Politique de sécurité
Date d’entrée en vigueur : Janvier 2026
Gray Matter prend la sécurité au sérieux. Nous accueillons favorablement la divulgation responsable des vulnérabilités de sécurité par les chercheurs en sécurité et la communauté au sens large.
Périmètre
Cette politique s’applique à :
- graymatter.ch et tous les sous-domaines
- Toutes les applications web exploitées par Gray Matter
- Notre infrastructure accessible au public
Hors périmètre
Les éléments suivants sont explicitement hors périmètre :
- Attaques d’ingénierie sociale contre le personnel de Gray Matter
- Tests de sécurité physique
- Attaques par déni de service (DoS/DDoS)
- Services tiers que nous utilisons (signalez-les directement à ces fournisseurs)
- Vulnérabilités nécessitant un accès physique à un appareil
- Scans de vulnérabilités automatisés sans coordination préalable
Comment signaler
Envoyez vos conclusions à :
E-mail : security@graymatter.ch
Veuillez inclure :
- Description de la vulnérabilité
- Étapes de reproduction (détaillées, étape par étape)
- Évaluation de l’impact potentiel
- Preuve de concept (captures d’écran, logs ou code)
- Vos coordonnées pour le suivi
Chiffrement
Pour les rapports sensibles, vous pouvez chiffrer votre message avec notre clé PGP (disponible sur demande).
À quoi s’attendre
| Délai | Action |
|---|---|
| 48 heures | Accusé de réception initial de votre rapport |
| 7 jours | Évaluation préliminaire et classification de la sévérité |
| 30 jours | Résolution cible pour les problèmes critiques/élevés |
| 90 jours | Résolution cible pour les problèmes moyens/faibles |
Nous vous tiendrons informé tout au long du processus et vous notifierons lorsque le problème sera résolu.
Safe Harbor
Nous soutenons la recherche en sécurité responsable. Si vous agissez de bonne foi et suivez cette politique :
- Nous n’engagerons pas de poursuites judiciaires contre vous
- Nous ne signalerons pas vos activités aux autorités
- Nous travaillerons avec vous pour comprendre et résoudre le problème
La bonne foi implique :
- Éviter les violations de la vie privée (ne pas accéder aux données d’autrui ni les modifier)
- Éviter toute perturbation de nos services
- Ne pas exploiter les vulnérabilités au-delà de ce qui est nécessaire pour démontrer le problème
- Signaler rapidement les vulnérabilités et ne pas les divulguer publiquement avant résolution
- Ne pas utiliser les vulnérabilités à des fins personnelles au-delà de la reconnaissance
Reconnaissance
Nous n’offrons pas actuellement de programme de bug bounty rémunéré. Cependant, nous sommes heureux de :
- Reconnaître publiquement votre contribution (avec votre permission)
- Fournir une lettre de recommandation sur demande
- Vous ajouter à notre page de remerciements sécurité (si créée)
Mentions légales
Cette politique ne crée aucune obligation légale de la part de Gray Matter. Nous nous réservons le droit de modifier cette politique à tout moment. La participation à ce programme ne vous accorde aucun droit au-delà de ceux explicitement énoncés ici.
Contact
Signalements de sécurité : security@graymatter.ch
Demandes générales : hello@graymatter.ch
Cette politique suit les meilleures pratiques de l’industrie pour la divulgation responsable des vulnérabilités, y compris les directives de l’ISO 29147 et le CERT Guide to Coordinated Vulnerability Disclosure.
Prêt à transformer votre architecture ?
Que vous ayez besoin d'une évaluation Zero Trust, d'une architecture de gouvernance IA, de conseils sur l'adoption de l'Agentic Coding ou d'aide pour choisir la bonne technologie - discutons de votre situation spécifique. Conversation directe avec l'architecte qui fait le travail.
Ans d'expérience
De l'évaluation à l'architecture jusqu'à l'implémentation
Secteurs
Logistique, transports, finance, secteur public
Conseil technologique
Recommandations fondées sur l'adéquation architecturale, les besoins d'intégration et votre modèle opérationnel.