Communication des vulnérabilités

Chez Constellio, la sécurité de vos données est notre priorité absolue. Nous adhérons aux meilleures pratiques de sécurité, conformément aux standards de l'OWASP (Open Web Application Security Project) et aux directives établies par Google Project Zero.

Notre processus vise à vous informer rapidement et efficacement en cas de vulnérabilité détectée. Notre équipe dédiée intervient immédiatement pour évaluer et résoudre tout problème potentiel. Voici comment nous procédons :

1. Chaque faille est évaluée selon le système CVSS (Common Vulnerability Scoring System), un standard industriel que vous pouvez consulter ici.

2. Nous vous communiquerons le type de faille détectée (ex : Cross-Site Scripting, DDOS) et les versions impactées.

3. Nous préciserons les versions corrigées disponibles et, si possible, d'autres mesures à prendre pour réduire les risques en attendant la mise à jour.

4. Un rapport plus complet sera disponible à une date ultérieure, vous permettant de comprendre pleinement l'impact et les solutions apportées.

Afin de protéger tous nos clients, notamment ceux utilisant des plateformes on-premise, nous attendons un minimum de 30 jours avant de divulguer des détails complets. Cette période permet une mise à jour échelonnée et assure une protection maximale.

Nous vous encourageons à surveiller régulièrement les annonces de sécurité et à mettre à jour vos systèmes dès qu'une nouvelle version est disponible. Si vous avez des questions ou besoin d'assistance, veuillez contacter notre équipe de support à support@constellio.com.

Nous sommes résolument engagés à maintenir un niveau élevé de sécurité pour garantir la confidentialité et l'intégrité de vos données. Merci pour votre confiance et votre collaboration continue.