Politique en matière de tests de sécurité

Aperçu

Credenti à respecter les normes les plus strictes en matière de cybersécurité, d'authentification sans mot de passe et de contrôle d'accès « Zero Trust ». Notre plateforme sécurise l'accès des utilisateurs au niveau de la connexion au système d'exploitation, au niveau des applications et au niveau de l'infrastructure d'identité.

Nous encourageons la réalisation de tests de sécurité et de tests d'intrusion responsables, menés dans un cadre contrôlé et autorisé. La présente politique relative aux tests de sécurité définit le champ d'application autorisé, les activités interdites et les exigences en matière de gouvernance pour les tests portant sur Credenti et services Credenti .

Important : la présente politique s'applique spécifiquement aux clients et aux tiers autorisés effectuant des tests de sécurité sur Credenti et services Credenti . Elle ne décrit ni ne limite les pratiques de sécurité internes Credenti. Credenti un programme de sécurité complet et multicouche qui comprend un large éventail de méthodologies de test et de validation, telles que des pratiques de développement sécurisées, des analyses statiques et dynamiques, des tests d'intrusion internes et réalisés par des tiers, ainsi qu'une surveillance continue de la sécurité — éléments qui dépassent le champ d'application de la présente politique.

Champ d'application

La présente politique s'applique à l'ensemble Credenti et services Credenti , notamment :

  • Plateformes d'authentification sans mot de passe
  • Solutions sécurisées pour la connexion aux postes de travail et aux appareils
  • Services de gestion des identités et des accès (IAM)
  • Extensions de navigateur et agents de terminaux
  • Composants d'authentification et de connexion du système d'exploitation, notamment les fournisseurs d'informations d'identification Windows, les packages d'authentification, les intégrations de connexion macOS, les modules PAM Linux et d'autres mécanismes de pré-connexion ou de déverrouillage des postes de travail
  • API, services backend et infrastructure d'authentification
  • Charges de travail conteneurisées, images de machines virtuelles et artefacts de déploiement
  • Déploiements sur site, dans le cloud, hybrides et en mode air-gapped

Tests de sécurité autorisés

Credenti des tests de sécurité contrôlés, non intrusifs et de type « boîte noire », qui évaluent le comportement du système sans accéder à l'implémentation interne ni à la logique propriétaire.

Activités autorisées

  • Tests d'intrusion en mode boîte noire
  • Tests de sécurité des réseaux et du périmètre
  • Test d'API à l'aide d'interfaces documentées
  • Validation du processus d'authentification et d'autorisation
  • Validation de la configuration et des règles
  • Analyse non destructive des vulnérabilités

Ces approches s'inscrivent dans les principes modernes de validation « Zero Trust », selon lesquels les systèmes sont testés en externe sans exposer leur architecture interne ni compromettre les mécanismes de vérification d'identité.

Méthodes d'essai et restrictions

Credenti des méthodes de tests de sécurité conformes au modèle « Zero Trust », dans le cadre duquel les systèmes sont évalués en externe sans dévoiler les détails de leur implémentation interne.

Méthodologie autorisée

  • Test « boîte noire »: test réalisé sans accès au code source, aux binaires ou à la conception interne du système

Méthodologies restreintes

  • Test en boîte blanche: test nécessitant l'accès au code source, à l'architecture interne ou aux détails de mise en œuvre
  • Tests en boîte grise: tests qui s'appuient sur une connaissance partielle du fonctionnement interne du système, de ses API ou de sa conception
  • Tests statiques de sécurité des applications (SAST): analyse au niveau du code, notamment la révision du code source, la décompilation des binaires ou la rétro-ingénierie

Ces méthodes restreintes impliquent intrinsèquement l'accès à, ou l'analyse de, logiques propriétaires, de mécanismes d'authentification ou d'intégrations de connexion au système d'exploitation ; elles ne sont donc pas autorisées sans l'autorisation écrite expresse de Credenti.

Activités interdites

Afin de protéger l'architecture d'authentification sans mot de passe Credenti, les intégrations de connexion au système d'exploitation et les mécanismes de sécurité propriétaires, les activités suivantes sont strictement interdites.

Rétro-ingénierie et analyse de code

  • Décompiler, désassembler, décoder ou procéder à une ingénierie inverse de tout composant du logiciel
  • Extraction ou analyse de fichiers binaires, d'exécutables ou d'extensions de navigateur
  • Vérification des images de conteneurs, des images de machines virtuelles ou des artefacts de déploiement
  • Débogage, instrumentation ou analyse de la mémoire
  • Décompiler, examiner ou analyser les composants d'authentification et de connexion des systèmes d'exploitation, notamment les fournisseurs d'informations d'identification Windows, les modules d'authentification, les intégrations de connexion macOS, les modules PAM Linux et les mécanismes d'authentification associés

Analyse basée sur l'IA et traitement externe

  • Téléchargement de logiciels, de fichiers binaires, d'artefacts ou de résultats vers des plateformes d'intelligence artificielle (IA) ou d'apprentissage automatique
  • Soumettre Credenti à des outils d'analyse de code ou à des environnements SaaS externes
  • Utilisation de services tiers nécessitant le téléchargement externe de fichiers binaires, de code ou d'éléments propriétaires

Analyse de l'architecture interne

  • Tenter de déduire ou de reconstituer le code source
  • Tenter de définir l'architecture du système, les contrôles de sécurité ou la logique d'authentification
  • Tenter de découvrir les mécanismes de gestion des identifiants ou les flux de travail propriétaires

Tests perturbateurs ou malveillants

  • Attaques par déni de service (DoS ou DDoS)
  • Tentatives d'exfiltration de données
  • Élévation de privilèges non autorisée
  • Déplacement latéral dépassant le champ d'application autorisé
  • Perturbation des systèmes de production ou de l'accès des utilisateurs

Partage non autorisé ou accès par des tiers

  • Partager des logiciels, des éléments ou des droits d'accès avec des tiers non autorisés
  • Utilisation d'outils ou de plateformes nécessitant le téléchargement externe de code ou de fichiers binaires
  • Autoriser des fournisseurs ou des testeurs non agréés à accéder Credenti

Conditions d'autorisation pour les essais

Tout test de sécurité doit être expressément autorisé par écrit par Credenti d'être effectué.

Conditions requises

  • Portée, systèmes et calendrier clairement définis
  • Identification de l'organisme chargé des essais, qu'il s'agisse d'un service interne ou d'un organisme tiers
  • Présentation des outils et des méthodologies qui seront utilisés
  • Identification des environnements cibles
  • Engagement à respecter lecontrat de licence d'utilisation (CLU) Credenti et la présente politique relative aux tests de sécurité

Les essais non autorisés sont strictement interdits.

Contrôles par des organismes tiers

Si les essais sont réalisés par un tiers :

  • Le tiers doit être agréé par Credenti
  • Le tiers doit être soumis à des obligations de confidentialité et de non-divulgation
  • Le tiers doit se conformer intégralement auCLUF Credenti et à la présente politique de tests de sécurité

Le client reste entièrement responsable de toutes les actions effectuées par des testeurs tiers.

Traitement des données et confidentialité

Tous les résultats des tests, y compris les journaux, les conclusions et les artefacts, sont considérés comme des informations confidentielles.

Conditions requises

  • Aucune divulgation publique sans autorisation écrite préalable
  • Pas de mise en ligne sur des plateformes externes ou tierces
  • Inutile pour l'analyse concurrentielle ou le développement de produits
  • Un stockage sécurisé et un accès contrôlé à tout moment

Divulgation de vulnérabilités

Credenti la divulgation responsable des failles de sécurité.

Signaler des vulnérabilités

E-mail : credenti

Veuillez inclure :

  • Description détaillée du problème
  • Étapes pour reproduire le problème
  • Analyse d'impact
  • Éléments justificatifs, tels que des journaux, des captures d'écran ou des traces

Clause de sauvegarde

Credenti aucune poursuite judiciaire à l'encontre des chercheurs en sécurité qui :

  • Agir de bonne foi
  • Respectez cette politique
  • Évitez toute utilisation dépassant le cadre de la validation nécessaire
  • Ne pas enfreindre les lois en vigueur ni compromettre les données des utilisateurs

Alignement entre le modèle « Zero Trust » et la sécurité sans mot de passe

La plateforme Credentirepose sur :

  • Authentification sans mot de passe et sans secrets partagés
  • Vérification d'identité résistante au phishing
  • Contrôle d'accès basé sur les appareils et le contexte

Les tests de sécurité doivent respecter ces contrôles et ne doivent en aucun cas tenter de contourner ou d'affaiblir les mécanismes de vérification d'identité en dehors des scénarios approuvés.

Application

Toute violation de cette politique peut entraîner :

  • Suspension immédiate de l'accès
  • Résiliation des contrats
  • Recours judiciaires en vertu de la législation applicable
  • Application des mesures de protection de la propriété intellectuelle et des obligations de confidentialité