Politique de sécurité

Programme de divulgation responsable des vulnérabilités — Lenergy Groupe

Engagement du groupe Lenergy

La sécurité de nos systèmes d'information et la protection des données de nos parties prenantes constituent des priorités absolues du groupe Lenergy. Nous encourageons les chercheurs en sécurité, les professionnels et les utilisateurs à nous signaler tout comportement suspect ou vulnérabilité potentielle découverte sur nos services en ligne.

Cette politique définit les modalités de signalement, le périmètre concerné et nos engagements de traitement dans le cadre du programme de divulgation coordonnée de vulnérabilités (CVD — Coordinated Vulnerability Disclosure).

Périmètre des vulnérabilités couvertes

Les services et systèmes suivants sont couverts par ce programme :

✓ Dans le périmètre

lenergy.fr et ses sous-domaines
lenergysmart.fr et ses sous-domaines
lenergysolar.fr et ses sous-domaines
Portails clients et espaces sécurisés
API publiques et privées
Applications mobiles officielles
Systèmes de paiement en ligne

✗ Hors périmètre

Services tiers (hébergeurs, CDN, DNS)
Systèmes d'information internes non accessibles depuis Internet
Attaques par déni de service (DoS/DDoS)
Ingénierie sociale ou phishing
Attaques physiques sur nos installations

Types de vulnérabilités recherchées

Nous accordons une attention particulière aux catégories suivantes :

Injection
SQL, commandes OS, LDAP, XPath
Authentification
Contournement, élévation de privilèges, IDOR
XSS & CSRF
Scripts intersites, falsification de requêtes
Exposition de données
Fuites d'informations sensibles, PII, clés API
Mauvaises configurations
Headers sécurité manquants, TLS faible, CORS permissif
Logique métier
Contournement de contrôles fonctionnels

Programme de divulgation responsable

Règle d'or

Nous vous demandons de ne pas exploiter la vulnérabilité au-delà de ce qui est strictement nécessaire pour en démontrer l'existence, et de ne pas accéder, modifier ou divulguer les données d'autrui.

Le programme de divulgation responsable de Lenergy repose sur les principes suivants :

Signalement privé : Contactez-nous en premier, avant toute divulgation publique.
Délai de correction : Nous nous engageons à corriger les vulnérabilités critiques en 90 jours suivant le signalement confirmé.
Coordination : Si vous souhaitez publier vos recherches, nous coordonnerons la divulgation publique après correction.
Safe Harbor : Tout chercheur agissant de bonne foi dans le cadre de cette politique ne fera pas l'objet de poursuites judiciaires de notre part.

Comment nous contacter

Pour signaler une vulnérabilité, utilisez de préférence notre formulaire sécurisé. Vous pouvez également nous écrire par courriel en chiffrant votre message avec notre clé PGP publique.

📧

Courriel sécurisé

security chez lenergy.fr
(remplacer "chez" par @)

🔑

Clé PGP

Disponible sur
/.well-known/pgp-key.txt

Que mentionner dans votre rapport ? Décrivez le type de vulnérabilité, les étapes de reproduction, l'impact potentiel, les systèmes concernés, et joignez si possible une preuve de concept (PoC) sans exploitation réelle des données.

Processus de triage

Accusé de réception — sous 48h ouvrées

Nous confirmons la réception de votre signalement et lui attribuons un identifiant de suivi.

Analyse technique — sous 7 jours

Notre équipe sécurité qualifie la vulnérabilité (type, criticité CVSS, impact), reproduit et vérifie le scénario décrit.

Correction — sous 30 à 90 jours

Délai selon la criticité (critique : 30j / haute : 60j / moyenne-basse : 90j). Vous êtes tenu informé de l'avancement.

Clôture & reconnaissance

Après déploiement du correctif, nous vous informons et, avec votre accord, ajoutons votre nom ou pseudo à notre Hall of Fame.

Cadres de référence

Notre politique s'appuie sur les standards reconnus suivants :

RFC 9116 — Format standard security.txt pour la publication des politiques de contact sécurité
ANSSI (Agence nationale de la sécurité des systèmes d'information) — Guide de la divulgation coordonnée de vulnérabilités
CVE (Common Vulnerabilities and Exposures) — Référentiel commun d'identification des vulnérabilités
CVSS v3.1 — Système commun de score des vulnérabilités (Common Vulnerability Scoring System)
OWASP Top 10 — Référentiel des 10 risques de sécurité les plus critiques pour les applications web

Hall of fame — Chercheurs reconnus

🏆

Aucun signalement n'a encore été reçu dans le cadre de ce programme.

Vous pouvez être le premier chercheur reconnu par le groupe Lenergy. Votre nom, pseudo ou organisation sera affiché ici avec votre accord.

Ce programme ne couvre pas

Les tests automatisés massifs (scanners de vulnérabilités à grande échelle) susceptibles de perturber nos services
L'accès, la copie ou la suppression de données réelles d'utilisateurs
Les attaques sur des services non listés dans le périmètre ci-dessus
Les tentatives d'extorsion ou de chantage

Tout signalement ne respectant pas cette politique pourra faire l'objet de poursuites judiciaires.

Lenergy Groupe — Politique de sécurité v1.0 — Mai 2026
Conformément à la RFC 9116 et aux recommandations de l'ANSSI