Module sécurité gratuit

Votre premier programme de divulgation de vulnérabilités. En ligne en 5 minutes.

Les chercheurs sondent déjà votre infrastructure - ils n'ont simplement nulle part où signaler ce qu'ils trouvent. Kit vous offre un VDP structuré avec security.txt auto-publié, un portail d'admission à votre image et des preuves prêtes pour les auditeurs. Déploiement gratuit.

Activer le VDP gratuitement Voir comment ça fonctionne
Hébergé en Europe Mise en place en 5 minutes 80 % du spam filtré Triage complet à 49 $/mois

Un VDP est la manière dont votre entreprise gère les signalements de vulnérabilités.

Un programme de divulgation de vulnérabilités (VDP) est un canal formel et documenté permettant aux chercheurs en sécurité de signaler les failles de vos logiciels. Considérez-le comme une version structurée de l'e-mail security@ - avec suivi SLA, scoring CVSS et piste d'audit. Les auditeurs SOC 2, les assureurs cyber et les clients entreprise l'exigent de plus en plus.

Kit gère déjà votre pipeline de candidats. Votre VDP fonctionne sur la même infrastructure, la même piste d'audit, la même équipe.

Échéances réglementaires

La fenêtre se rétrécit.

En vigueur

SOC 2 Type II

CC7.1 : les auditeurs signalent l'absence de programmes documentés de surveillance des vulnérabilités.

11 septembre 2026

Cyber Resilience Act européen

L'article 14 impose le signalement des vulnérabilités pour les produits comportant des éléments numériques.

En vigueur depuis octobre 2024

Directive NIS2

L'art. 21(2)(e) impose le VDP comme l'une des dix mesures de cybersécurité requises pour les entités essentielles et importantes. Amendes jusqu'à 10 M EUR ou 2 % du chiffre d'affaires.

En progression

Assurance cyber

Les souscripteurs d'assurance cyber ajoutent le VDP aux questionnaires de souscription.

Le problème avec les e-mails security@.

Chaque startup hérite du même processus défaillant. Voici pourquoi il ne survit pas à un audit SOC 2.

Votre auditeur vient de vous interroger sur CC7.1

SOC 2 CC7.1 exige des preuves documentées de surveillance des vulnérabilités. Un ticket Jira n'est pas une preuve. Une piste d'audit horodatée, si.

Contrats entreprise bloqués

Les prospects entreprise envoient des questionnaires de sécurité. « Disposez-vous d'un VDP ? » est désormais une question standard. Sans VDP, le deal se bloque au niveau des achats.

Les plateformes managées démarrent à 22 000 $/an

HackerOne et Bugcrowd proposent des formulaires de soumission gratuits. Leurs programmes managés avec un vrai triage démarrent à 22 000 $+/an. Kit vous offre le triage opérationnel pour 49 $/mois.

Voir en action

Du rapport à la résolution.

  • Portail à votre image

    Votre logo, votre domaine, votre politique de divulgation. Les chercheurs voient une expérience professionnelle à votre image.

  • Rapports structurés

    Chaque rapport capture le titre, la sévérité, la preuve de concept et l'impact. Plus besoin d'analyser des fils d'e-mails.

  • Suivi complet du cycle de vie

    Les rapports suivent le parcours de la soumission au triage puis à la résolution. Historique complet des statuts, minuteurs SLA et piste d'audit à chaque étape.

Portail de sécurité
security.acme.com
Titre du rapport

SQL Injection in /api/v2/users

Sévérité
Faible Moyen Élevé (7.5) Critique
Description

The /api/v2/users endpoint accepts unsanitised input in the search parameter, allowing...

Preuve de concept
exploit-poc.py
Impact

Authenticated users can extract other users' PII

Protégé par CAPTCHA
Soumettre le rapport
Tableau de triage
Nouveau

SQL Injection

Élevé 23h restantes
Trié

XSS in Search

Moyen
Résolu

CSRF Token

Résolu

5 minutes pour la conformité.

Trois étapes. Pas d'appel d'offres, pas de projet d'intégration, pas d'attente.

1

Activer le VDP

Activez le module VDP dans vos paramètres Kit. Votre security.txt est publié instantanément à /.well-known/security.txt et votre page de politique de divulgation est en ligne.

2

Le premier rapport arrive, structuré

Les chercheurs soumettent via un formulaire d'admission à votre image sur votre domaine personnalisé. Vous voyez un rapport propre avec un score CVSS, pas une chaîne d'e-mails transférés.

3

Passez à la version supérieure quand le triage compte

Ajoutez le module de triage complet pour 49 $/mois quand vous êtes prêt pour les tableaux kanban, le suivi SLA, les paiements de primes et l'export SOC 2.

Gratuit pour la conformité. Le module complémentaire pour la sérénité.

Les fonctionnalités gratuites vous rendent conforme dès aujourd'hui. Le module complémentaire vous fait passer de conforme à serein.

Gratuit

security.txt + politique de divulgation

security.txt conforme RFC 9116 auto-publié à /.well-known/security.txt. Les alertes d'expiration le maintiennent à jour. Les chercheurs savent comment vous joindre.

Gratuit

Formulaire d'admission structuré + CAPTCHA

Plus d'e-mails non structurés. Chaque rapport capture le titre, la description, le vecteur CVSS, la preuve de concept et l'impact - structuré dès le départ.

Gratuit

Filtrage automatique du spam

CAPTCHA, limitation de débit et filtrage IA interceptent plus de 80 % des soumissions indésirables avant qu'elles n'atteignent votre file d'attente. Vous voyez de vrais rapports, pas du bruit.

Gratuit

Mode sur invitation

Gérez un programme privé avec accès sur invitation uniquement. Partagez des liens d'invitation sécurisés avec des chercheurs de confiance. Les demandes d'accès en attente apparaissent dans votre barre latérale.

Gratuit

Portail sur domaine personnalisé

Hébergez votre portail de sécurité sur votre propre domaine. Les chercheurs voient votre marque, pas la nôtre. Les domaines personnalisés sont gratuits pour tous les comptes VDP.

Gratuit

Infrastructure hébergée en Europe

Vos données de vulnérabilités ne quittent jamais l'UE. Hébergé chez Hetzner en Allemagne. Aucun transfert de données vers les États-Unis. Aucune préoccupation liée à Schrems II.

Module complémentaire

Triage kanban + CVSS v3.1 + SLA

Déplacez les rapports de Nouveau à Trié puis Résolu avec un historique complet des statuts. Les minuteurs SLA se déclenchent automatiquement. Ne manquez plus jamais une échéance de réponse.

Module complémentaire

Pipeline de primes + exports SOC 2

Rémunérez les chercheurs par virement ACH/bancaire avec gestion fiscale 1099. Exportez les preuves d'audit en un clic. L'IA filtre les doublons et rédige les réponses.

Prêt à cocher la case conformité ?

Activer le VDP gratuitement

49 $/mois contre 22 000 $/an.

Gratuit pour être prêt à l'audit. Le module complémentaire pour affronter l'audit avec confiance.

DIY / Plateformes managées

Boîte security@ (non structurée) 0 $
HackerOne / Bugcrowd (managé) 22 000 $+/an
Avec le temps de mise en place et les frais généraux Semaines

Plus 2 à 5 semaines d'intégration, d'intégrations personnalisées, de revue juridique et l'exigence d'un gestionnaire de programme dédié.

Mise en place en 5 minutes

Kit VDP

Gratuit pour commencer

Module de triage complet à partir de 49 $/mois

588 $/an. Soit 37 fois moins que les plateformes managées.

  • security.txt auto-publié
  • Formulaire d'admission structuré + CAPTCHA
  • Triage kanban + CVSS + SLA (module complémentaire)
  • Exports d'audit SOC 2 (module complémentaire)
Hébergé en Europe

HackerOne et Bugcrowd proposent également des formulaires de soumission gratuits. Le tarif ci-dessus correspond à leurs programmes managés avec des fonctionnalités de triage opérationnel comparables au module complémentaire de Kit.

Triage par IA

L'IA gère le bruit. Vous gérez le signal.

Le VDP de Kit intègre des outils IA couvrant l'ensemble du cycle de vie des vulnérabilités. La même infrastructure IA qui gère votre pipeline de recrutement trie désormais vos rapports de sécurité.

Couverture complète du cycle de vie.

L'IA filtre les rapports indésirables pour ne vous présenter que les vraies vulnérabilités. Elle détecte les doublons avant que vous ne perdiez du temps, suggère la sévérité CVSS et rédige les réponses aux chercheurs pour que vous répondiez en minutes, pas en jours. Toujours avec votre confirmation.

Claude ChatGPT Gemini
Lire la documentation de l'intégration IA

Langage naturel, actions concrètes.

Interrogez vos données de sécurité en langage naturel.

"Afficher tous les rapports de sévérité Haute en dépassement de SLA"
"Vérifier les doublons du rapport rpt_abc123 et suggérer la sévérité"
"Rédiger une réponse de rejet - cela semble hors périmètre"
"Approuver une prime de 500 $ pour le rapport d'injection SQL"

Nous utilisons ce que nous livrons.

Kit exploite son propre VDP sur cette plateforme. Notre security.txt est en ligne. Notre politique de divulgation est publiée. Nous trions chaque rapport qui nous parvient.

Voir notre Centre de confiance

Questions, réponses.

Nous sommes trop petits pour un programme de primes aux bugs.

Un VDP n'est pas un programme de primes - vous n'offrez pas de récompenses. C'est un canal documenté et conforme permettant aux chercheurs de signaler les vulnérabilités. SOC 2 Type II, les assureurs cyber et les clients entreprise exigent de plus en plus la preuve que vous en disposez. Le plan gratuit de Kit vous donne exactement cela, sans engagement financier.

Cela ne va-t-il pas inviter les hackers à nous attaquer ?

Les chercheurs sondent déjà votre infrastructure - ils n'ont simplement aucun canal légitime pour signaler ce qu'ils trouvent. Un VDP leur offre un cadre autorisé et vous procure une protection juridique. Sans VDP, un chercheur bien intentionné pourrait rendre l'information publique plutôt que de risquer une exposition juridique. Avec un VDP, il vient d'abord vers vous.

Puis-je gérer un programme privé, sur invitation uniquement ?

Oui. Passez votre portail en mode sur invitation dans les Paramètres du portail de sécurité et Kit génère un jeton d'accès secret. Partagez l'URL d'invitation directement avec des chercheurs de confiance - elle leur accorde une session persistante au clic. Toute autre personne visitant le portail voit un court formulaire de demande d'accès au lieu d'une impasse. Les demandes en attente apparaissent dans votre barre latérale avec un badge ; un clic approuve la demande et envoie automatiquement au chercheur son lien d'invitation.

Nous allons être submergés de spam et de rapports de mauvaise qualité.

Le formulaire d'admission de Kit inclut un CAPTCHA, une limitation de débit et une couche de filtrage IA qui intercepte les soumissions indésirables avant qu'elles n'atteignent votre file d'attente. En pratique, plus de 80 % du bruit est filtré automatiquement. Vous verrez de vrais rapports - pas le chaos dans votre boîte de réception.

Nous pourrions simplement construire un formulaire web nous-mêmes.

Un formulaire vous donne la collecte. Il ne vous donne pas le suivi des SLA, le scoring CVSS, l'historique des statuts, les fils de communication avec les chercheurs, les paiements de primes, la gestion des documents fiscaux ou l'export SOC 2 en un clic. Kit regroupe tout cela - vous passez un après-midi à le déployer, pas un sprint d'ingénierie à le construire.

Nous utilisons déjà Vanta/Drata pour la conformité.

Parfait. Vanta et Drata vérifient que vous disposez d'un VDP. Kit le fait fonctionner. Activez le VDP de Kit, pointez votre outil de conformité vers votre security.txt publié, et la case est cochée avec un vrai programme auditable derrière - pas un simple document de politique.

Pourquoi une plateforme de recrutement propose-t-elle un VDP ?

Kit est né comme plateforme de recrutement, mais l'infrastructure de conformité partage le même ADN technique - collecte structurée, suivi SLA, automatisation des workflows et exports d'audit. Nous avons construit le VDP sur les mêmes fondations, appliquées à un workflow différent. Kit exploite son propre VDP sur cette plateforme. Notre security.txt est en ligne. Notre politique de divulgation est publiée. Nous trions chaque rapport qui nous parvient.

Que se passe-t-il lorsqu'une vraie vulnérabilité critique est signalée ?

Lorsqu'un rapport critique arrive, Kit envoie une notification immédiate à votre équipe. Ensuite : vous triez le rapport, évaluez la sévérité avec le scoring CVSS v3.1, communiquez avec le chercheur via des messages en fil de discussion, assignez le rapport à la bonne personne, suivez la résolution par rapport à votre minuteur SLA et exportez la piste d'audit complète quand votre auditeur demande des preuves. L'ensemble du cycle de vie est documenté, horodaté et exportable.

Et HackerOne ou Bugcrowd ?

HackerOne et Bugcrowd proposent tous deux des formulaires de soumission gratuits. Le plan gratuit de Kit aussi. La différence réside dans ce qui se passe après la réception d'un rapport : Kit vous offre le suivi SLA, le scoring CVSS, le triage kanban, la communication avec les chercheurs, les paiements de primes et les exports SOC 2 pour 49 $/mois. Les programmes managés de HackerOne avec des fonctionnalités opérationnelles équivalentes démarrent à 22 000 $+/an. Quand vous dépassez les capacités de Kit, nous exportons l'historique complet de votre programme - résumés de rapports, scores CVSS, performances SLA, journaux de communication et grand livre financier - en CSV ou PDF. Aucun casse-tête de migration.

Voir comment fonctionnent les exports SOC 2
Mes données VDP sont-elles portables si je quitte Kit ?

Oui. L'export complet de Kit regroupe chaque enregistrement VDP - programmes, rapports, évaluations, messages, attributions de primes, versements, profils de chercheurs et analyses IA - en JSON structuré. Un clic depuis les Paramètres du compte. Vous disposez de 7 jours pour télécharger l'archive. Votre historique de sécurité vous appartient.

Voir ce qui est inclus dans un export de données

Déployez votre VDP en 5 minutes. Gratuit.

Pas de carte bancaire requise. security.txt publié instantanément. Passez à la version supérieure quand vous avez besoin du triage.

Activer le VDP gratuitement Lire la documentation sécurité