Métriques et exports
Comment lire le tableau de bord des métriques de votre VDP, gérer le karma des chercheurs, publier le tableau d'honneur et générer les exports de preuves SOC 2.
Pourquoi c’est important
Les métriques sont le principal moyen de prouver l’efficacité d’un VDP à un auditeur. « Nous avons un programme de divulgation des vulnérabilités » ne constitue pas une preuve suffisante. « Nous avons accusé réception de 100 % des rapports en moins de 72 heures et résolu les problèmes critiques en moins de 48 heures » en est une.
Une preuve SOC 2 Type II exige des données horodatées : rapports reçus, taux de conformité au SLA, répartition par sévérité et délais de résolution. Le tableau de bord des métriques de Kit et son pipeline d’export sont conçus pour produire exactement ce que votre auditeur demande — sans précipitation en fin de trimestre.
Indicateurs clés du tableau de bord
Cinq métriques phares figurent en haut de votre tableau de bord VDP. Elles vous donnent un état de santé d’un coup d’œil à chaque ouverture du module.
| Indicateur clé | Description |
|---|---|
| Rapports ouverts | Nombre de rapports non encore résolus ni rejetés |
| En attente de triage | Rapports au statut Soumis sans évaluation |
| % de conformité au SLA | Pourcentage de rapports pour lesquels l’accusé de réception respecte le SLA configuré |
| Primes approuvées | Valeur totale des primes approuvées sur la période (module complémentaire VDP uniquement) |
| Signalés par l’IA | Nombre de rapports marqués comme contenu IA bâclé en attente de revue humaine |
Les indicateurs clés se rafraîchissent au chargement de la page. Il n’y a pas de rafraîchissement automatique — rechargez la page ou revenez-y pour voir les chiffres mis à jour.
Page des métriques
Rendez-vous sur VDP > Métriques pour des analyses détaillées. Utilisez le filtre de plage de dates en haut pour cadrer les données : 7 derniers jours, 30 jours, 90 jours ou une plage personnalisée.
La page des métriques se divise en huit sections :
| Section | Ce qu’elle montre |
|---|---|
| MTTA (délai moyen d’accusé de réception) | Nombre moyen d’heures entre la soumission et la première réponse, sur l’ensemble des rapports de la période |
| MTTR (délai moyen de résolution) | Nombre moyen d’heures entre la soumission et la résolution, ventilé par niveau de sévérité |
| Tendance de conformité au SLA | Graphique linéaire du pourcentage de conformité dans le temps — repérez les tendances à la baisse avant qu’elles ne deviennent des constats d’audit |
| Rapports dans le temps | Histogramme des soumissions par semaine ou par mois — utile pour repérer les schémas saisonniers ou les pics de divulgation |
| Par sévérité | Répartition des rapports par niveau de sévérité (de Super critique à Informatif) |
| Par statut | Répartition des rapports actuellement ouverts entre les colonnes de statut (Soumis, Trié, Validé, En cours, etc.) |
| Par type de vulnérabilité | Répartition par catégorie OWASP — montre les classes de vulnérabilités auxquelles votre produit est le plus exposé |
| Meilleurs chercheurs | Classement par nombre de rapports valides — identifie vos contributeurs externes les plus précieux |
Toutes les sections respectent la plage de dates sélectionnée. MTTA et MTTR sont les deux chiffres sur lesquels votre auditeur SOC 2 vous interrogera en premier.
Karma des chercheurs
Kit suit la qualité des chercheurs dans le temps grâce à un système de karma. Rendez-vous sur VDP > Chercheurs pour l’annuaire complet des chercheurs avec leurs niveaux de karma.
| Niveau de karma | Signification | Effet |
|---|---|---|
| De confiance | Rapports valides et de haute qualité de façon constante | Rapports priorisés au triage |
| Neutre | Aucun signal marqué dans un sens ou l’autre | Flux de triage standard |
| Faible | Antécédents de rapports de faible qualité | Rapports pré-signalés pour revue |
| Non fiable | Schéma récurrent de spam ou de soumissions de mauvaise foi | Rapports signalés automatiquement ; rejet automatique en option |
Le karma s’ajuste automatiquement selon des événements liés aux soumissions du chercheur.
Événements positifs (augmentent le karma) :
- Rapport valide soumis et résolu
- Prime versée pour une vulnérabilité confirmée
- Correctif vérifié par le chercheur
Événements négatifs (diminuent le karma) :
- Rapport rejeté comme spam
- Rapport rejeté comme doublon
- Schéma récurrent de soumissions non reproductibles
- Recours rejeté après examen
Les niveaux de karma aident votre équipe à prioriser le triage. Un rapport émanant d’un chercheur De confiance peut être priorisé avec une plus grande assurance. Un rapport émanant d’un chercheur Non fiable entre tout de même dans la file, mais il est signalé afin que votre équipe puisse appliquer la vigilance qui s’impose.
Gestion du tableau d’honneur
Rendez-vous sur VDP > Tableau d’honneur pour gérer le classement public des chercheurs. Le tableau d’honneur met à l’honneur les chercheurs ayant soumis des rapports valides à votre programme.
Règles clés :
- Les chercheurs s’inscrivent volontairement depuis leur portail — le personnel ne peut pas forcer un chercheur à figurer au classement
- Le personnel peut Mettre en avant un chercheur, ce qui l’épingle en haut de la page publique
- Le personnel peut Retirer un chercheur du classement, ce qui prévaut sur son inscription volontaire
Le tableau d’honneur public est accessible à l’adresse /security/{program-slug}/hall-of-fame. Partagez cette URL dans votre politique de divulgation pour signaler que vous tenez aux contributions des chercheurs. La plupart des programmes publient le tableau d’honneur dès qu’ils comptent au moins cinq chercheurs inscrits.
Génération des exports
Rendez-vous sur VDP > Exports et cliquez sur Nouvel export pour générer un dossier de preuves prêt pour l’auditeur. Les exports nécessitent le module complémentaire VDP (49 $/mois).
Configurez l’export avec ces filtres :
| Filtre | Options |
|---|---|
| Plage de dates | Date de début et date de fin de la période de reporting |
| Statut | Filtrer par statut de rapport (par exemple, uniquement Résolu, ou tous les statuts) |
| Sévérité | Filtrer par niveau de sévérité (par exemple, Critique et Élevée uniquement) |
| Type de vulnérabilité | Filtrer par catégorie OWASP |
Choisissez votre format :
| Format | Idéal pour |
|---|---|
| CSV | Données exploitables par machine pour tableurs, analyses approfondies ou import dans des outils GRC |
| Rapport lisible par un humain et mis en forme pour les auditeurs — inclut en-têtes, synthèses et tableaux |
Chaque export comprend quatre sections :
| Section | Contenu |
|---|---|
| Synthèses des rapports | ID du rapport, titre, statut, sévérité, score CVSS, date de soumission, date de résolution |
| Performance SLA | Statut SLA par rapport (dans les délais ou dépassé), heures écoulées jusqu’à l’accusé de réception et la résolution |
| Journal des communications | Messages externes uniquement (communications destinées aux chercheurs, pas les notes internes) |
| Grand livre financier | Approbations de primes, enregistrements de versements et statuts de paiement pour la période |
Les exports sont asynchrones. Kit traite l’export en arrière-plan et vous envoie par e-mail un lien de téléchargement une fois qu’il est prêt. Les exports volumineux couvrant plusieurs trimestres de données peuvent prendre quelques minutes.
Flux de travail pour les preuves SOC 2
Le flux de travail recommandé pour les audits SOC 2 Type II :
- À la fin de chaque trimestre, rendez-vous sur VDP > Exports et créez un nouvel export couvrant le trimestre
- Sélectionnez Tous les statuts et Toutes les sévérités pour obtenir une vue d’ensemble complète
- Choisissez le format PDF comme fichier de preuve principal et CSV en complément
- Téléchargez les deux fichiers à réception de l’e-mail
- Joignez-les à vos dossiers de preuves CC4 (Activités de surveillance) et CC7 (Opérations système)
Votre auditeur cherchera trois choses dans cet export : que les rapports sont bien reçus et suivis, que les objectifs de SLA sont atteints de façon constante, et que le grand livre financier présente une piste claire, de l’approbation de la prime jusqu’au versement. L’export est conçu pour répondre à ces trois questions sans préparation supplémentaire.
Consultez Primes et paiements pour le détail du grand livre financier qui alimente les exports.
Checklist
- Passer en revue les indicateurs clés du tableau de bord en début de chaque semaine pour repérer tôt les baisses de conformité au SLA
- Consulter la page des métriques en début de chaque trimestre pour confirmer les tendances MTTA et MTTR
- Examiner les niveaux de karma des chercheurs afin d’identifier les chercheurs De confiance pour un triage accéléré
- Publier le tableau d’honneur dès que vous comptez 5 chercheurs inscrits ou plus
- Générer un export trimestriel pour votre dossier de preuves SOC 2 CC4/CC7 (module complémentaire VDP)
- Programmer un rappel d’agenda récurrent pour extraire les métriques avant chaque fenêtre d’audit SOC 2
- Recouper le flux de travail de Triage des rapports si la conformité au SLA tend à baisser
Pour aller plus loin
- Triage des rapports — le flux de triage complet, les indicateurs SLA et les opérations en masse
- Intégration de l’IA — demandez à l’assistant IA des synthèses de métriques et des analyses de SLA