Sécurité et divulgation responsable – ImmerTwin™

Date d'entrée en vigueur : 01 février 2026
Dernière mise à jour : 01 février 2026

ImmerTwin™ prend la sécurité au sérieux. Cette déclaration de sécurité et de divulgation responsable explique comment signaler les vulnérabilités de sécurité affectant :

  • immertwin.com (le “ Site Web ”), et

  • tours.immertwin.com (le “ Site de Tours ”),
    collectivement désignés les “ Services en ligne ”.

Si vous pensez avoir trouvé une faille de sécurité, veuillez la signaler de manière responsable afin que nous puissions l'examiner et la corriger.

Contact de sécurité : contact@immertwin.com
Objet : “Rapport de sécurité – Divulgation responsable”)

Portée

Cette politique couvre les vulnérabilités de sécurité susceptibles d'affecter les Services en ligne, notamment :

  • pages web, formulaires et contrôles d'authentification/d'accès (lorsqu'ils sont présents),

  • visites de pages et restrictions d'accès (public/non répertorié/restreint),

  • configuration et intégrations qui affectent matériellement la sécurité.

Les plateformes et services tiers intégrés dans les Services en ligne peuvent avoir leurs propres programmes de sécurité. Si un problème relève clairement d'un système tiers, nous pouvons vous demander de le signaler au fournisseur concerné.

2) Comment signaler une vulnérabilité

Courriel contact@immertwin.com avec :

  • l'URL concernée(s),

  • une description claire du problème et de son impact potentiel,

  • instructions de reproduction étape par étape (preuve de concept lorsque possible),

  • ce à quoi on s'attendait versus ce qui s'est passé,

  • des captures d'écran ou des journaux qui aident à expliquer le problème,

  • votre environnement (appareil, système d'exploitation, navigateur),

  • que vous pensiez que des données pourraient être exposées (et quel type),

  • Vos coordonnées préférées pour le suivi.

Veuillez éviter d'envoyer des données personnelles sensibles sauf si cela est strictement nécessaire pour démontrer le problème, et n'incluez que le minimum nécessaire.

3) Ce que nous vous demandons de faire (attentes en matière de divulgation responsable)

Nous vous demandons de :

  • agir de bonne foi et minimiser les perturbations,

  • Ne testez que sur des comptes/données que vous possédez ou que vous avez l'autorisation explicite d'utiliser,

  • arrêtez les tests une fois que vous avez confirmé la présence d'une vulnérabilité,

  • donnez-nous un délai raisonnable pour enquêter et remédier avant de divulguer publiquement,

  • ne pas exploiter la vulnérabilité au-delà de ce qui est nécessaire pour confirmer son existence,

  • ne pas accéder, télécharger, modifier ou supprimer les données appartenant à autrui.

4) Ce qui n'est pas autorisé

Pour protéger nos utilisateurs et nos systèmes, vous ne devez pas :

  • effectuer des tests de déni de service (DoS/DDoS) ou d'autres attaques d'indisponibilité,

  • utiliser l'ingénierie sociale, le phishing, ou des attaques de sécurité physique,

  • tenter des attaques par credential stuffing, par force brute ou par mots de passe,

  • utiliser une analyse automatisée qui a un impact matériel sur les performances,

  • exfiltrer des données, copier de grands volumes de contenu, ou scraper des visites restreintes,

  • ne modifiez pas les données que vous ne possédez pas ou que vous n'avez pas l'autorisation de modifier.

Si vous n'êtes pas sûr qu'un test soit autorisé, demandez-nous d'abord à contact@immertwin.com.

5) Divulgation coordonnée et calendriers

Nous visons à :

  • accusez réception de votre rapport dès que possible,

  • évaluer la gravité et confirmer si le problème est reproductible,

  • Travailler à la remédiation et vous tenir informé dans la mesure du possible.

Les délais de remédiation varient en fonction de la complexité, de la gravité et de l'implication éventuelle de prestataires tiers. Le cas échéant, nous pourrions vous demander de garder le rapport confidentiel jusqu'à ce qu'une solution ou une atténuation soit en place (divulgation coordonnée).

6) Zone de sécurité (recherche de bonne foi)

Nous n'engagerons pas d'action en justice contre les chercheurs qui :

  • suivez cette politique,

  • agir de bonne foi,

  • éviter les violations de la vie privée et les interruptions de service, et

  • ne pas exploiter le problème à des fins lucratives.

Cela n'autorise pas les tests illégaux ou ceux qui portent atteinte aux droits d'autrui. Cette déclaration s'applique uniquement dans la mesure permise par la loi applicable.

7) Confidentialité et traitement des données

Nous traitons les rapports de vulnérabilité comme confidentiels. Nous pouvons partager des détails uniquement dans la mesure nécessaire pour enquêter et remédier à la vulnérabilité (par exemple, avec les fournisseurs d'hébergement, les partenaires de plateforme ou les consultants en sécurité), et uniquement avec des garanties appropriées.

Si des données personnelles sont impliquées, nous pouvons prendre des mesures supplémentaires conformément à notre politique de confidentialité et à nos obligations légales.

Reconnaissance

Nous pouvons mentionner les rapporteurs de sécurité (par exemple, par leur nom) dans les notes de version ou un message de remerciement, sous réserve de votre autorisation et de la nature du rapport.

9) Modifications de cette déclaration

Nous pourrions mettre à jour cette Déclaration de sécurité et de divulgation responsable de temps à autre. La date de la “ Dernière mise à jour” en haut indique la version actuelle.