Triage des rapports
Comment utiliser le tableau Kanban de triage, lire les indicateurs SLA, évaluer la sévérité et résoudre ou rejeter les rapports.
Pourquoi c’est important
Le triage non structuré est l’endroit où la plupart des programmes de divulgation de vulnérabilités échouent. Les rapports valides se perdent dans le bruit, les délais SLA sont dépassés sans que personne ne s’en aperçoive, et les chercheurs finissent par abandonner votre programme. Le tableau Kanban de triage offre à votre équipe une vue partagée et en temps réel de chaque rapport ouvert, avec une visibilité SLA intégrée — pour que rien ne passe entre les mailles du filet.
Le tableau de triage
Accédez à VDP > Tableau de triage pour voir tous les rapports organisés par statut. Chaque colonne représente une étape du cycle de vie du rapport, et chaque carte représente un rapport individuel.
Le tableau prend en charge deux vues :
- Vue tableau — colonnes Kanban avec des cartes en glisser-déposer (par défaut)
- Vue liste — tableau triable avec les mêmes filtres
Chaque carte de rapport affiche :
| Élément | Description |
|---|---|
| ID du rapport | Identifiant préfixé (par ex. RPT-abc123) |
| Titre | Titre de la vulnérabilité, tronqué à 40 caractères |
| Badge de sévérité | Niveau de sévérité avec code couleur issu de l’évaluation |
| Compte à rebours SLA | Temps restant avec indicateur vert/jaune/rouge |
| Assigné | Avatar du membre de l’équipe, ou « Non assigné » |
| Indicateurs | Avertissement de doublon ou badge de filtrage IA, le cas échéant |
Utilisez la barre de filtres au-dessus des colonnes pour affiner votre vue :
- Sévérité — sélection multiple (d’Informatif à Super critique)
- Assigné — menu déroulant (membres de l’équipe + « Non assigné »)
- SLA — Dans les temps / À risque / En dépassement
- Recherche — filtrer par titre, ID du rapport ou e-mail du chercheur
Les trois dernières colonnes (Correctif vérifié, Payé, Rejeté) sont repliées par défaut et n’affichent que leur compteur. Cliquez pour les déplier.
Cycle de vie du rapport
Chaque rapport suit une machine à états définie. Glissez une carte entre les colonnes du tableau, ou utilisez les commandes de statut dans le bandeau de la page du rapport — un bouton principal pour l’étape suivante évidente, plus un menu regroupant les autres transitions valides. Vous pouvez joindre une note à tout changement de statut (elle apparaît dans la chronologie), et faire reculer un rapport en exige une. Le rejet demande toujours un motif : glisser une carte dans la colonne Rejeté ouvre la fenêtre de rejet plutôt que de clôturer le rapport silencieusement (voir Rejet des rapports).
┌─────────────┐
┌───>│ Rejeté │
│ └─────────────┘
│ (depuis Soumis, Trié, Clarification
│ requise, Validé ou En cours)
│
┌───────────┐ ┌─────────┐│ ┌───────────────────┐ ┌───────────┐
│ Soumis ├─>│ Trié ├┴─>│ Validé ├─>│En cours │
└───────────┘ └────┬────┘ └─────────┬──────────┘ └─────┬─────┘
│ │ │
v v v
┌───────────────────┐ ┌──────────┐
│Clarification req. │ │ Résolu │
└───────────────────┘ └────┬─────┘
│
v
┌──────────────┐
│Correctif │
│vérifié │
└──────┬───────┘
│
v
┌──────┐
│ Payé │
└──────┘
| Statut | Signification |
|---|---|
| Soumis | État initial après qu’un chercheur a soumis le formulaire d’admission |
| Trié | L’équipe a examiné le rapport et commencé l’évaluation |
| Clarification requise | L’équipe a posé une question ; en attente de la réponse du chercheur |
| Validé | Confirmé comme une vulnérabilité réelle et dans le périmètre ; le travail de correction commence |
| En cours | Le correctif d’ingénierie est en cours de développement |
| Résolu | Correctif déployé ; le chercheur est notifié |
| Correctif vérifié | Le chercheur a confirmé que le correctif fonctionne (étape de re-test optionnelle) |
| Payé | Prime versée et cycle de vie terminé |
| Rejeté | Fermé sans correctif — peut intervenir depuis Soumis, Trié, Clarification requise, Validé ou En cours |
Deux transitions particulières à noter :
- Rejeté peut être atteint depuis Soumis, Trié, Clarification requise, Validé ou En cours (mais pas depuis Résolu ni Correctif vérifié). Le chercheur est toujours notifié avec un motif. Si le rapport a une prime approuvée, le rejet révoque également la prime — voir Rejet des rapports ci-dessous.
- Rejeté > Soumis rouvre un rapport si le rejet a été effectué par erreur. La réouverture ne rétablit pas une prime révoquée — approuvez-en une nouvelle manuellement une fois le rapport à nouveau validé.
Chaque transition de statut est consignée dans la piste d’audit du rapport, avec l’auteur, l’horodatage et un commentaire optionnel. Pour en savoir plus sur l’envoi de messages aux chercheurs à chaque étape, consultez Communication avec les chercheurs.
Indicateurs SLA
Chaque carte de rapport affiche un badge SLA pour que votre équipe puisse repérer les travaux en retard d’un coup d’œil. Le chronomètre du SLA d’accusé de réception démarre au moment de la soumission du rapport.
| Badge | Couleur | Signification |
|---|---|---|
| Dans les temps | Vert | Bien dans la fenêtre SLA |
| À risque | Jaune | La date limite SLA approche — agissez rapidement |
| En dépassement | Rouge | La date limite SLA est dépassée |
Utilisez le filtre SLA sur le tableau de triage et sélectionnez En dépassement pour faire immédiatement remonter les rapports nécessitant une attention. Les objectifs SLA sont configurés par niveau de sévérité dans VDP > Paramètres du programme > SLA.
Filtrage IA
Chaque rapport soumis est automatiquement filtré pour détecter le contenu bâclé ou généré par IA avant qu’il n’atteigne le tableau de triage. Le filtrage s’exécute en arrière-plan et joint ses résultats au rapport en quelques secondes.
Le filtre vérifie les signaux indiquant des rapports produits en masse ou fabriqués :
| Signal | Ce qu’il détecte |
|---|---|
| Fonctions hallucinées | Références à des noms de fonctions, méthodes d’API ou chemins de fichiers plausibles mais probablement inventés |
| CVE fabriqués | Numéros de CVE qui n’existent pas dans les bases de données publiques |
| CVE antérieur cité comme nouveau | Une vulnérabilité connue et divulguée publiquement présentée comme une nouvelle découverte |
| Pas de PoC spécifique | Pas de preuve de concept, pas d’étapes spécifiques à la cible, pas de résultat attendu vs. obtenu |
| Étapes de reproduction vagues | Étapes génériques comme « accédez à la page de connexion et entrez un payload » qui pourraient décrire n’importe quelle application |
| Langage de modèle | Phrases toutes faites comme « En tant que chercheur en sécurité, j’ai découvert… » sans contexte spécifique à la cible |
| Structure de modèle | Sections numérotées rigides et en-têtes en gras suggérant un copier-coller depuis un générateur de rapports |
| Remédiation générique | Conseils passe-partout comme « assainissez toutes les entrées » sans orientation spécifique à la cible |
| Détails techniques incohérents | Technologies, frameworks ou versions qui ne correspondent pas à l’endpoint cible |
| Références à des éléments de code inexistants | Hash de commits fabriqués, noms de fonctions ou chemins de fichiers invérifiables |
Le filtrage produit un score de confiance (0–100) et une recommandation :
| Recommandation | Plage de score | Effet |
|---|---|---|
| Passe | 0–30 | Le rapport apparaît normalement sur le tableau |
| Examen | 31–60 | Le rapport apparaît avec un badge d’examen discret |
| Signalé | 61–100 | Le rapport est marqué d’un badge de filtrage IA sur la carte Kanban |
Le filtrage IA ne rejette jamais automatiquement un rapport. Les rapports signalés restent entièrement visibles et triables — le badge alerte simplement votre équipe que le contenu peut justifier un examen plus approfondi. Votre équipe prend toujours la décision finale.
Évaluation de la sévérité
Ouvrez un rapport et cliquez sur Évaluer pour le noter avec CVSS v3.1. Le calculateur intégré vous guide à travers huit métriques :
| Métrique | Options |
|---|---|
| Vecteur d’attaque | Réseau, Adjacent, Local, Physique |
| Complexité de l’attaque | Faible, Élevée |
| Privilèges requis | Aucun, Faible, Élevé |
| Interaction utilisateur | Aucune, Requise |
| Portée | Inchangée, Modifiée |
| Impact sur la confidentialité | Aucun, Faible, Élevé |
| Impact sur l’intégrité | Aucun, Faible, Élevé |
| Impact sur la disponibilité | Aucun, Faible, Élevé |
Le système calcule automatiquement le score de base et le fait correspondre à un niveau de sévérité :
| Niveau | Plage CVSS |
|---|---|
| Super critique | 10,0 |
| Critique | 9,0–9,9 |
| Élevée | 7,0–8,9 |
| Moyenne | 4,0–6,9 |
| Faible | 0,1–3,9 |
| Informatif | 0,0 |
Une fois l’évaluation faite, le niveau de sévérité débloque une fourchette de prime suggérée issue de votre grille des primes. La chaîne vectorielle CVSS est stockée sur le rapport et affichée dans la piste d’audit. Si la sévérité est Critique ou Super critique, une notification d’escalade est envoyée à vos contacts d’escalade configurés.
Rejet des rapports
Ouvrez un rapport et cliquez sur Rejeter pour le clôturer sans correctif. Vous devez sélectionner un motif :
| Motif | Quand l’utiliser |
|---|---|
| Hors périmètre | La cible n’est pas couverte par la configuration de votre périmètre |
| Doublon | La même vulnérabilité a déjà été signalée — créez un lien vers l’original |
| Non reproductible | Votre équipe n’a pas pu reproduire le problème avec les étapes fournies |
| Informatif | Pas de vulnérabilité exploitable ; le rapporteur partage une observation générale |
| Spam | Soumission automatisée ou manifestement bâclée |
| Contenu IA bâclé | Contenu généré par IA avec des détails fabriqués ou hallucinés |
Ajoutez une note optionnelle pour expliquer la décision. Le chercheur reçoit un e-mail utilisant votre modèle de rejet configuré, avec le motif et la note inclus. Le motif de rejet est consigné de manière permanente dans la piste d’audit et ne peut pas être modifié après enregistrement.
Rejeter un rapport avec une prime approuvée
Si le rapport a une prime approuvée, le rejet révoque également la prime. La fenêtre de rejet affiche un avertissement ambré avec le montant, l’approbateur et la date d’approbation, et le bouton de validation devient Rejeter et révoquer la prime de X $. La révocation est enregistrée comme une entrée bounty_revoked dans le grand livre immuable, et l’e-mail de rejet informe le chercheur que la prime a été retirée et ne sera pas payée — la procédure d’appel habituelle reste son recours. Consultez Primes et paiements pour plus de détails.
Deux garde-fous s’appliquent :
- Une prime dont le versement est Terminé (payé) ne peut jamais être révoquée.
- Un paiement en cours (versement En attente ou En traitement) bloque le rejet — marquez d’abord le versement comme échoué, ou laissez-le se terminer.
Glisser une carte dans la colonne Rejeté du tableau ouvre cette même fenêtre de rejet — sélecteur de motif et, lorsqu’une prime est approuvée, l’avertissement de révocation — de sorte qu’un glissement sur le tableau ne rejette jamais un rapport (ni ne révoque une prime) sans ce contexte. C’est exactement la procédure du bouton Rejeter sur la page du rapport.
Si un rejet a été effectué par erreur, vous pouvez rouvrir le rapport depuis la colonne Rejeté, ce qui le ramène au statut Soumis. La réouverture ne rétablit pas une prime révoquée — approuvez-en une nouvelle manuellement une fois le rapport à nouveau validé.
Résolution des appels
Lorsqu’un chercheur fait appel d’une décision (voir Le portail chercheur), un panneau Appel du chercheur apparaît sur la page du rapport avec la justification du chercheur, et le répondant d’astreinte est alerté par une notification qui renvoie directement à ce panneau.
Depuis le panneau, un administrateur résout l’appel :
- Accepter — vous êtes d’accord avec le chercheur. Si le rapport avait été rejeté, l’acceptation le rouvre et le ramène au statut Soumis (triage) via la même procédure de réouverture auditée décrite ci-dessus. Le chercheur reçoit un e-mail l’informant que l’appel a été accepté.
- Rejeter — vous maintenez la décision initiale. Le chercheur reçoit un e-mail l’informant que la décision est maintenue.
La décision, le relecteur et l’horodatage sont enregistrés sur le rapport et ajoutés à sa chronologie. Comme pour la réouverture, l’acceptation d’un appel ne rétablit pas une prime révoquée — approuvez-en une nouvelle une fois le rapport à nouveau validé.
Assignation des rapports
Cliquez sur l’avatar de l’assigné (ou « Assigner ») sur n’importe quelle carte de rapport ou vue détaillée pour assigner un membre de l’équipe. L’assigné reçoit une notification dans l’application et un e-mail.
Lorsque l’assignation automatique est activée, les rapports entrants sont automatiquement assignés à la personne d’astreinte. Si personne n’est d’astreinte, l’assigné par défaut est utilisé en secours. Consultez Rotation d’astreinte pour en savoir plus sur la configuration des tours et des plannings.
Pour l’assignation en masse, sélectionnez plusieurs cartes de rapport à l’aide de leurs cases à cocher et choisissez Assigner dans la barre d’actions groupées qui apparaît en bas du tableau.
Les rapports Critiques et Super critiques envoient automatiquement un e-mail d’escalade à vos contacts d’escalade configurés, indépendamment de l’assignation. Configurez les contacts d’escalade dans VDP > Paramètres du programme > Triage.
Opérations groupées
Sélectionnez plusieurs cartes de rapport à l’aide de leurs cases à cocher pour entrer en mode de sélection groupée. Une barre d’actions flottante apparaît en bas du tableau avec trois options :
| Action | Description |
|---|---|
| Assigner | Assigner tous les rapports sélectionnés à un membre de l’équipe |
| Rejeter | Rejeter tous les rapports sélectionnés avec un motif commun |
| Changer la sévérité | Mettre à jour le niveau de sévérité de tous les rapports sélectionnés |
Le rejet groupé nécessite de choisir un motif unique qui s’applique à tous les rapports sélectionnés. Les rapports avec une prime approuvée sont ignorés — la notification de confirmation indique combien ont été ignorés — car la révocation d’une prime nécessite la fenêtre de rejet sur la page individuelle du rapport. Chaque opération groupée est consignée individuellement dans la piste d’audit de chaque rapport concerné.
En bref
- Consultez le tableau de triage quotidiennement pour repérer les nouvelles soumissions
- Vérifiez le filtre SLA « En dépassement » pour les rapports en retard
- Évaluez la sévérité (CVSS) sur chaque rapport validé
- Assignez les rapports aux membres de l’équipe ayant l’expertise du domaine
- Rejetez rapidement les rapports manifestement invalides pour garder la file propre
- Utilisez « Clarification requise » lorsque les étapes de reproduction sont insuffisantes
- Examinez les rapports signalés par l’IA avec une attention particulière avant de les rejeter ou de les valider
Pour aller plus loin
- Communication avec les chercheurs — fils de messages, modèles d’e-mails, notifications Slack et interroger @KitBot sur les rapports
- Primes et paiements — attribution des primes, documents fiscaux et grand livre financier