Charte de la Communauté

La mission de Yogosha est de proposer une plateforme logicielle de mise en relation de chercheurs indépendants avec des clients souhaitant tester et renforcer la sécurité de leurs systèmes d’information.

A ce titre, nous sommes animés par le souci d’offrir constamment aux chercheurs et aux clients qui font appel à nos services une plateforme de qualité, fondée sur les principes essentiels de respect, de transparence, et de confidentialité.

Nous comptons donc sur tous les membres de notre communauté, chercheurs, clients, partenaires, personnels de la société pour créer et entretenir l’environnement productif et collaboratif qui caractérise notre plateforme. Pour ce faire, nous devons tous nous engager à respecter un ensemble de règles d’utilisation de la plateforme, qui sont des règles de vie commune nécessaires pour assurer le bon fonctionnement de Yogosha.

 

I. Les principes essentiels que nous nous engageons à respecter

  1. Respect : Chaque partie s’engage à se respecter mutuellement, et à respecter l’éthique qui anime la communauté des chercheurs : informer la société (ici les clients) de dérives et risques technologiques auxquels elle est exposée, qu’il s’agisse de mises en danger intentionnelles ou non. Les « hackers éthiques » invitent ainsi, préalablement à toute divulgation au grand public, les responsables à effectuer les correctifs nécessaires.
  2. Transparence :Chaque partie impliquée sur la plateforme Yogosha accepte de partager l’intégralité des actions qu’elle met en oeuvre et des intentions qui les sous-tendent, si une autre partie le demande.
  3. Confidentialité : Les parties s’engagent à respecter la confidentialité des informations partagées, et les chercheurs s’engagent en particulier à appliquer la confidentialité la plus stricte autour des failles detectées et des possibles données que les vulnérabilités du système d’information du client pourraient rendre accessibles.
  4. Neutralité : Yogosha s’engage à mettre tous les moyens en œuvre pour résoudre les différends qui pourraient survenir entre clients et chercheurs. Ce principe de neutralité va de pair avec celui de la transparence.

         

        II. Les principes essentiels que les chercheurs s’engagent à respecter dans leur utilisation de la plateforme

        En leur qualité de professionnels, les chercheurs doivent fournir un service conforme aux standards du marché, ce qui inclut notamment les éléments suivants :

        1. Diligence et professionnalisme dans les missions de bug bounty confiées par les clients
          • Les chercheurs, après examen des demandes des clients, évalueront la criticité de manière objective, selon les plus hauts standards de la pratique.
          • Ils devront ensuite rédiger conformément à ces mêmes demandes, des rapports de failles dans un langage compréhensible en rendant les failles facilement reproductibles et identifiables pour le client, incluant notamment : description, PoC, steps to reproduce, screenshot, impact, remédiation, etc.
          • Les chercheurs prennent l’engagement de ne pas nuire aux systèmes testés, notamment en réalisant des DDoS, upload d’exploits, des téléchargements de données sensibles. Ils s’engagent à ne pas stocker les données sensibles qu’ils peuvent rencontrer dans leur recherche de faille, en les effaçant de leur appareil immédiatement.
        1. Comportement sérieux et responsable

        Afin de délivrer un service de qualité, les chercheurs :

          • S’engagent à s’adresser aux clients, y compris dans les rapports de sécurité, en utilisant un langage correct et courtois.
          • Ils reconnaissent également la nécessité de faire preuve de pédagogie en privilégiant un langage clair et accessible.
          • Les chercheurs s’engagent à respecter le travail et la réputation des autres chercheurs et de la communauté.
          • Ils s’engagent à ne jamais intervenir de manière négative sur les réseaux sociaux concernant la communauté et les projets en cours.
        1. Protection de l’intégrité et de la confidentialité des données du client, en ce compris des données personnelles

        Eu égard à la spécificité de leur activité et au caractère sensible des informations auxquelles ils ont accès, les chercheurs reconnaissent qu’ils :

          • Ne doivent pas inclure de données personnelles (à savoir toute donnée se rapportant ou permettant d’identifier une personne physique) dans un rapport de failles, et si cela n’est pas possible, ils s’engagent à communiquer avec les clients concernés au préalable.
          • Ne doivent jamais révéler l’existence des campagnes de bug bounty en cours, ni communiquer sur le contenu des campagnes, l’identité des clients ou, plus généralement, toute donnée ou tout outil des clients.
          • Doivent recourir à des outils et des mesures adaptés pour protéger la confidentialité des informations des clients.
        1. Diplomatie et communication en cas de problème

        Etant en contact direct avec les clients, les chercheurs reconnaissent que l’adoption d’un comportement courtois doit rester la norme et s’engagent à :

          • Ne pas solliciter les clients de manière intempestive, contester systématiquement les contreparties, ni soumettre aux clients plusieurs fois, de manière répétée et délibérément non-professionnelle, les rapports de faille de sécurité.
          • Ne pas surévaluer le niveau de criticité des failles uniquement dans le but d’augmenter le niveau de récompense. Les évaluations doivent uniquement reposer sur des critères techniques et métiers.
          • Dialoguer avec les clients pour éviter tout malentendu ou mauvaise compréhension de part et d’autre.
          • Contacter Yogosha dès que possible en cas de différend avec un client.

         

        III. Les principes essentiels que les clients s’engagent à respecter dans leur utilisation de la plateforme

        1. Prudence dans l’organisation des campagnes de bug bounty

        Afin d’évaluer dans les meilleures conditions possibles les risques existants, les clients s’engagent à :

          • Évaluer prudemment la sensibilité des cibles soumises aux tests.
          • Ne pas soumettre aux tests des éléments critiques pour le client sans prendre des précautions techniques internes adaptées.
          • Minimiser, et protéger dans la mesure du possible, les données personnelles qui pourraient être consultées par les chercheurs.
        1. Respect des chercheurs

        Tout comme les chercheurs, les clients s’engagent à adopter un comportement respectueux et notamment à :

          • S’adresser aux chercheurs avec politesse et correction.
          • Évaluer objectivement les failles remontées par les chercheurs et les rémunérer conformément aux tarifs convenus.
          • Traiter de manière égale tous les chercheurs, sans discrimination ni favoritisme.
        1. Communication et réactivité

        L’effectivité et la réussite de la détection et de la correction des vulnérabilités des clients supposent que ces derniers :

          • Traitent les rapports de sécurité soumis par les chercheurs dans des délais raisonnables.
          • Rémunèrent les chercheurs, réapprovisionnent le budget en cas d’insuffisance des fonds.
          • Communiquent avec le chercheur en cas de modification de la criticité, de son rapport ou des contreparties.
        1. Souplesse et diplomatie

        Enfin les clients s’engagent à :

          • Accepter les rapports de sécurité à priori hors périmètre, mais révélant une réelle faille de sécurité du client.
          • Essayer de résoudre les différends avec un chercheur à l’amiable.
          • Dans tous les cas, contacter Yogosha en cas d’incident.