Signaler une vulnérabilité

security@infopeak.io

Pour les divulgations sensibles, veuillez demander notre clé publique PGP.

02 Portée

Les services et actifs suivants entrent dans le cadre de la divulgation responsable :

  • infopeak.io - application principale et site web
  • auth.infopeak.io - service d'authentification
  • InfoPeak Pass - extension de navigateur
  • InfoPeak VPN - applications mobiles et de bureau

03 Directives de divulgation

Nous demandons aux chercheurs en sécurité de suivre ces directives :

  • Fournissez des détails suffisants pour reproduire la vulnérabilité.
  • N'accédez pas, ne modifiez pas et ne supprimez pas les données appartenant à d'autres utilisateurs.
  • N'effectuez pas d'attaques par déni de service ou d'ingénierie sociale.
  • Accordez-nous un délai raisonnable (90 jours) pour traiter le problème avant toute divulgation publique.

04 Calendrier de réponse

72 heures

Nous accusons réception de votre rapport.

14 jours

Nous fournissons une évaluation initiale et un calendrier de résolution prévu.

90 jours

Nous visons à résoudre toutes les vulnérabilités confirmées dans ce délai.

05 Safe Harbor

InfoPeak n'engagera pas de poursuites judiciaires contre les chercheurs en sécurité qui découvrent et signalent des vulnérabilités de bonne foi, conformément à cette politique. Nous considérons que la recherche en sécurité menée dans le cadre de cette politique est autorisée et n'engagera pas de réclamations juridiques pour avoir contourné des mesures technologiques lorsque la recherche est menée conformément à cette politique.

06 Réponse aux incidents & notification de violation

En cas d'incident de sécurité ou de violation de données, InfoPeak suit ces procédures conformément à la directive NIS2 (UE) 2022/2555 et aux articles 33 et 34 du RGPD :

  • Dans les 24 heures : Avertissement précoce au CSIRT national compétent (équipe de réponse aux incidents de sécurité informatique).
  • Dans les 72 heures : Notification complète de l'incident à l'autorité de contrôle (RGPD) et au CSIRT (NIS2), y compris l'évaluation de la portée et les mesures d'atténuation.
  • Sans délai indu : Les utilisateurs concernés seront informés par e-mail avec des informations claires sur la nature de la violation, les données concernées, les mesures prises et les actions recommandées.
  • Dans le mois : Un rapport final est soumis aux autorités compétentes avec une analyse des causes profondes et des mesures préventives.

07 Architecture de sécurité

InfoPeak emploie les mesures de sécurité suivantes dans le cadre de notre engagement envers le Cyber Resilience Act (CRA) :

  • Chiffrement au repos : AES-256-CBC pour toutes les données utilisateur stockées.
  • Chiffrement en transit : TLS 1.3 pour toutes les connexions.
  • Architecture zéro connaissance : Les clés de chiffrement personnelles sont dérivées côté client. InfoPeak ne peut pas accéder à votre contenu chiffré.
  • Hébergement UE uniquement : Toute l'infrastructure est située au sein de l'Union européenne.
  • Mises à jour de sécurité régulières : Les dépendances et l'infrastructure sont continuellement surveillées et mises à jour.