Ce document décrit la procédure de signalement d'un problème de sécurité et sa gestion pour le site et le logiciel 'Recommandations-collaboratives’ du Cerema.

Signaler une faille

Le Cerema et l’équipe qui gère 'Recommandations-collaboratives’ prennent au très au sérieux la sécurité de l’application. Signalez toute faille de sécurité en envoyant un email à l'équipe, à : recommandations-collaboratives@beta.gouv.fr.

L’équipe accusera réception de votre message dans les 72 heures ouvrées. Après la réponse initiale à votre rapport, elle vous tiendra informé·e de la progression vers une correction et une annonce complète, et pourra vous demander des informations ou des conseils supplémentaires.

Politique de divulgation et de correction

Lorsque l’équipe reçoit un rapport sur une faille de sécurité, elle procède aux étapes suivantes :

• Confirmer le problème et déterminer les versions affectées.
• Vérifier le code pour trouver tout problème similaire potentiel.
• Communiquer aux principales parties prenantes (services du Cerema, gestionnaires de portails), par email ou par Mattermost, qu'une faille est en cours de résolution
• Préparer les correctifs, les merger sur la branche production et les déployer
• Communiquer aux principales parties prenantes concernées que le correctif est déployé.

Commentaires sur cette politique

Si vous avez des suggestions sur la façon dont ce processus pourrait être amélioré, vous pouvez nous écrire par email à recommandations-collaboratives@beta.gouv.fr.