Politique de divulgation responsable
Vous avez identifié une vulnérabilité dans PilotCrew ? Merci. Voici comment nous la traitons — sans menace juridique, avec un SLA opposable et une coordination publique propre.
Comment nous contacter
Email principal
security@pilotcrew.io
Réponse sous 48h ouvrées
Email founder
accipe.curtys@pilotcrew.io
Backup, escalade immédiate
Téléphone (urgent)
+33 7 68 24 00 59
Vulnérabilités critiques uniquement, fuseau horaire CET
Chiffrement PGP
Une clé PGP publique sera mise à disposition à/.well-known/pgp-key.txtpour les rapports les plus sensibles. Vous pouvez aussi nous contacter via Signal (numéro fourni sur demande).
Notre SLA opposable
| Étape | Délai cible | Contenu |
|---|---|---|
| Accusé de réception | 48h ouvrées | Confirmation reçue, identifiant interne attribué |
| Triage initial | 5 jours ouvrés | Sévérité confirmée (CVSS), périmètre validé, plan de remédiation esquissé |
| Correctif déployé | 14 jours ouvrés (critique) · 30 jours (high) · 90 jours (medium/low) | Production patchée, mitigation documentée |
| Disclosure publique | 90 jours par défaut | Coordonnée avec le rapporteur, CVE demandé si applicable |
Périmètre couvert
Dans le périmètre
- pilotcrew.io et tous ses sous-domaines
- API publiques REST exposées (/api/*)
- Clients web officiels
- Templates de configuration partagés sur le dépôt GitHub
Hors périmètre
- Sous-traitants ultérieurs listés sur /legal/subprocessors (Anthropic, Vercel, Supabase, etc.) — contactez-les directement
- Attaques par déni de service (DoS) ou tests de charge
- Ingénierie sociale du personnel
- Reports automatisés sans preuve de concept (scanners, dépendances obsolètes triviales sans exploit)
- Configurations de tiers (e.g. DNS de domaines clients que nous ne gérons pas)
Safe harbor
Une recherche de bonne foi qui respecte cette politique ne fera l'objet d'aucune action judiciairede la part de PilotCrew SAS, ni d'aucune violation alléguée du Computer Fraud and Abuse Act (US), de la Loi Godfrain (FR, art. 323-1 et suivants du Code pénal), ou des CGU PilotCrew.
Nous attendons en retour : (a)aucune extraction de données tierces (PII clients, contenu chiffré, secrets d'intégration) au-delà de ce qui est strictement nécessaire à la preuve de concept ; (b) aucune perturbation du service pour les utilisateurs ; (c) un délai de 90 jours avant publication, sauf coordination explicite.
Cette politique est compatible avec les bonnes pratiques publiées par l'ANSSI / CERT-FR, disclose.io, et les principes du RFC 9116.
Conformité réglementaire associée
En cas de violation de données personnelles avérée, PilotCrew SAS s'engage à notifier le délégué à la protection des données du Client dans les 72 heuressuivant la connaissance de l'incident, conformément à l'article 33 RGPD. La procédure complète est documentée dans le DPA opposable disponible à /legal/dpa.
Pour les questions relatives aux systèmes IA déployés (kill-switch, audit_logs, transparence Art. 50), voir /conformite et le dump JSON live du collecteur de preuves à /api/agents/grc-evidence-collector/sample.
Identité de l'éditeur
PilotCrew SAS
SIREN 994 487 775 · TVA FR96 994 487 775
229 Rue Saint-Honoré, 75001 Paris, France
Fondateur & DPO : Curtys Accipe
DPO direct : dpo@pilotcrew.io
RC Pro 5 M€ Hiscox · Escrow code source NCC Group sur demande
Dernière révision : 2026-06-02. Le fichier /.well-known/security.txt expire le 2027-06-02 et sera renouvelé avant cette date.