Information légale

Politique de sécurité.

Kalisecu protège ses clients pour gagner sa vie : il est normal qu'on prenne notre propre sécurité au sérieux. Cette page décrit nos engagements et la marche à suivre pour nous signaler une faille.

01

Signaler une vulnérabilité

Si vous avez identifié une faille de sécurité affectant kalisecu.com ou l'un de nos services, écrivez-nous à security@kalisecu.fr. Indiquez :

  • Une description claire et factuelle de la faille
  • Les étapes pour la reproduire
  • Le niveau de gravité estimé (votre avis)
  • Toute capture d'écran ou preuve technique utile

Engagement de réponse, accusé de réception sous 48 h ouvrées, première analyse sous 5 jours ouvrés, communication régulière jusqu'à la résolution.

02

Périmètre

Dans le périmètre :

  • kalisecu.com et ses sous-domaines (sauf indication contraire)
  • L'espace personnel client
  • L'API publique
  • Les documents et procédures opérationnelles distribués par Kalisecu

Hors périmètre :

  • Les sites de nos clients (vous devez avoir leur autorisation explicite avant tout test)
  • Les services de tiers que nous utilisons (signaler directement au tiers)
  • Les attaques de déni de service, le brute-force, le phishing de nos collaborateurs
  • Les vulnérabilités déjà connues et publiques
03

Règles de bonne conduite

Pour bénéficier de notre engagement de non-poursuite et garder une discussion saine, nous vous demandons :

  • De ne pas exfiltrer, modifier ou détruire de données. Si vous accédez accidentellement à des données qui ne vous appartiennent pas, arrêtez immédiatement et signalez-le.
  • De ne pas tester sur des comptes ou données qui ne sont pas les vôtres.
  • De ne pas divulguer publiquement la faille avant que nous ayons eu un délai raisonnable pour corriger (90 jours par défaut, négociable).
  • De ne pas utiliser la faille à des fins illégales ou pour nuire à nos clients.
04

Reconnaissance

Nous ne tenons pas (encore) de hall of fame public, mais : si vous nous signalez une faille selon les règles ci-dessus, nous remercions chaleureusement, créditons publiquement avec votre accord, et discutons d'une rétribution au cas par cas selon la gravité et la qualité du rapport.

Le fondateur de Kalisecu, Mehdi Rahmani, est lui-même actif sur des programmes de bug bounty et a notamment signalé une vulnérabilité critique sur ProConnect, plateforme d'identité numérique de l'État français. On comprend la valeur d'un bon rapport.

05

Mesures de protection

Pour les curieux, voici un résumé non exhaustif de nos mesures :

  • Hébergement en France (OVH SAS, Scaleway SAS)
  • Chiffrement TLS 1.2+ partout, HSTS, CSP stricte
  • Authentification multi-facteurs sur les comptes opérationnels
  • Cloisonnement multi-tenant logique des données client
  • Mises à jour de sécurité appliquées sous SLA selon la criticité
  • Sauvegardes chiffrées et restauration testée régulièrement
  • Audit interne trimestriel des accès et des journaux
06

security.txt

Conformément à la RFC 9116, un fichier /.well-known/security.txt est publié à la racine du site et liste les modalités de signalement.

Dernière mise à jour : 4 mai 2026 · Read in English