SNCF Connect met tous les moyens en œuvre afin de garantir une navigation sécurisée et une protection optimale des données de ses clients.
Si malgré nos efforts, vous pensez avoir détecté une faille de sécurité, nous vous invitons à nous contacter afin que nous puissions intervenir rapidement.
Pour un traitement efficace, soyez le plus précis possible (éléments permettant de reproduire la faille, copie d’écran, code utilisé…).
Si les informations communiquées sont insuffisantes, notre équipe technique pourra être amenée à prendre contact avec vous et ne manquera pas de vous tenir informés des suites données à votre alerte. SNCF Connect vous remercie d’avance pour votre collaboration.
Programme de Bug Bounty SNCF Connect
Chez SNCF Connect, la sécurité de nos utilisateurs et la protection de leurs données sont au cœur de nos priorités. Nous sommes convaincus qu’aucun système n’est infaillible et que la collaboration avec la communauté de chercheurs en sécurité est essentielle pour identifier et corriger les vulnérabilités avant qu’elles ne puissent être exploitées.
C’est pourquoi nous avons mis en place un programme de Bug Bounty en partenariat avec YesWeHack, une plateforme reconnue qui met en relation des organisations avec une communauté internationale de hackers éthiques.
Notre démarche
Notre programme de Bug Bounty s’inscrit dans une démarche proactive de sécurité. Il complète nos audits internes et externes en permettant à des experts indépendants de tester nos applications web, mobiles et nos APIs dans des conditions réelles.
L’objectif est simple : I*dentifier rapidement les vulnérabilités et les corriger efficacement afin de garantir un haut niveau de sécurité pour nos services et nos utilisateurs.*
Comment participer ?
Nous invitons les chercheurs en sécurité à analyser les périmètres définis dans notre programme et à nous signaler toute vulnérabilité identifiée via la plateforme YesWeHack :
Les rapports doivent être :
- Clairs et reproductibles
- Accompagnés de preuves de concept si nécessaire
- Soumis de manière responsable et confidentielle
Seuls les premiers rapports valides et conformes aux règles du programme pourront être éligibles à une récompense.
Récompenses
Les récompenses sont attribuées en fonction :
- de la criticité de la vulnérabilité
- de son impact réel sur les utilisateurs et le système
Comme sur la plupart des programmes YesWeHack, les primes suivent une grille progressive (de faible à critique), pouvant aller de quelques dizaines à plusieurs milliers d’euros selon la sévérité de la faille.
Chaque rapport est analysé par nos équipes sécurité, et les récompenses sont attribuées sur la base du scénario d’exploitation le plus impactant.
Bonnes pratiques
Pour garantir un cadre de recherche responsable, nous demandons aux participants de :
- Ne pas perturber les services en production
- Ne pas accéder, modifier ou divulguer des données utilisateurs
- Respecter strictement le périmètre défini
- Éviter toute technique intrusive ou destructive
Nous valorisons une collaboration basée sur la confiance, la transparence et le respect des utilisateurs.
Une collaboration ouverte
En participant à ce programme, vous contribuez directement à améliorer la sécurité de SNCF Connect et à protéger des millions d’utilisateurs. Nous croyons fermement que la sécurité est une responsabilité collective, et nous remercions l’ensemble des chercheurs qui s’engagent à nos côtés.
Vous pouvez nous laisser un commentaire