Communication avec les chercheurs

Pourquoi c’est important

Les chercheurs jugent les programmes sur la rapidité et la clarté de la communication plus que sur les montants des primes. Un programme qui accuse réception des rapports rapidement et fournit des mises à jour de statut transparentes gagne la confiance — et la confiance attire des soumissions de meilleure qualité. Les fils de messages centralisés gardent chaque communication auditable pour les preuves SOC 2, afin qu’aucun rapport ne se perde dans les méandres de l’e-mail.

Fils de messages

Chaque rapport dispose d’un fil de messages dédié. C’est là que toute la communication entre votre équipe et le chercheur a lieu — pas de chaînes d’e-mails parallèles ni de DM Slack à perdre de vue.

Chaque message a l’un des deux modes de visibilité :

Mode	Visible par	Cas d’utilisation
Externe	Équipe et chercheur	Demander des étapes de reproduction, partager des mises à jour de statut, coordonner les corrections
Interne	Équipe uniquement	Notes d’ingénierie, discussion de triage, débat sur la sévérité

Activez l’interrupteur Interne avant d’envoyer pour garder les notes hors de la vue du chercheur. Les messages internes apparaissent avec un fond jaune et un badge « Interne » dans le fil pour que votre équipe puisse les distinguer d’un coup d’oeil.

Les messages prennent en charge le formatage Markdown — gras, listes, blocs de code et liens s’affichent correctement. Tous les messages sont horodatés et attribués à l’expéditeur. Une fois envoyés, les messages ne peuvent être ni modifiés ni supprimés. Cette immuabilité est intentionnelle : elle préserve la piste d’audit que les auditeurs SOC 2 attendent.

Envoyer un message

1. Ouvrez un rapport depuis le tableau de triage
2. Accédez à l’onglet Messages
3. Rédigez votre message dans la zone de texte
4. Activez Interne s’il s’agit d’une note réservée à l’équipe
5. Cliquez sur Envoyer

Les messages externes déclenchent un e-mail au chercheur avec un lien magique vers son portail. Le chercheur peut répondre depuis le portail, et sa réponse apparaît dans le même fil en temps réel.

Les transitions de statut — comme le passage d’un rapport à Clarification requise ou Validé — peuvent envoyer automatiquement un message basé sur un modèle au chercheur. Configurez ces modèles dans Modèles d’e-mails pour contrôler ce que les chercheurs voient à chaque étape.

Modèles d’e-mails

Accédez à VDP > Modèles d’e-mails pour personnaliser les messages que votre programme envoie automatiquement. Kit utilise une hiérarchie de modèles à 3 niveaux :

1. Valeurs par défaut système — Modèles intégrés livrés avec chaque programme. En lecture seule.
2. Remplacements au niveau du compte — Vos versions personnalisées qui s’appliquent à tous les programmes de votre compte.
3. Remplacements au niveau du programme — Modèles limités à un programme spécifique (futur).

Le modèle le plus spécifique l’emporte. Si vous créez un remplacement au niveau du compte pour report_acknowledged, il remplace la valeur par défaut système pour chaque programme de votre compte.

Les modèles utilisent la syntaxe Liquid ({{ variable_name }}). Cliquez sur le bouton Aperçu pour voir le rendu d’un modèle avec des données d’exemple avant d’enregistrer.

Types de modèles

Kit est livré avec 11 modèles d’e-mails, chacun déclenché automatiquement par un événement spécifique :

Modèle	Déclencheur
report_acknowledged	Envoyé automatiquement lorsqu’un chercheur soumet un rapport
clarification_requested	Lorsque le statut du rapport passe à Clarification requise
report_validated	Lorsque le statut du rapport passe à Validé
report_resolved	Lorsque le statut du rapport passe à Résolu
fix_verification_requested	Lorsqu’un re-test est requis avant la clôture
report_dismissed	Lorsqu’un rapport est rejeté pour quelque motif que ce soit
bounty_approved	Lorsque l’équipe approuve un montant de prime
payout_sent	Lorsqu’un versement est marqué comme terminé
escalation	Lorsqu’un rapport Critique ou Super Critique est trié
appeal_received	Lorsqu’un chercheur soumet un appel de rejet
magic_link	Lien de connexion au portail envoyé aux chercheurs

Variables Liquid disponibles

Utilisez ces variables dans les objets et corps de vos modèles :

Variable	Description
{{ researcher_name }}	Nom d’affichage ou pseudonyme du chercheur
{{ report_id }}	ID préfixé du rapport (par ex., rpt_abc123)
{{ report_title }}	Titre du rapport de vulnérabilité
{{ program_name }}	Nom de votre programme VDP
{{ severity }}	Niveau de sévérité évalué (par ex., Élevée, Critique)
{{ bounty_amount }}	Prime approuvée en devise formatée (par ex., 500,00 $)
{{ portal_link }}	URL du lien magique vers le portail du chercheur
{{ sla_hours }}	Heures SLA configurées pour ce niveau de sévérité
{{ dismissal_reason }}	Code du motif de rejet (par ex., Hors périmètre, Doublon)

Par exemple, un modèle report_acknowledged personnalisé pourrait ressembler à :

Bonjour {{ researcher_name }},

Merci d'avoir soumis un rapport à {{ program_name }}. Votre rapport ({{ report_id }}) a été reçu et notre équipe l'examinera dans les {{ sla_hours }} heures.

Vous pouvez suivre le statut de votre rapport à tout moment :
{{ portal_link }}

Notifications Slack

Kit envoie des notifications Slack pour les événements VDP clés afin que votre équipe reste informée sans consulter le tableau de bord.

Configuration

1. Accédez à Paramètres du compte > Intégrations > Slack et connectez votre espace de travail
2. Ouvrez les Paramètres du programme et sélectionnez le canal Slack qui doit recevoir les notifications VDP

Événements

Les événements suivants déclenchent des notifications Slack. Tous sont activés par défaut lorsqu’un canal est configuré :

Événement	Par défaut	Objectif
Nouveau rapport soumis	Activé	Alerter l’équipe des rapports entrants
Avertissement SLA à risque	Activé	Signaler les rapports approchant de leur date limite SLA
SLA en dépassement	Activé	Escalader les rapports ayant manqué leur SLA
Sévérité Critique/Super Critique triée	Activé	Sensibilisation immédiate aux découvertes de haute sévérité
Prime approuvée	Activé	Visibilité financière sur les paiements approuvés
Appel reçu	Activé	Alerte lorsqu’un chercheur conteste un rejet

Tous les événements vont vers le canal Slack unique que vous configurez dans les Paramètres du programme.

Escalade

Lorsqu’un rapport est évalué comme Critique ou Super Critique, Kit déclenche une escalade qui contourne les préférences de notification normales. Cela garantit que votre équipe d’astreinte est notifiée immédiatement, quels que soient les paramètres de notification individuels.

L’escalade déclenche deux notifications simultanément :

1. E-mail — Envoyé à chaque adresse de la liste d’escalade configurée dans les Paramètres de triage, plus l’assigné du rapport. Utilise le modèle d’e-mail escalation.
2. Slack — Publie dans le canal VDP configuré indépendamment des bascules par événement. Même si vous avez désactivé les notifications Slack pour d’autres événements, les escalades passent toujours.

Configurez les destinataires d’escalade dans VDP > Paramètres du programme > Triage. Ajoutez toute personne qui devrait être réveillée pour une découverte Critique — votre responsable sécurité, CTO ou alias de rotation d’astreinte.

Liste de contrôle rapide

• Personnalisez le modèle report_acknowledged avec le nom et le ton de votre programme
• Configurez le modèle report_dismissed pour expliquer pourquoi les motifs de rejet courants surviennent
• Configurez l’intégration Slack pour que votre équipe voie les nouveaux rapports en temps réel
• Ajoutez les adresses e-mail d’escalade pour les rapports Critiques et Super Critiques
• Utilisez les messages Internes pour la coordination d’ingénierie ; les Externes pour la communication avec les chercheurs

Étapes suivantes

• Le portail chercheur — ce que les chercheurs voient, comment ils soumettent et comment ils font appel
• Primes et paiements — approbation des primes, documents fiscaux et grand livre financier