Triage des rapports
Comment utiliser le tableau Kanban de triage, lire les indicateurs SLA, évaluer la sévérité et résoudre ou rejeter les rapports.
Pourquoi c’est important
Le triage non structuré est l’endroit où la plupart des programmes de divulgation de vulnérabilités échouent. Les rapports valides se perdent dans le bruit, les délais SLA sont dépassés sans que personne ne s’en aperçoive, et les chercheurs abandonnent votre programme. Le tableau Kanban de triage offre à votre équipe une vue partagée et en temps réel de chaque rapport ouvert avec une visibilité SLA intégrée — pour que rien ne passe entre les mailles du filet.
Le tableau de triage
Accédez à VDP > Tableau de triage pour voir tous les rapports organisés par statut. Chaque colonne représente une étape du cycle de vie du rapport, et chaque carte représente un rapport individuel.
Le tableau prend en charge deux vues :
- Vue tableau — Colonnes Kanban avec des cartes glisser-déposer (par défaut)
- Vue liste — Tableau triable avec les mêmes filtres
Chaque carte de rapport affiche :
| Élément | Description |
|---|---|
| ID du rapport | Identifiant préfixé (par ex. RPT-abc123) |
| Titre | Titre de la vulnérabilité, tronqué à 40 caractères |
| Badge de sévérité | Niveau de sévérité avec code couleur issu de l’évaluation |
| Compte à rebours SLA | Temps restant avec indicateur vert/jaune/rouge |
| Assigné | Avatar du membre de l’équipe, ou « Non assigné » |
| Indicateurs | Avertissement de doublon ou badge de filtrage IA, le cas échéant |
Utilisez la barre de filtres au-dessus des colonnes pour affiner votre vue :
- Sévérité — Sélection multiple (d’Informationnelle à Super Critique)
- Assigné — Menu déroulant (membres de l’équipe + « Non assigné »)
- SLA — Dans les temps / À risque / En dépassement
- Recherche — Filtrer par titre, ID du rapport ou e-mail du chercheur
Les trois dernières colonnes (Correctif vérifié, Payé, Rejeté) sont repliées par défaut et n’affichent que leur compteur. Cliquez pour les déplier.
Cycle de vie du rapport
Chaque rapport suit une machine à états définie. Glissez une carte entre les colonnes du tableau, ou utilisez le menu déroulant Triage sur la page de détail du rapport pour avancer son statut.
┌─────────────┐
┌───>│ Rejeté │
│ └─────────────┘
│ (depuis tout statut actif)
│
┌───────────┐ ┌─────────┐│ ┌───────────────────┐ ┌───────────┐
│ Soumis ├─>│ Trié ├┴─>│ Validé ├─>│En cours │
└───────────┘ └────┬────┘ └─────────┬──────────┘ └─────┬─────┘
│ │ │
v v v
┌───────────────────┐ ┌──────────┐
│Clarification req. │ │ Résolu │
└───────────────────┘ └────┬─────┘
│
v
┌──────────────┐
│Correctif │
│vérifié │
└──────┬───────┘
│
v
┌──────┐
│ Payé │
└──────┘
| Statut | Signification |
|---|---|
| Soumis | État initial après qu’un chercheur a soumis le formulaire d’admission |
| Trié | L’équipe a examiné le rapport et commencé l’évaluation |
| Clarification requise | L’équipe a posé une question ; en attente de la réponse du chercheur |
| Validé | Confirmé comme une vulnérabilité réelle et dans le périmètre ; le travail de correction commence |
| En cours | Le correctif d’ingénierie est en cours |
| Résolu | Correctif déployé ; le chercheur est notifié |
| Correctif vérifié | Le chercheur a confirmé que le correctif fonctionne (étape de re-test optionnelle) |
| Payé | Prime versée et cycle de vie terminé |
| Rejeté | Fermé sans correctif — peut intervenir depuis tout statut actif |
Deux transitions spéciales à noter :
- Rejeté peut être atteint depuis tout statut actif. Le chercheur est toujours notifié avec un motif.
- Rejeté > Soumis rouvre un rapport si le rejet a été fait par erreur.
Chaque transition de statut est enregistrée dans la piste d’audit du rapport avec l’acteur, l’horodatage et un commentaire optionnel. Pour plus de détails sur l’envoi de messages aux chercheurs à chaque étape, consultez Communication avec les chercheurs.
Indicateurs SLA
Chaque carte de rapport affiche un badge SLA pour que votre équipe puisse repérer les travaux en retard d’un coup d’oeil. Le chronomètre du SLA d’accusé de réception démarre au moment de la soumission du rapport. Le SLA de résolution démarre lorsqu’un rapport atteint le statut « Validé ».
| Badge | Couleur | Signification |
|---|---|---|
| Dans les temps | Vert | Bien dans la fenêtre SLA |
| À risque | Jaune | La date limite SLA approche — agissez rapidement |
| En dépassement | Rouge | La date limite SLA est dépassée |
Utilisez le filtre SLA sur le tableau de triage et sélectionnez En dépassement pour faire immédiatement remonter les rapports nécessitant une attention. Les objectifs SLA sont configurés par niveau de sévérité dans VDP > Paramètres du programme > SLA.
Filtrage IA
Chaque rapport soumis est automatiquement filtré pour détecter le contenu de faible effort ou généré par IA avant d’atteindre le tableau de triage. Le filtrage s’exécute en arrière-plan et joint ses résultats au rapport en quelques secondes.
Le filtre vérifie les signaux indiquant des rapports produits en masse ou fabriqués :
| Signal | Ce qu’il détecte |
|---|---|
| Fonctions hallucinées | Références à des noms de fonctions, méthodes API ou chemins de fichiers plausibles mais probablement inventés |
| CVE fabriqués | Numéros de CVE qui n’existent pas dans les bases de données publiques |
| CVE antérieur cité comme nouveau | Une vulnérabilité connue et divulguée publiquement présentée comme une nouvelle découverte |
| Pas de PoC spécifique | Pas de preuve de concept, pas d’étapes spécifiques à la cible, pas de résultat attendu vs. obtenu |
| Étapes de reproduction vagues | Étapes génériques comme « accédez à la page de connexion et entrez un payload » qui pourraient décrire n’importe quelle application |
| Langage modèle | Phrases toutes faites comme « En tant que chercheur en sécurité, j’ai découvert… » sans contexte spécifique à la cible |
| Structure modèle | Sections numérotées rigides et en-têtes en gras suggérant un copier-coller depuis un générateur de rapports |
| Remédiation générique | Conseils génériques comme « assainissez toutes les entrées » sans orientation spécifique à la cible |
| Détails techniques incohérents | Technologies, frameworks ou versions qui ne correspondent pas au endpoint cible |
| Références à des éléments de code inexistants | Hash de commits fabriqués, noms de fonctions ou chemins de fichiers invérifiables |
Le filtrage produit un score de confiance (0–100) et une recommandation :
| Recommandation | Plage de score | Effet |
|---|---|---|
| Passe | 0–30 | Le rapport apparaît normalement sur le tableau |
| Examen | 31–60 | Le rapport apparaît avec un badge d’examen discret |
| Signalé | 61–100 | Le rapport est marqué d’un badge de filtrage IA sur la carte Kanban |
Le filtrage IA ne rejette jamais automatiquement un rapport. Les rapports signalés restent entièrement visibles et triables — le badge alerte simplement votre équipe que le contenu peut nécessiter un examen plus approfondi. Votre équipe prend toujours la décision finale.
Évaluation de la sévérité
Ouvrez un rapport et cliquez sur Évaluer pour le noter avec CVSS v3.1. Le calculateur intégré vous guide à travers huit métriques :
| Métrique | Options |
|---|---|
| Vecteur d’attaque | Réseau, Adjacent, Local, Physique |
| Complexité de l’attaque | Faible, Élevée |
| Privilèges requis | Aucun, Faible, Élevé |
| Interaction utilisateur | Aucune, Requise |
| Portée | Inchangée, Modifiée |
| Impact sur la confidentialité | Aucun, Faible, Élevé |
| Impact sur l’intégrité | Aucun, Faible, Élevé |
| Impact sur la disponibilité | Aucun, Faible, Élevé |
Le système calcule automatiquement le score de base et le fait correspondre à un niveau de sévérité :
| Niveau | Plage CVSS |
|---|---|
| Super Critique | 9,5–10,0 |
| Critique | 9,0–9,4 |
| Élevée | 7,0–8,9 |
| Moyenne | 4,0–6,9 |
| Faible | 0,1–3,9 |
| Informationnelle | 0,0 |
Une fois évaluée, le niveau de sévérité débloque une fourchette de prime suggérée issue de votre matrice de primes. La chaîne vectorielle CVSS est stockée sur le rapport et affichée dans la piste d’audit. Si la sévérité est Critique ou Super Critique, une notification d’escalade est envoyée à vos contacts d’escalade configurés.
Rejet des rapports
Ouvrez un rapport et cliquez sur Rejeter pour le clôturer sans correctif. Vous devez sélectionner un motif :
| Motif | Quand l’utiliser |
|---|---|
| Hors périmètre | La cible n’est pas couverte par la configuration de votre périmètre |
| Doublon | La même vulnérabilité a déjà été signalée — lien vers l’original |
| Non reproductible | Votre équipe n’a pas pu reproduire le problème avec les étapes fournies |
| Informationnel | Pas de vulnérabilité exploitable ; le rapporteur partage une observation générale |
| Spam | Soumission automatisée ou manifestement de faible effort |
| Contenu IA | Contenu généré par IA avec des détails fabriqués ou hallucinés |
Ajoutez une note optionnelle pour expliquer la décision. Le chercheur reçoit un e-mail utilisant votre modèle de rejet configuré avec le motif et la note inclus. Le motif de rejet est enregistré de manière permanente dans la piste d’audit et ne peut pas être modifié après enregistrement.
Si un rejet a été fait par erreur, vous pouvez rouvrir le rapport depuis la colonne Rejeté, ce qui le ramène au statut Soumis.
Assignation des rapports
Cliquez sur l’avatar de l’assigné (ou « Assigner ») sur n’importe quelle carte de rapport ou vue détaillée pour assigner un membre de l’équipe. L’assigné reçoit une notification in-app et un e-mail.
Lorsque l’assignation automatique est activée, les rapports entrants sont automatiquement assignés à la personne d’astreinte. Si personne n’est d’astreinte, l’assigné par défaut est utilisé en secours. Consultez Rotation d’astreinte pour plus de détails sur la configuration des tours et des plannings.
Pour l’assignation en masse, sélectionnez plusieurs cartes de rapport en utilisant leurs cases à cocher et choisissez Assigner dans la barre d’actions groupées qui apparaît en bas du tableau.
Les rapports Critiques et Super Critiques envoient automatiquement un e-mail d’escalade à vos contacts d’escalade configurés, indépendamment de l’assignation. Configurez les contacts d’escalade dans VDP > Paramètres du programme > Triage.
Opérations groupées
Sélectionnez plusieurs cartes de rapport en utilisant leurs cases à cocher pour entrer en mode de sélection groupée. Une barre d’actions flottante apparaît en bas du tableau avec trois options :
| Action | Description |
|---|---|
| Assigner | Assigner tous les rapports sélectionnés à un membre de l’équipe |
| Rejeter | Rejeter tous les rapports sélectionnés avec un motif commun |
| Changer la sévérité | Mettre à jour le niveau de sévérité de tous les rapports sélectionnés |
Le rejet groupé nécessite de choisir un motif unique qui s’applique à tous les rapports sélectionnés. Chaque opération groupée est enregistrée individuellement dans la piste d’audit de chaque rapport concerné.
Liste de contrôle rapide
- Consultez le tableau de triage quotidiennement pour les nouvelles soumissions
- Vérifiez le filtre SLA « En dépassement » pour les rapports en retard
- Évaluez la sévérité (CVSS) sur chaque rapport validé
- Assignez les rapports aux membres de l’équipe ayant l’expertise du domaine
- Rejetez rapidement les rapports manifestement invalides pour garder la file propre
- Utilisez « Clarification requise » lorsque les étapes de reproduction sont insuffisantes
- Examinez les rapports signalés par l’IA avec une attention particulière avant de les rejeter ou de les valider
Étapes suivantes
- Communication avec les chercheurs — fils de messages, modèles d’e-mails et notifications Slack
- Primes et paiements — attribution des primes, documents fiscaux et grand livre financier