## Pourquoi c'est important

Un rapport valide doit souvent parvenir à une personne extérieure à votre équipe de sécurité : l'ingénieur responsable du service concerné, un responsable d'astreinte, un prestataire externe. Transférer le rapport brut expose l'identité du chercheur, vos montants de primes et vos notes de triage internes, et un fil d'e-mails ne peut pas être révoqué. Le partage avec des pairs donne à cette personne exactement ce qu'il lui faut pour confirmer et corriger la faille — et rien d'autre — derrière un lien qui expire et que vous pouvez révoquer à tout moment.

> Le partage avec des pairs est disponible sur les plans VDP payants.

## Partager un rapport

Ouvrez un [rapport](/csirt/reports), puis cliquez sur **Share with a peer** (Partager avec un pair) dans le panneau **Shared links** (Liens partagés). Saisissez l'e-mail du destinataire, indiquez si vous l'autorisez à répondre par des commentaires, puis envoyez. Kit lui adresse une invitation aux couleurs de votre programme, en votre nom — l'e-mail lui-même ne contient aucun détail sur la vulnérabilité.

Le lien est **rattaché à cette adresse e-mail**. Lorsque le pair l'ouvre, il doit confirmer l'adresse avant que le rapport ne s'affiche : un lien transféré ne sert donc à personne d'autre, car la confirmation ne parvient qu'au destinataire d'origine.

## Ce que voit le pair

La vue partagée est une version expurgée et en lecture seule du rapport :

- **Affiché** — type de vulnérabilité, endpoint concerné, sévérité, description, étapes de reproduction et pièces jointes (servies sous forme de téléchargements éphémères, hors origine).
- **Masqué** — l'identité et l'e-mail du chercheur, les montants des primes, vos notes internes, l'auteur de l'évaluation et la chronologie de votre équipe.

Si vous avez activé les commentaires, le pair peut répondre. Ses réponses arrivent dans le rapport sous forme de notes **internes, réservées à l'équipe** (clairement signalées comme provenant d'un pair externe) et ne sont jamais montrées au chercheur.

## Expiration et révocation

- Les liens expirent **7 jours** après leur création.
- Un lien **cesse de fonctionner automatiquement** dès que le rapport est rejeté ou clôturé.
- Vous pouvez **révoquer** un lien à tout moment depuis le panneau Shared links (Liens partagés) — le pair perd immédiatement l'accès.

## Lorsqu'un lien a expiré

Un pair qui ouvre un lien **expiré** ne se retrouve plus dans une impasse. Après avoir confirmé l'e-mail auquel le lien a été envoyé, il peut :

- **Demander un nouveau lien** — Kit envoie un nouveau lien valable 7 jours à cette même adresse (jamais ailleurs), même si le rapport a évolué entre-temps. Un lien **révoqué** ne peut pas être renouvelé par le pair : la révocation est votre décision de mettre fin à l'accès, le pair ne voit donc qu'un message l'invitant à vous contacter.
- **Demander à rejoindre l'équipe** — le même processus de demande d'adhésion décrit ci-dessous.

## Voir qui a ouvert un rapport

L'accès externe est présenté comme un signal de sécurité, et non comme un discret accusé de lecture :

- Le panneau **Shared links** (Liens partagés) affiche chaque destinataire, son statut, le nombre de consultations, l'heure de la dernière consultation et le pays depuis lequel il a ouvert le rapport.
- L'en-tête du rapport affiche une pastille **« Shared · N external viewers »** (Partagé · N lecteurs externes).
- La chronologie du rapport enregistre un événement **External viewer opened this report** (Un lecteur externe a ouvert ce rapport).
- La personne qui a partagé le lien ainsi que le responsable assigné au rapport sont notifiés la première fois que chaque nouvelle adresse l'ouvre — une nouvelle adresse sur un même lien peut révéler un transfert.

## Demander à rejoindre l'équipe

Un pair qui a besoin d'un accès durable peut demander à **rejoindre votre équipe de sécurité** depuis le rapport partagé. La demande parvient à vos administrateurs de compte, aux côtés des autres demandes d'accès ; l'approuver envoie une invitation d'équipe classique et, une fois celle-ci acceptée, le pair devient un membre à part entière avec son propre compte — fini les liens ponctuels.

Lorsque vous ouvrez la demande, Kit vous indique **qui la formule** (nom, e-mail, pays depuis lequel elle a été envoyée) et **de quel rapport** provient le partage — afin que vous puissiez vérifier que vous avez bien partagé avec cette personne avant de l'inviter. **Approuver** envoie l'invitation d'équipe ; **Rejeter** abandonne la demande sans bruit (le demandeur n'est jamais notifié).