Politique de gestion des vulnérabilités
Comment nous identifions, évaluons et corrigeons les vulnérabilités de sécurité dans nos produits.
Dernière mise à jour : avril 2026
1. Identification des vulnérabilités
LS2 Innovation identifie les vulnérabilités par plusieurs canaux :
- Analyses automatisées — scans de dépendances (Dependabot, Snyk) à chaque build, scans d'image de conteneur, scans d'infrastructure hebdomadaires.
- Tests de pénétration annuels par une firme externe indépendante, avec rapport exécutif partageable avec les clients sur demande.
- Revue manuelle lors des changements significatifs d'architecture ou de dépendances majeures.
- Programme de divulgation responsable permettant aux chercheurs externes de nous signaler des vulnérabilités sans crainte de représailles.
- Surveillance des bulletins CVE pour nos composants technologiques critiques.
2. Classification de sévérité
Chaque vulnérabilité confirmée est classée selon le CVSS v3.1 :
| Sévérité | Score CVSS | SLA de correction |
|---|---|---|
| Critique | 9,0 – 10,0 | 24 heures |
| Haute | 7,0 – 8,9 | 7 jours |
| Moyenne | 4,0 – 6,9 | 30 jours |
| Faible | 0,1 – 3,9 | 90 jours |
Ces délais peuvent être raccourcis si une vulnérabilité est activement exploitée dans la nature.
3. Processus de correction
- Triage — l'équipe de sécurité confirme la vulnérabilité et attribue un score CVSS dans les 48 heures de son signalement.
- Atténuation immédiate — si la vulnérabilité est activement exploitable, nous déployons une atténuation (rate-limiting, WAF rule, etc.) dans les heures qui suivent.
- Correctif — un correctif est développé, revu et testé selon le SLA de la sévérité.
- Déploiement — le correctif est déployé en production après passage en staging.
- Communication — les institutions clientes sont notifiées si la vulnérabilité a pu exposer leurs données.
4. Divulgation
Nous publions un avis de sécurité dans notre centre d'avis pour toute vulnérabilité de sévérité Haute ou Critique qui a affecté la production, après déploiement du correctif. Les avis incluent :
- Description technique de la vulnérabilité.
- Versions/dates affectées.
- Indicateurs de compromission.
- Étapes recommandées pour les institutions clientes.
5. Programme de divulgation responsable
Si vous avez découvert une vulnérabilité dans un de nos produits, merci de nous écrire à info@ls2.io avec « Vulnérabilité » dans l'objet. Nous nous engageons à :
- Accuser réception dans les 48 heures ouvrables.
- Fournir un premier diagnostic dans les 7 jours.
- Ne pas intenter d'action légale contre les chercheurs agissant de bonne foi dans les limites de ce programme.
- Reconnaître votre contribution (avec votre permission) dans l'avis de sécurité publié.
6. Hors de portée
Le programme ne couvre pas les rapports concernant :
- L'ingénierie sociale des employés de LS2.
- Les attaques physiques sur nos installations.
- Les rapports automatisés non validés (scans de scanners publics sans exploitation démontrée).
7. Contact
Pour toute question : info@ls2.io.