Aperçu de la divulgation de vulnérabilités
Ce qu'est le module VDP de Kit, à qui il s'adresse et ce qu'il inclut.
Pourquoi c’est important
Les chercheurs en sécurité testent déjà vos systèmes. Des rapports non sollicités arrivent par e-mail, Slack, Twitter et tickets de support, sans structure, sans suivi des SLA et sans piste d’audit. Un Vulnerability Disclosure Program (VDP) organise ce flux au lieu de l’ignorer.
Trois obligations convergentes éliminent l’option « ne rien faire » :
| Obligation | Exigence | Échéance |
|---|---|---|
| SOC 2 Type II (CC4/CC7) | Preuve de surveillance des vulnérabilités et processus de réponse structuré | En continu — les auditeurs considèrent de plus en plus un VDP formel comme une preuve standard |
| EU Cyber Resilience Act (CRA) | Obligations de signalement des vulnérabilités pour les produits comportant des éléments numériques | 11 septembre 2026 |
| Assureurs cyber | Gestion vérifiable des vulnérabilités comme condition de couverture | Variable selon l’assureur — se renforce chaque trimestre |
Le module VDP de Kit est une infrastructure de conformité, pas une plateforme de bug bounty. Le budget provient de votre allocation conformité/GRC (5 000-10 000 $/an), pas de votre budget AppSec. L’acheteur est un CTO qui prépare un audit SOC 2, pas un CISO qui construit un programme de sécurité participatif.
À titre de comparaison : HackerOne commence à 22 000 $/an avec des semaines d’appels de cadrage. Kit déploie un VDP entièrement conforme en moins de 5 minutes — gratuit pour commencer, et le VDP Add-on à 49 $/mois débloque le pipeline complet de triage et de primes.
À qui s’adresse-t-il
| Persona | Objectif | Problème principal |
|---|---|---|
| Fondateur / CTO | Réussir l’audit SOC 2, débloquer les contrats entreprise, se conformer au CRA | Les plateformes entreprise coûtent 22 000 $+/an ; la boîte security@ est un chaos ; les paiements manuels par PayPal créent une responsabilité fiscale |
| Membre de l’équipe sécurité | Évaluer, aiguiller et clôturer efficacement les rapports de vulnérabilités | Changement constant de contexte entre e-mail, Slack et Jira ; pas de scoring de sévérité standardisé ; les violations de SLA restent invisibles |
| Chercheur en sécurité | Être reconnu rapidement, communiquer clairement, recevoir un paiement équitable | Mise en silence par les responsables de programme ; cycles de paiement de 30-90 jours ; processus de triage opaque |
Les trois personas interagissent avec le même programme. Chaque section de cette documentation est étiquetée pour le public concerné.
Comment ça fonctionne
- Activer — Accédez à VDP > Paramètres du programme et définissez le statut de votre programme sur Actif. Votre fichier
security.txtest publié automatiquement. - Publier — Définissez le statut de votre programme sur Actif. Votre formulaire de soumission est mis en ligne et les chercheurs vous découvrent via
security.txtet votre page de politique de divulgation. - Recevoir des rapports — Le formulaire d’admission structuré filtre le spam grâce à la limitation de débit et au CAPTCHA. Les rapports valides arrivent sur votre tableau de triage.
- Résoudre — Triez le rapport, évaluez la sévérité avec CVSS v3.1, communiquez avec le chercheur, corrigez le problème et bouclez la boucle.
Statuts du programme
| Statut | Accepte les rapports | Visible par les chercheurs | Quand l’utiliser |
|---|---|---|---|
| Brouillon | Non | Non | Configuration du périmètre et de la politique en cours |
| Actif | Oui | Oui | Votre VDP est en fonctionnement actif |
| En pause | Non | Non | Suspension temporaire de l’admission (par ex., lors d’un incident) |
Ce qui est inclus
Gratuit pour commencer. Ajoutez le VDP Add-on (49 $/mois) lorsque vous avez besoin de triage structuré, de paiement de primes ou d’exports SOC 2.
| Fonctionnalité | Gratuit | VDP Add-on (49 $/mois) |
|---|---|---|
| security.txt (RFC 9116) | ✓ | ✓ |
| Page de politique de divulgation | ✓ | ✓ |
| Formulaire d’admission structuré + CAPTCHA | ✓ | ✓ |
| Rapports/mois | 25 | Illimité |
| Notifications par e-mail de base | ✓ | ✓ |
| Tableau Kanban de triage | — | ✓ |
| Calculateur CVSS v3.1 | — | ✓ |
| Suivi des SLA et indicateurs | — | ✓ |
| Assignation d’équipe | — | ✓ |
| Dédoublonnage | — | ✓ |
| Rotation d’astreinte | — | ✓ |
| Intégration Slack | — | ✓ |
| Modèles d’e-mails personnalisés | — | ✓ |
| Portail chercheur | — | ✓ |
| Tableau de bord des métriques | — | ✓ |
| Hall of Fame | — | ✓ |
| Approbation des primes | — | ✓ |
| Collecte des informations de paiement des chercheurs | — | ✓ |
| Gestion des documents fiscaux (W-9/W-8BEN) | — | ✓ |
| Grand livre financier immuable | — | ✓ |
| Export de preuves SOC 2 (CSV/PDF) | — | ✓ |
| Accès API | — | ✓ |
Tarification annuelle : 490 $/an (économisez 98 $).
Liste de contrôle rapide
- Activez votre programme dans VDP > Paramètres du programme (définissez le statut sur Actif)
- Vérifiez le périmètre par défaut et ajustez les cibles incluses/exclues
- Publiez votre programme (statut → Actif)
- Vérifiez que
security.txtest servi à/.well-known/security.txt - Partagez votre URL de soumission (
/security/{program-slug}/reports/new) avec votre équipe pour qu’elle sache où vont les rapports
Étapes suivantes
- Configuration de votre programme — périmètre, matrice de primes, SLA et les sept onglets de paramètres
- Configuration de security.txt — conformité RFC 9116, domaines personnalisés et gestion de l’expiration
- Accédez au VDP pour activer votre programme et consulter les options de tarification