Sécurité de ce site

Brightway est un cabinet de cybersécurité. Notre site vitrine illustre en pratique les mesures que nous recommandons à nos clients.

Notre engagement

En tant que cabinet spécialisé en cybersécurité qualifié PASSI ANSSI, Brightway applique à son propre site les mêmes exigences que celles que nous recommandons à nos clients. Nous accueillons favorablement toute découverte de vulnérabilité par la communauté des chercheurs en sécurité et nous nous engageons à la traiter avec sérieux et transparence.

Signaler une vulnérabilité sur ce site

Si vous avez identifié une faille de sécurité, un défaut de configuration ou un comportement suspect sur brightway.fr, contactez-nous par les canaux suivants :

Accusé de réception sous 48 heures ouvrées.

Signaler un incident au CERT Brightway

Pour tout signalement d’incident de sécurité relevant de notre équipe CERT (labellisée FIRST) — compromission avérée, fuite de données, demande d’assistance en réponse à incident — utilisez l’adresse dédiée ci-dessous. Nous recommandons le chiffrement PGP pour toute communication contenant des informations sensibles.

  • Email : incident@brightway.fr
  • Clé PGP (UID) : CERT BRIGHTWAY <incident@brightway.fr>
  • Empreinte : 1D02 4B06 1FFE 6502 542A  2257 5982 8791 B270 1503

Vérifiez systématiquement l’empreinte complète avant d’utiliser la clé publique ci-dessous.

-----BEGIN PGP PUBLIC KEY BLOCK-----
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=XTsj
-----END PGP PUBLIC KEY BLOCK-----

Le fichier .asc téléchargeable sera publié prochainement sur /.well-known/openpgpkey/brightway.fr/.

Processus de divulgation responsable

Nous suivons un processus de divulgation responsable conforme aux bonnes pratiques du secteur :

  1. Réception — Accusé de réception de votre signalement sous 48 heures ouvrées.
  2. Analyse — Qualification technique et évaluation de l’impact de la vulnérabilité sous 10 jours ouvrés.
  3. Remédiation — Mise en œuvre d’un correctif et de mesures compensatoires si nécessaire.
  4. Communication — Retour au rapporteur une fois la correction déployée, remerciements publics si le rapporteur le souhaite.

Règles de l’art

Afin de préserver la qualité de nos échanges, nous vous demandons de respecter les règles suivantes :

  • ne jamais exploiter une vulnérabilité au-delà du strict nécessaire pour démontrer son existence ;
  • ne pas accéder, modifier, supprimer ou exfiltrer de données appartenant à des tiers ;
  • ne pas dégrader la qualité de service du site (pas de test de déni de service, pas de charge excessive) ;
  • respecter la confidentialité des informations rencontrées accessoirement durant votre recherche ;
  • nous laisser un délai raisonnable pour corriger avant toute divulgation publique (par défaut 90 jours).

Brightway s’engage en retour à ne pas engager de poursuites judiciaires à l’encontre des chercheurs qui respectent ces règles et agissent de bonne foi.

Périmètre couvert

Le présent engagement couvre :

  • le site brightway.fr et ses sous-domaines publics ;
  • les API publiques exposées par Brightway.

Les infrastructures de nos clients, les prestations livrées dans le cadre de missions, les outils internes non exposés publiquement ne sont pas couverts par la présente politique.

Remerciements

Brightway remercie publiquement les personnes suivantes pour leurs signalements responsables :

Aucun signalement reçu à ce jour.

Nous joindre pour un signalement

Pour tout signalement, reportez-vous aux sections ci-dessus : « Signaler une vulnérabilité sur ce site » (pour brightway.fr) ou « Signaler un incident au CERT Brightway » (avec clé PGP pour les communications sensibles).