Politique d'audit tiers

1. Objet

Cette politique décrit les garde-fous applicables lorsqu'un utilisateur demande l'évaluation d'une organisation qu'il ne représente pas nécessairement.

Elle complète les CGU, la politique de confidentialité et la charte d'utilisation acceptable.

2. Audit tiers passif

Sans autorisation explicite de l'organisation concernée, CYDEN limite l'analyse à des signaux publics, légalement accessibles, proportionnés et non intrusifs.

• aucun test d'intrusion ;
• aucun scan actif non autorisé ;
• aucune tentative de connexion ;
• aucun contournement d'accès ;
• aucune exploitation de vulnérabilité ;
• aucune collecte agressive ou disproportionnée ;
• aucune modification de fiche par le demandeur tiers.

3. Audit autorisé

Un audit autorisé nécessite une autorisation explicite, datée, traçable et rattachée à un périmètre défini.

Les contrôles plus poussés ne doivent être déclenchés que si la fonctionnalité existe, si l'autorisation est validée et si le périmètre technique le permet.

4. Rapports et limites

Un rapport tiers doit être privé par défaut, daté, accompagné des sources utilisées, des limites de l'analyse, d'un niveau de confiance et d'une possibilité de revendication, rectification ou revue humaine.

CYDEN ne doit pas présenter un signal observable comme une accusation, une preuve exhaustive ou une garantie de sécurité.

5. Contact

Pour contester, corriger ou demander une revue : contact[at]reachout.cyden.io.