Sécurité de mes modules Prestashop

En tant que développeur expert Prestashop, j’ai à coeur d’assurer la sécurité des sites e-commerce de mes clients. Mais même en développant mes modules avec les plus fortes exigences de cybersécurité en tête, personne n’est à l’abri d’une erreur pouvant résulter en une faille de sécurité. C’est pourquoi j’adhère à la Charte TouchWeb pour une cybersécurité Prestashop responsable. La politique de sécurité de mes modules Prestashop, ci-dessous, détaille la démarche et mes engagements.

Badge Cybersécurité Responsable Touchweb

Politique de sécurité

Signaler une vulnérabilité

La sécurité de mes modules ainsi que celle de mes utilisateurs est une priorité absolue. J’encourage les spécialistes en cybersécurité à analyser mes modules et à me faire part de toute faille potentielle découverte, dans le respect des principes de divulgation responsable.

Je m’engage à traiter chaque signalement avec sérieux. Les éventuelles vulnérabilités identifiées seront corrigées raidement. Je m’engage également à assurer une communication claire et transparente avec les parties concernées.

Vous avez identifié une faille de sécurité dans l’un de mes modules Prestashop ? Je vous invite à m’en informer de manière responsable en utilisant ce formulaire de contact.

Pour faciliter le traitement de votre signalement, merci de fournir un maximum d’informations (description précise, impact potentiel, version concernée, étapes permettant de reproduire le problème).

Politique de gestion des vulnérabilités de mes modules Prestashop

Conformément à la Charte TouchWeb pour une cybersécurité responsable, j’applique les principes suivants :

  • Accusé de réception de tout signalement jugé pertinent dans un délai de 7 jours maximum
  • Analyse de l’impact et planification d’un correctif dans un délai de 30 jours au plus tard.
  • Publication d’un avis de sécurité accompagné d’une CVE si le score CVSS est ≥ 7.5.
  • Aucun correctif ne sera publié de manière silencieuse.

En complément, je m’engage à respecter les principes suivants afin d’assurer une gestion éthique et responsable des vulnérabilités :

  • Ne jamais engager de poursuites à l’encontre des chercheurs agissant de bonne foi, notamment dans le cadre du programme YesWeHack géré par TouchWeb SAS.
  • Veiller à ce qu’aucune clause de confidentialité ne puisse faire obstacle à la publication transparente d’un avis de sécurité accompagné d’un identifiant CVE, dans le respect des bonnes pratiques du secteur.

Je suis pleinement conscient que cette transparence est indispensable pour permettre aux acteurs concernés (agences, e-commerçants, etc.) de remplir leurs obligations de conformité, notamment vis-à-vis du standard PCI-DSS ou de ses variantes allégées, comme la SAQ-A.

Autorisation de publication

En accord avec les engagements définis dans la Charte, j’autorise expressément la société TouchWeb SAS à publier, sur son site officiel et/ou sur ses réseaux sociaux, les informations relatives aux vulnérabilités corrigées dans mes modules.

Cette publication inclura :

  • Un identifiant CVE lié à la vulnérabilité corrigée.
  • Une note de sécurité expliquant clairement la nature du problème et sa résolution.
  • Les versions impactées ainsi que la version contenant le correctif.
  • Un patch simple à appliquer lorsque la mise à jour complète n’est pas réalisable.
  • Toute information pertinente permettant aux utilisateurs finaux et aux agences de réagir efficacement et rapidement.

Historique des vulnérabilités

Lorsque des failles de sécurité seront découvertes dans l’un de mes modules, je publierai sur cette page les informations utiles, et le lien vers la CVE.