Configuration de votre programme
Guide étape par étape pour les sept onglets de paramètres du programme — périmètre, matrice de primes, SLA, triage, paiements, spam et security.txt.
Pourquoi c’est important
Une bonne configuration fait la différence entre un VDP crédible et une politique vague que les chercheurs ignorent. La clarté du périmètre protège votre équipe d’ingénierie des rapports hors sujet, les objectifs de SLA maintiennent l’honnêteté de vos temps de réponse, et une matrice de primes bien définie fixe les attentes des chercheurs avant leur soumission.
Kit fournit des valeurs par défaut pertinentes pour chaque paramètre. Vous pouvez passer en production immédiatement et ajuster ensuite, mais consacrer 15 minutes à la configuration en amont vous fera gagner des heures de triage mal orienté.
Activation du VDP
Accédez au VDP pour activer votre programme. Choisissez le niveau Gratuit pour démarrer immédiatement, ou le VDP Add-on (49 $/mois) pour débloquer le pipeline complet. Vous pouvez passer au niveau supérieur à tout moment depuis Paramètres du compte > Facturation.
Une fois votre programme créé, accédez à VDP > Paramètres du programme pour le configurer. Votre programme démarre en statut Brouillon — il n’acceptera pas de rapports tant que vous n’aurez pas défini le statut sur Actif.
Onglet Général
L’onglet Général contrôle l’identité de votre programme et la politique de divulgation.
| Champ | Description |
|---|---|
| Nom du programme | Affiché sur votre page de politique de divulgation et le portail chercheur |
| Statut | Brouillon, Actif ou En pause — définissez sur Actif lorsque la configuration est terminée |
| Politique de divulgation | Champ texte riche pré-rempli avec un langage de protection juridique (safe harbor). Prend en charge la mise en forme, les liens et les listes. |
| Actions interdites | Actions que les chercheurs ne doivent pas effectuer (par ex., ingénierie sociale, attaques physiques, déni de service) |
Gardez votre programme en Brouillon pendant la configuration des onglets restants. Passez à Actif uniquement lorsque vous êtes prêt à accepter des soumissions.
Onglet Périmètre
Le périmètre définit ce que les chercheurs doivent et ne doivent pas tester. Un périmètre vague génère des rapports vagues — soyez précis.
| Champ | Description |
|---|---|
| Cibles incluses | Hôtes, URL ou plages IP que les chercheurs doivent tester (un par ligne). Exemple : app.yourcompany.com, api.yourcompany.com |
| Catégories hors périmètre | Exclusions de catégories de type OWASP (par ex., « Déni de service », « Attaques physiques ») |
| Types de vulnérabilités exclus | Classes de vulnérabilités spécifiques que vous n’accepterez pas (par ex., « Self-XSS », « Absence de limitation de débit sur des endpoints non critiques ») |
Si vous laissez les cibles incluses vides, toutes les cibles sont implicitement dans le périmètre. C’est rarement ce que vous souhaitez. Au minimum, listez les domaines principaux de votre application.
Kit utilise la configuration du périmètre pour valider automatiquement les rapports entrants. Les rapports ciblant des types de vulnérabilités exclus ou des catégories hors périmètre sont signalés avant d’atteindre votre tableau de triage.
Onglet Matrice de primes
VDP Add-on — Cet onglet nécessite le VDP Add-on (49 $/mois). Les programmes gratuits fonctionnent comme des VDP sans prime.
La matrice de primes définit les fourchettes de paiement pour chaque niveau de sévérité. Les montants sont affichés sur votre page de politique de divulgation pour que les chercheurs sachent à quoi s’attendre.
| Sévérité | Min par défaut | Max par défaut |
|---|---|---|
| Super Critique | 5 000 $ | 10 000 $ |
| Critique | 1 500 $ | 5 000 $ |
| Élevée | 500 $ | 1 500 $ |
| Moyenne | 150 $ | 500 $ |
| Faible | 50 $ | 150 $ |
| Informationnelle | 0 $ | 0 $ |
Ajustez ces fourchettes en fonction de votre budget et de votre tolérance au risque. Lorsqu’une évaluation CVSS est enregistrée sur un rapport, Kit suggère automatiquement un montant de prime dans la fourchette du niveau correspondant.
Onglet SLA
Les SLA définissent les engagements de temps de réponse de votre équipe. Le chronomètre SLA démarre à la soumission du rapport. Votre tableau de bord affiche le statut de chaque rapport : dans les temps, à risque ou en dépassement.
Le SLA d’accusé de réception s’applique uniformément à toutes les sévérités — c’est le délai maximum entre la soumission et la première réponse. Par défaut : 72 heures.
Les objectifs de résolution varient selon la sévérité :
| Sévérité | Objectif de résolution par défaut |
|---|---|
| Super Critique | 24 heures |
| Critique | 72 heures (3 jours) |
| Élevée | 168 heures (1 semaine) |
| Moyenne | 336 heures (2 semaines) |
| Faible | 720 heures (30 jours) |
| Informationnelle | 720 heures (30 jours) |
Remplacez n’importe laquelle de ces valeurs pour correspondre à la capacité de votre équipe. Des SLA agressifs sont séduisants sur le papier mais perdent en crédibilité si vous les dépassez régulièrement. Fixez des objectifs que vous pouvez réellement atteindre, puis resserrez-les au fil du temps.
Les indicateurs de SLA apparaissent sur chaque fiche de rapport dans le tableau de triage :
- Dans les temps (vert) — moins de 50 % de la fenêtre SLA écoulée
- À risque (jaune) — plus de 50 % de la fenêtre SLA écoulée
- En dépassement (rouge) — la date limite du SLA est dépassée
Onglet Triage
Les paramètres de triage contrôlent la manière dont les rapports entrants sont acheminés et traités.
| Champ | Par défaut | Description |
|---|---|---|
| Assigné par défaut | Aucun | Membre de l’équipe qui reçoit automatiquement les nouveaux rapports. Définissez votre contact sécurité principal. |
| Sévérités d’escalade | Critique, Super Critique | Niveaux de sévérité qui déclenchent une alerte d’escalade par e-mail et Slack |
| Dédoublonnage | Activé | Signale les rapports potentiellement en double avant qu’ils n’atteignent votre tableau |
| Exiger un re-test | Désactivé | Exiger une vérification par le chercheur que le correctif fonctionne avant la résolution |
| Appels max | 3 | Nombre maximum d’appels qu’un chercheur peut déposer sur un rapport rejeté |
Les paramètres de rotation d’astreinte (mode, planning, membres et assignation automatique) ont leur propre page dédiée. Consultez Rotation d’astreinte pour plus de détails.
Si vous ne définissez pas d’assigné par défaut, les nouveaux rapports apparaissent non assignés sur le tableau de triage. Votre équipe peut toujours les prendre en charge manuellement, mais l’assignation garantit que rien ne passe entre les mailles du filet.
Les alertes d’escalade sont envoyées à l’assigné par défaut et publiées dans votre canal Slack configuré. Configurez l’intégration Slack sous Paramètres du compte > Intégrations.
Onglet Paiements
VDP Add-on — Cet onglet nécessite le VDP Add-on (49 $/mois). Les programmes gratuits ne traitent pas les paiements via Kit.
L’onglet Paiements configure la gestion des versements de primes.
| Champ | Par défaut | Description |
|---|---|---|
| Méthodes de paiement acceptées | PayPal | Cochez les méthodes que vous acceptez : PayPal, Virement bancaire, Crypto |
| Exiger les documents fiscaux | Oui | Les chercheurs doivent télécharger un W-9 (US) ou W-8BEN (international) avant de recevoir le paiement |
| Exiger un accord | Oui | Les chercheurs doivent accepter votre accord de divulgation avant le paiement |
| Paiement minimum | 50 $ | Les chercheurs en dessous de ce seuil sont regroupés jusqu’à ce que les gains cumulés atteignent le minimum |
| Devise | USD | Devise pour tous les montants de primes et paiements |
Les exigences en matière de documents fiscaux existent pour votre conformité légale. Désactiver ce paramètre signifie que les chercheurs peuvent recevoir des paiements sans fournir de documentation fiscale — consultez votre équipe financière avant de le désactiver.
Onglet Spam
Les paramètres anti-spam protègent votre programme contre les soumissions massives et les rapports en série de faible qualité.
| Champ | Par défaut | Description |
|---|---|---|
| Rapports max par fenêtre | 5 | Soumissions maximum par chercheur dans la fenêtre de limitation de débit |
| Durée de la fenêtre | 5 minutes | Fenêtre temporelle pour la limitation de débit |
| Durée du blocage | 1 heure | Durée pendant laquelle un chercheur est bloqué après avoir dépassé la limite |
| Intervalle de nettoyage | 24 heures | Durée de conservation des enregistrements de spam avant suppression automatique |
Les valeurs par défaut sont conservatrices. Si vous constatez que des chercheurs légitimes atteignent la limite de débit, augmentez la durée de la fenêtre ou relevez le seuil de rapports maximum. Si vous recevez beaucoup de spam, réduisez la fenêtre et prolongez la durée de blocage.
Les chercheurs bloqués voient un message clair expliquant quand ils pourront soumettre à nouveau. Les enregistrements de spam sont nettoyés automatiquement selon l’intervalle configuré.
Onglet security.txt
Cet onglet configure les champs utilisés pour générer votre fichier /.well-known/security.txt conformément à la RFC 9116. Kit sert ce fichier automatiquement lorsque votre programme est actif.
| Champ | Par défaut | Description |
|---|---|---|
| E-mail de contact | Aucun (obligatoire) | L’adresse e-mail que les chercheurs utilisent pour signaler les vulnérabilités. Publiée dans le champ Contact:. |
| Expiration | 365 jours | Jours à partir de la génération jusqu’à l’expiration du security.txt. La RFC 9116 exige un champ Expires:. |
| URL de la politique | Générée automatiquement | URL de votre page de politique de divulgation. Pointe par défaut vers votre politique hébergée par Kit. |
| URL des remerciements | Aucune | URL de votre page Hall of Fame, si activée |
| URL de recrutement | Aucune | Lien vers les offres d’emploi de votre équipe sécurité |
| URL de chiffrement | Aucune | URL de votre clé publique PGP pour les communications chiffrées |
Vous devez définir un e-mail de contact avant que votre security.txt ne soit servi. Pour tous les détails sur la configuration, le formatage et la vérification du security.txt, consultez Configuration de security.txt.
Liste de contrôle rapide
- Définissez le nom du programme et personnalisez le texte de la politique de divulgation
- Définissez les cibles incluses et les catégories hors périmètre
- Configurez la matrice de primes (VDP Add-on) ou reconnaissez un programme sans prime (Gratuit)
- Fixez les objectifs de SLA par niveau de sévérité
- Assignez un responsable de triage par défaut
- Configurez les méthodes de paiement et les exigences fiscales (VDP Add-on)
- Vérifiez les seuils anti-spam
- Définissez l’e-mail de contact pour security.txt
- Configurez l’intégration Slack pour les alertes d’escalade
- Définissez le statut sur Actif lorsque tout est prêt
Étapes suivantes
- Configuration de security.txt — guide détaillé de conformité RFC 9116 et vérification
- Triage des rapports — comment utiliser le tableau Kanban, évaluer la sévérité et résoudre les rapports