Canal dédié : pour tout signalement de vulnérabilité, utilisez security@heelonys.fr et évitez l'ouverture d'un ticket public avant coordination.
Périmètre : cette page couvre HeelonVault, HeelonGed, HeelonConnect et le site web institutionnel HEELONYS (pages publiques, formulaires et API associées).
1. Principes généraux
Les produits et services HEELONYS sont conçus selon une logique security-first, avec une attention particulière portée à la confidentialité, l'intégrité, la disponibilité, la traçabilité des actions sensibles et la limitation de l'exposition des données.
- principe du moindre privilège et segmentation des accès ;
- journalisation de sécurité et surveillance des événements critiques ;
- durcissement applicatif, gestion des dépendances et remédiation continue.
2. Portefeuille couvert
| Produit / Service | Statut et modèle de diffusion | Orientation sécurité |
|---|---|---|
| HeelonVault | Open source Apache-2.0 | Gestion de secrets local-first, chiffrement au repos, garde-fous d'usage et de traçabilité |
| HeelonGed | Open source pour audit sous NDA | Gestion documentaire et audit avec contrôle d'accès, traçabilité et sécurité des flux |
| HeelonConnect | Pré-annonce, open source pour audit sous NDA | Interopérabilité et intégration avec exigences de sécurisation des échanges |
| Site web HEELONYS | Service web public | Protection des formulaires, prévention des abus, journalisation et sécurité de la surface d'exposition internet |
3. Comment signaler une vulnérabilité
Merci de transmettre un email à security@heelonys.fr avec un objet de type SECURITY-HEELONYS : titre court et de préciser le périmètre concerné (Vault, Ged, Connect, site web, API).
Merci d'inclure :
- la version impactée ;
- l'environnement de test ;
- les étapes de reproduction ;
- le comportement attendu vs observé ;
- l'impact estimé ;
- un proof of concept si disponible.
Merci de ne pas transmettre de secret en clair, de base de données complète ni de mot de passe maître dans votre rapport initial.
4. Délais cibles de traitement
- accusé de réception sous 24 h ;
- premier triage et classification sous 3 jours ouvrés ;
- mise à jour de statut au moins tous les 7 jours jusqu'à clôture.
| Priorité | Exploitabilité | Impact | Objectif opératoire |
|---|---|---|---|
| P1 | Exploitation triviale ou peu complexe | Impact élevé sur confidentialité, intégrité ou disponibilité | Mitigation ou correction cible sous 7 jours |
| P2 | Exploitation réaliste avec peu de prérequis | Impact modéré à élevé | Mitigation ou correction cible sous 14 jours |
| P3 | Conditions spécifiques ou interaction requise | Impact limité à modéré | Correction planifiée sous 30 jours |
| P4 | Scénario théorique ou difficile à exploiter | Impact faible | Traitement au fil des releases |
5. Sécurité du site web HEELONYS
Le site web public et ses API appliquent des contrôles de sécurité adaptés à leur exposition internet:
- validation des entrées et filtrage des payloads ;
- protection anti-abus (rate limiting et contrôles anti-automatisation) ;
- journalisation des événements de sécurité et surveillance opérationnelle ;
- mise à jour régulière des dépendances et des composants déployés.
6. Divulgation coordonnée
Les vulnérabilités doivent faire l'objet d'une divulgation coordonnée. Sauf obligation légale contraire, aucune publication détaillée ne doit intervenir avant disponibilité d'une mitigation ou d'un correctif acceptable.
7. Licence, marques et authenticité
HeelonVault est publié en open source sous licence Apache-2.0. HeelonGed et HeelonConnect sont diffusés en open source pour audit dans un cadre NDA tant que leur phase de lancement l'exige.
Les marques HEELONYS, HeelonVault, HeelonGed et HeelonConnect sont exploitées par HEELONYS; les démarches de protection et de dépôt sont en cours selon les territoires concernés.
Le sceau d'authenticité ou toute mention équivalente réservée aux builds officielles ne peut pas être affiché sur une version modifiée, un fork ou une build communautaire non approuvée par HEELONYS.
8. Contact
Signalement de sécurité : security@heelonys.fr
Contact général : contact@heelonys.fr
Société : HEELONYS - SAS-U - 40 rue de la tour d'Auvergne, La Cantine FrenchTech, 44200 NANTES, France