Divulgation responsable

La sécurité de nos systèmes et des données qui nous sont confiées est notre priorité absolue. Malgré tout notre soin, les failles ne peuvent jamais être totalement exclues. Si vous découvrez une faille de sécurité dans l'un de nos systèmes, nous vous demandons de nous la signaler de manière responsable avant de la rendre publique. En contrepartie, nous traitons votre signalement de façon confidentielle et n'engageons aucune action en justice contre les chercheurs en sécurité qui agissent de bonne foi conformément à cette politique.

Champ d'application

Cette politique s'applique aux systèmes accessibles au public exploités par Reepa Solutions :

• reepasolutions.de et tous les sous-domaines
• Le portail client ainsi que les API associées
• Les logiciels et applications que nous publions

Hors champ d'application

Merci de vous abstenir des activités suivantes — elles ne sont expressément pas couvertes par cette politique :

• Déni de service (DoS/DDoS) ou autres tests qui nuisent à la disponibilité
• Ingénierie sociale, hameçonnage visant les collaborateurs ou les clients
• Accès physique aux appareils ou aux locaux
• Balayage automatisé de masse qui sollicite sensiblement nos systèmes
• Failles dans des services tiers (à signaler directement au fournisseur concerné)
• Constats purement théoriques sans impact démontrable (p. ex. en-têtes manquants sans vecteur d'attaque concret)

Comment signaler une faille

Envoyez votre signalement à info@reepasolutions.de avec l'objet « Security Disclosure ». Des informations de contact lisibles par machine figurent également dans notre security.txt (selon le RFC 9116).

Un signalement utile contient idéalement :

• Une description de la faille et du composant concerné (URL/point de terminaison)
• Des étapes reproductibles pour la reproduire (preuve de concept)
• Une évaluation de l'impact possible
• Vos coordonnées pour les questions de suivi

Notre engagement (Safe Harbor)

Si vous agissez de bonne foi conformément à cette politique, nous nous engageons à :

• Accuser réception de votre signalement sous 3 jours ouvrés.
• Vous tenir informé de l'état de traitement et de la correction.
• Traiter votre signalement et votre identité de façon confidentielle et ne pas les transmettre sans votre accord.
• N'engager aucune action en justice contre vous et ne déposer aucune plainte, dès lors que vous respectez les règles ci-dessous.

Ce que nous vous demandons

• Nous laisser un délai raisonnable pour corriger avant de publier des détails (indicatif : 90 jours).
• N'accéder qu'à la quantité de données nécessaire pour démontrer la faille — pas davantage.
• Ne pas modifier, supprimer ni publier des données de tiers, et ne pas perturber l'exploitation.
• Ne pas porter atteinte à la vie privée et ne pas enfreindre le droit en vigueur.
• Supprimer les données obtenues lors de l'analyse une fois le signalement clôturé.

Récompense

Reepa Solutions n'exploite actuellement pas de programme formel de bug bounty avec primes en argent. Nous vous remercions néanmoins expressément pour tout signalement responsable et vous citons volontiers, sur demande, dans un remerciement public.

Pour en savoir plus sur notre gestion des données et de la sécurité, consultez notre Centre de confiance.

Mise à jour : juin 2026