Politique de Divulgation Volontaire

    1. Home  - 
    2. Politique de Divulgation Volontaire

    Version française / french version : Politique de Divulgation Volontaire

    Version 1.0, Mai 2026

    Chez Radical SSI, nous prenons la sécurité de nos systèmes, de nos services et des données que nous traitons très au sérieux.

    Nous reconnaissons également le rôle essentiel joué par les chercheurs et chercheuses en sécurité dans l’amélioration de la sécurité de l’écosystème numérique.

    Si vous pensez avoir identifié une vulnérabilité affectant un actif exploité par Radical SSI, nous vous encourageons à nous la signaler de manière responsable, comme le propose cette politique de divulgation volontaire de vulnérabilités.

    Cette politique de divulgation volontaire décrit :

    • les systèmes concernés,
    • les règles applicables aux recherches de sécurité,
    • la procédure de signalement,
    • ainsi que nos engagements vis-à-vis des chercheurs agissant de bonne foi.
    Politique de divulgation Volontaire : humain représentant un chercheur en sécurité analysant un contrat

    Champ d’application

    Les actifs suivants sont couverts par cette politique.

    ActifDescriptionStatut
    radical-ssi.frSite principalIn scope
    *.radical-ssi.frSous-domaines détenus et exploités par Radical SSIIn scope
    APIs exploitées par Radical SSIServices exposés publiquementIn scope
    Services tiersPrestataires externes ou services partenairesOut of scope
    Infrastructures clientesSystèmes opérés pour des tiersOut of scope
    Environnements de préproductionStaging, développement, tests internesOut of scope sauf autorisation explicite

    Cette politique s’applique uniquement aux actifs détenus et exploités par Radical SSI.

    Règles de recherche autorisées

    Nous autorisons les recherches de sécurité réalisées de bonne foi, dans le respect de cette politique et des lois applicables.

    Les activités suivantes sont autorisées lorsqu’elles sont réalisées de manière raisonnable et non destructive :

    • identification et validation de vulnérabilités ;
    • réalisation de preuves de concept limitées ;
    • tests manuels ou automatisés à faible impact ;
    • collecte minimale d’informations nécessaires à la démonstration de la vulnérabilité ;
    • analyse de configuration ou de comportement applicatif.

    Nous vous demandons de limiter vos actions au strict nécessaire afin de démontrer l’existence de la vulnérabilité.

    Activités interdites

    Les activités suivantes ne sont pas autorisées :

    • attaques par déni de service (DoS/DDoS) ;
    • dégradation volontaire de disponibilité ;
    • phishing, vishing ou toute forme d’ingénierie sociale ;
    • accès physique à des locaux, équipements ou infrastructures ;
    • exfiltration massive de données ;
    • modification, suppression ou destruction de données ;
    • persistance ou pivot vers d’autres systèmes ;
    • dépôt de malware ou de shell ;
    • brute force agressif ou credential stuffing ;
    • accès à des données qui ne vous appartiennent pas au-delà du strict minimum nécessaire à la validation ;
    • divulgation publique avant coordination avec Radical SSI.

    Si vous accédez accidentellement à des données sensibles, nous vous demandons :

    • d’interrompre immédiatement vos recherches ;
    • de ne pas conserver, copier ou partager ces données ;
    • de nous signaler rapidement la situation.

    Procédure de signalement

    Pour signaler une vulnérabilité, contactez-nous à l’adresse suivante : security@radical-ssi.fr

    Clé PGP disponible à l’adresse : https://radical-ssi.fr/clef-pgp/

    Informations utiles dans un signalement

    Afin de faciliter l’analyse et la reproduction du problème, merci d’inclure autant d’informations pertinentes que possible :

    • description de la vulnérabilité ;
    • impact potentiel ;
    • étapes de reproduction ;
    • preuve de concept (PoC) ;
    • URL, endpoint, adresse IP ou composant concerné ;
    • captures d’écran, traces ou logs utiles ;
    • conditions nécessaires à l’exploitation ;
    • recommandations éventuelles.

    Les rapports issus uniquement d’outils automatisés sans validation ou contextualisation pourront être rejetés.

    Engagements de Radical SSI

    Lorsqu’un signalement respecte cette politique, Radical SSI s’engage à :

    • accuser réception du signalement sous 3 jours ouvrés ;
    • qualifier le signalement sous 7 jours ouvrés ;
    • maintenir un échange raisonnable avec le chercheur ;
    • traiter les informations reçues de manière confidentielle ;
    • corriger les vulnérabilités confirmées dans des délais raisonnables.

    Nous apprécions les signalements précis, responsables et exploitables.

    La démarche de signalement responsable est en elle-même une contribution précieuse à la sécurité de l’écosystème. Nous la reconnaissons comme telle. Pour les vulnérabilités particulièrement significatives, une attention particulière pourra être portée à la reconnaissance de cette contribution, selon notre appréciation et les circonstances.

    Safe Harbor

    La couverture Safe Harbor prend effet dès l’envoi du signalement à Radical SSI.

    Lorsque des recherches de sécurité sont menées :

    • de bonne foi ;
    • dans le respect de cette politique ;
    • dans des limites raisonnables et proportionnées ;
    • et conformément aux lois applicables ;

    Radical SSI considérera ces activités comme autorisées.

    Dans ce cadre, Radical SSI n’engagera pas de poursuites à l’encontre des chercheurs respectant cette politique et soutiendra leur démarche de bonne foi si des questions relatives à leurs activités de recherche venaient à être soulevées.

    Cette protection ne couvre pas :

    • les activités malveillantes ;
    • les actions contraires à cette politique ;
    • les violations des lois applicables ;
    • les actions menées sur des systèmes hors périmètre.

    Confidentialité et divulgation coordonnée

    Nous demandons aux chercheurs de ne pas divulguer publiquement une vulnérabilité avant :

    • sa correction ;
    • ou une coordination explicite avec Radical SSI.

    Sauf accord spécifique, nous appliquons un délai standard de divulgation coordonnée de 90 jours à compter de la confirmation initiale de la vulnérabilité.

    Lorsque cela est pertinent, la coordination peut inclure des organismes tiers spécialisés tels que :

    • CERT/CC ;
    • CERT-FR ;
    • éditeurs concernés ;
    • prestataires impactés.

    Après remédiation ou expiration du délai convenu, une divulgation technique raisonnable et factuelle pourra être envisagée en coordination avec Radical SSI.

    Vulnérabilités hors périmètre

    Les catégories suivantes sont généralement considérées comme hors périmètre :

    • absence de headers de sécurité sans impact démontré ;
    • versions logicielles exposées ;
    • configuration TLS faible sans exploitabilité démontrée ;
    • recommandations SPF, DKIM ou DMARC ;
    • clickjacking sans scénario réaliste ;
    • fichiers publics attendus (robots.txt, bannières, pages d’erreur, etc.) ;
    • problèmes purement théoriques ou non reproductibles ;
    • rapports issus uniquement de scanners automatisés ;
    • CSRF sur contenus non sensibles ou non authentifiés ;
    • énumération d’utilisateurs à faible impact ;
    • rapports liés à des navigateurs obsolètes ;
    • problèmes nécessitant un accès physique ;
    • vulnérabilités affectant des services tiers non exploités par Radical SSI.

    Cette liste n’est pas exhaustive.

    Mentions légales

    Cette politique peut être modifiée à tout moment sans préavis. La version en vigueur est celle publiée sur cette page.

    Elle ne constitue pas une autorisation générale de tester les systèmes de Radical SSI en dehors du cadre défini ci-dessus.

    Les chercheurs restent responsables du respect :

    • des lois applicables ;
    • des réglementations locales ;
    • des droits des tiers ;
    • ainsi que des obligations relatives à la protection des données personnelles.

    Le droit français est applicable à cette politique.

    Security.txt

    Le fichier security.txt officiel de Radical SSI est disponible à l’adresse : https://radical-ssi.fr/.well-known/security.txt. Il est compatible RFC 9116.

    English version / version anglaise : Coordinated Vulnerability Disclosure Policy

    At Radical SSI, we take the security of our systems, services, and the data we process very seriously.

    We also recognize the essential role played by security researchers in improving the security of the digital ecosystem.

    If you believe you have identified a vulnerability affecting an asset operated by Radical SSI, we encourage you to report it to us responsibly.

    This Coordinated Vulnerability Disclosure Policy describes:

    • the systems in scope,
    • the rules applicable to security research,
    • the reporting procedure,
    • and our commitments to researchers acting in good faith.

    Scope

    The following assets are covered by this policy.

    AssetDescriptionStatus
    radical-ssi.frMain websiteIn scope
    *.radical-ssi.frSubdomains owned and operated by Radical SSIIn scope
    APIs operated by Radical SSIPublicly exposed servicesIn scope
    Third-party servicesExternal providers or partner servicesOut of scope
    Client infrastructureSystems operated on behalf of third partiesOut of scope
    Pre-production environmentsStaging, development, internal testingOut of scope unless explicitly authorized

    This policy applies solely to assets owned and operated by Radical SSI.

    Authorized Research Activities

    We authorize security research conducted in good faith, in compliance with this policy and applicable laws.

    The following activities are permitted when carried out in a reasonable and non-destructive manner:

    • identification and validation of vulnerabilities;
    • limited proof-of-concept demonstrations;
    • low-impact manual or automated testing;
    • minimal collection of information necessary to demonstrate the vulnerability;
    • analysis of configuration or application behavior.

    We ask that you limit your actions to what is strictly necessary to demonstrate the existence of the vulnerability.

    Prohibited Activities

    The following activities are not authorized:

    • denial-of-service attacks (DoS/DDoS);
    • deliberate degradation of availability;
    • phishing, vishing, or any form of social engineering;
    • physical access to premises, equipment, or infrastructure;
    • mass data exfiltration;
    • modification, deletion, or destruction of data;
    • persistence or lateral movement to other systems;
    • deployment of malware or shells;
    • aggressive brute force or credential stuffing;
    • accessing data that does not belong to you beyond the strict minimum necessary for validation;
    • public disclosure prior to coordination with Radical SSI.

    If you accidentally access sensitive data, we ask that you:

    • immediately cease your research;
    • not retain, copy, or share that data;
    • promptly notify us of the situation.

    Reporting Procedure

    To report a vulnerability, contact us at: security@radical-ssi.fr

    PGP key available at: https://radical-ssi.fr/clef-pgp/

    Useful Information for a Report

    To facilitate analysis and reproduction of the issue, please include as much relevant information as possible:

    • description of the vulnerability;
    • potential impact;
    • steps to reproduce;
    • proof of concept (PoC);
    • URL, endpoint, IP address, or affected component;
    • screenshots, traces, or useful logs;
    • conditions required for exploitation;
    • any recommendations.

    Reports based solely on automated tools without validation or contextualization may be rejected.

    Radical SSI’s Commitments

    When a report complies with this policy, Radical SSI commits to:

    • acknowledging receipt of the report within 3 business days;
    • qualifying the report within 7 business days;
    • maintaining reasonable communication with the researcher;
    • treating the information received confidentially;
    • remediating confirmed vulnerabilities within a reasonable timeframe.

    We value precise, responsible, and actionable reports.

    Responsible disclosure is in itself a valuable contribution to the security of the ecosystem. We recognize it as such. For particularly significant vulnerabilities, special attention may be given to acknowledging this contribution, at our discretion and depending on the circumstances.

    Safe Harbor

    Safe Harbor coverage takes effect upon submission of the report to Radical SSI.

    When security research is conducted:

    • in good faith;
    • in compliance with this policy;
    • within reasonable and proportionate limits;
    • and in accordance with applicable laws;

    Radical SSI will consider such activities as authorized.

    In this context, Radical SSI will not initiate legal proceedings against researchers who comply with this policy, and will support their good-faith efforts should any questions arise regarding their research activities.

    This protection does not cover:

    • malicious activities;
    • actions contrary to this policy;
    • violations of applicable laws;
    • actions taken on out-of-scope systems.

    Confidentiality and Coordinated Disclosure

    We ask researchers not to publicly disclose a vulnerability before:

    • it has been remediated;
    • or explicit coordination with Radical SSI has taken place.

    Unless otherwise agreed, we apply a standard coordinated disclosure deadline of 90 days from initial confirmation of the vulnerability.

    Where relevant, coordination may involve specialized third-party organizations such as:

    • CERT/CC;
    • CERT-FR;
    • affected vendors;
    • impacted providers.

    After remediation or expiration of the agreed deadline, reasonable and factual technical disclosure may be considered in coordination with Radical SSI.

    Out-of-Scope Vulnerabilities

    The following categories are generally considered out of scope:

    • missing security headers without demonstrated impact;
    • exposed software versions;
    • weak TLS configuration without demonstrated exploitability;
    • SPF, DKIM, or DMARC recommendations;
    • clickjacking without a realistic scenario;
    • expected public files (robots.txt, banners, error pages, etc.);
    • purely theoretical or non-reproducible issues;
    • reports based solely on automated scanners;
    • CSRF on non-sensitive or unauthenticated content;
    • low-impact user enumeration;
    • issues related to outdated browsers;
    • issues requiring physical access;
    • vulnerabilities affecting third-party services not operated by Radical SSI.

    This list is not exhaustive.

    Legal Notice

    This policy may be modified at any time without prior notice. The version in force is the one published on this page.

    It does not constitute a general authorization to test Radical SSI’s systems outside the framework defined above.

    Researchers remain responsible for complying with:

    • applicable laws;
    • local regulations;
    • third-party rights;
    • and obligations relating to the protection of personal data.

    French law applies to this policy.

    Security.txt

    Radical SSI’s official security.txt file is available at: https://radical-ssi.fr/.well-known/security.txt. It is compliant with RFC 9116.

    Besoin d’autres infos ?

    Plus d’infos ? Des questions ? Contactez-nous !

    Partagez cette page via :