Métriques et exports
Comment lire le tableau de bord des métriques de votre VDP, gérer le karma des chercheurs, publier le Hall of Fame et générer des exports de preuves SOC 2.
Pourquoi c’est important
Les métriques sont le principal mécanisme pour prouver l’efficacité de votre VDP aux auditeurs. « Nous avons un programme de divulgation de vulnérabilités » ne constitue pas une preuve suffisante. « Nous avons accusé réception de 100 % des rapports sous 72 heures et résolu les problèmes critiques sous 48 heures » en est une.
Les preuves SOC 2 Type II nécessitent des données bornées dans le temps : rapports reçus, taux de conformité aux SLA, répartition par sévérité et délais de résolution. Le tableau de bord des métriques et le pipeline d’export de Kit sont conçus pour produire exactement ce que votre auditeur demande — sans course de dernière minute en fin de trimestre.
KPI du tableau de bord
Cinq métriques clés apparaissent en haut de votre tableau de bord VDP. Elles vous donnent un aperçu de la santé du programme chaque fois que vous ouvrez le module.
| KPI | Description |
|---|---|
| Rapports ouverts | Nombre de rapports non encore résolus ou rejetés |
| En attente de triage | Rapports au statut Soumis sans évaluation |
| Conformité SLA (%) | Pourcentage de rapports accusés de réception dans le délai SLA configuré |
| Primes approuvées | Valeur totale des primes approuvées pour la période (VDP Add-on uniquement) |
| Signalés par l’IA | Nombre de rapports signalés par l’IA en attente de vérification humaine |
Les KPI se rafraîchissent au chargement de la page. Il n’y a pas de rafraîchissement automatique — rechargez la page ou revenez-y pour voir les chiffres mis à jour.
Page des métriques
Accédez à VDP > Métriques pour des analyses détaillées. Utilisez le filtre de plage de dates en haut pour définir le périmètre : 7 derniers jours, 30 jours, 90 jours ou une plage personnalisée.
La page des métriques est divisée en huit sections :
| Section | Ce qu’elle affiche |
|---|---|
| MTTA (Mean Time to Acknowledge) | Nombre moyen d’heures entre la soumission et la première réponse, tous rapports confondus sur la période |
| MTTR (Mean Time to Resolve) | Nombre moyen d’heures entre la soumission et la résolution, ventilé par niveau de sévérité |
| Tendance de conformité SLA | Graphique en courbe montrant le pourcentage de conformité dans le temps — surveillez les tendances à la baisse avant qu’elles ne deviennent des constatations d’audit |
| Rapports dans le temps | Graphique en barres des soumissions par semaine ou par mois — utile pour repérer les tendances saisonnières ou les pics de divulgation |
| Par sévérité | Répartition des rapports par niveau de sévérité (de Super Critique à Informationnelle) |
| Par statut | Distribution des rapports ouverts par colonne de statut (Soumis, Trié, Validé, En cours, etc.) |
| Par type de vulnérabilité | Répartition par catégorie OWASP — montre les classes de vulnérabilités auxquelles votre produit est le plus exposé |
| Meilleurs chercheurs | Classés par nombre de rapports valides — identifie vos contributeurs externes les plus précieux |
Toutes les sections respectent la plage de dates sélectionnée. MTTA et MTTR sont les deux chiffres que votre auditeur SOC 2 demandera en premier.
Karma des chercheurs
Kit suit la qualité des chercheurs dans le temps à l’aide d’un système de karma. Accédez à VDP > Chercheurs pour consulter l’annuaire complet des chercheurs avec les niveaux de karma.
| Niveau de karma | Signification | Effet |
|---|---|---|
| Fiable | Rapports valides et de haute qualité de manière constante | Rapports priorisés au triage |
| Neutre | Pas de signal fort dans un sens ou l’autre | Flux de triage standard |
| Faible | Historique de rapports de faible qualité | Rapports pré-signalés pour vérification |
| Non fiable | Schéma récurrent de spam ou de soumissions de mauvaise foi | Rapports automatiquement signalés ; rejet automatique optionnel |
Le karma s’ajuste automatiquement en fonction des événements liés aux soumissions du chercheur.
Événements positifs (augmentent le karma) :
- Rapport valide soumis et résolu
- Prime versée pour une vulnérabilité confirmée
- Correctif vérifié par le chercheur
Événements négatifs (diminuent le karma) :
- Rapport rejeté comme spam
- Rapport rejeté comme doublon
- Schéma récurrent de soumissions non reproductibles
- Appel rejeté après examen
Les niveaux de karma aident votre équipe à prioriser le triage. Un rapport d’un chercheur Fiable peut être traité en priorité avec un niveau de confiance plus élevé. Un rapport d’un chercheur Non fiable entre toujours dans la file d’attente mais est signalé pour que votre équipe puisse appliquer un examen approprié.
Gestion du Hall of Fame
Accédez à VDP > Hall of Fame pour gérer le classement public des chercheurs. Le Hall of Fame reconnaît les chercheurs qui ont contribué des rapports valides à votre programme.
Règles clés :
- Les chercheurs s’inscrivent depuis leur portail — l’équipe ne peut pas forcer l’ajout d’un chercheur au classement
- L’équipe peut Mettre en avant un chercheur, ce qui l’épingle en haut de la page publique
- L’équipe peut Retirer un chercheur du classement, ce qui annule son inscription
Le Hall of Fame public est accessible à /security/{program-slug}/hall-of-fame. Partagez cette URL dans votre politique de divulgation pour signaler que vous valorisez les contributions des chercheurs. La plupart des programmes publient le Hall of Fame une fois qu’ils ont cinq chercheurs inscrits ou plus.
Génération des exports
Accédez à VDP > Exports et cliquez sur Nouvel export pour générer un dossier de preuves prêt pour l’audit. Les exports nécessitent le VDP Add-on (49 $/mois).
Configurez l’export avec les filtres suivants :
| Filtre | Options |
|---|---|
| Plage de dates | Date de début et date de fin de la période de reporting |
| Statut | Filtrer par statut de rapport (par ex., uniquement Résolu, ou tous les statuts) |
| Sévérité | Filtrer par niveau de sévérité (par ex., Critique et Élevée uniquement) |
| Type de vulnérabilité | Filtrer par catégorie OWASP |
Choisissez votre format :
| Format | Recommandé pour |
|---|---|
| CSV | Données exploitables par machine pour tableurs, analyses complémentaires ou import dans des outils GRC |
| Rapport lisible par un humain, formaté pour les auditeurs — inclut en-têtes, résumés et tableaux |
Chaque export comprend quatre sections :
| Section | Contenu |
|---|---|
| Résumés des rapports | ID du rapport, titre, statut, sévérité, score CVSS, date de soumission, date de résolution |
| Performance SLA | Statut SLA par rapport (dans les délais ou en dépassement), heures écoulées jusqu’à l’accusé de réception et la résolution |
| Journal des communications | Messages externes uniquement (communications destinées aux chercheurs, pas les notes internes) |
| Grand livre financier | Approbations de primes, enregistrements de versements et statuts de paiement pour la période |
Les exports sont asynchrones. Kit traite l’export en arrière-plan et vous envoie un lien de téléchargement par e-mail lorsqu’il est prêt. Les exports volumineux couvrant plusieurs trimestres de données peuvent prendre quelques minutes.
Flux de travail pour les preuves SOC 2
Le flux de travail recommandé pour les audits SOC 2 Type II :
- À la fin de chaque trimestre, accédez à VDP > Exports et créez un nouvel export couvrant le trimestre
- Sélectionnez Tous les statuts et Toutes les sévérités pour capturer l’image complète
- Choisissez le format PDF pour le fichier de preuve principal et CSV en complément
- Téléchargez les deux fichiers lorsque l’e-mail arrive
- Joignez-les à vos dossiers de preuves CC4 (Monitoring Activities) et CC7 (System Operations)
Votre auditeur cherchera trois choses dans cet export : que les rapports sont reçus et suivis, que les objectifs SLA sont atteints de manière constante et que le grand livre financier montre une trace propre de l’approbation de la prime jusqu’à la confirmation du versement. L’export est conçu pour répondre à ces trois questions sans préparation supplémentaire.
Consultez Primes et paiements pour plus de détails sur le grand livre financier qui alimente les exports.
Liste de contrôle rapide
- Vérifiez les KPI du tableau de bord au début de chaque semaine pour détecter rapidement les baisses de conformité SLA
- Consultez la page des métriques au début de chaque trimestre pour confirmer les tendances MTTA et MTTR
- Passez en revue les niveaux de karma des chercheurs pour identifier les chercheurs Fiables en vue d’un triage accéléré
- Publiez le Hall of Fame une fois que vous avez 5 chercheurs inscrits ou plus
- Générez un export trimestriel pour votre dossier de preuves SOC 2 CC4/CC7 (VDP Add-on)
- Définissez un rappel récurrent dans votre calendrier pour extraire les métriques avant chaque fenêtre d’audit SOC 2
- Recoupez avec le flux Triage des rapports si la conformité SLA est en baisse
Étapes suivantes
- Triage des rapports — le flux de triage complet, les indicateurs SLA et les opérations groupées
- Intégration IA — demandez à l’assistant IA des résumés de métriques et des analyses SLA