# Politique de sécurité

## Signaler une vulnérabilité

Ne pas ouvrir d'issue publique pour une faille de sécurité.

Envoyer un rapport à : **security@hyko.cx**

Inclure dans le rapport :
- Une description de la vulnérabilité
- Les étapes pour la reproduire
- L'impact potentiel
- Une suggestion de correctif, si possible

On répond sous 48 heures. On développe le correctif de façon confidentielle avant toute divulgation publique.

## Divulgation publique

Une fois le correctif publié, on peut divulguer la vulnérabilité. Le délai entre le signalement et la divulgation dépend de la complexité du correctif. Il ne dépasse pas 90 jours, sauf entente contraire.