Programme de divulgation responsable

Merci de nous signaler une vulnérabilité de sécurité

La sécurité de nos applications et des données dont nous avons la responsabilité est une priorité pour Kotra, et nous sommes reconnaissants de toute information permettant d'améliorer notre posture de sécurité.

En soumettant un rapport de vulnérabilité, vous acceptez les conditions ci-dessous (les « Conditions »), conçues pour vous protéger autant que nous.

Sphère de protection

Si vous nous soumettez un rapport de vulnérabilité en suivant le processus décrit ci-dessous et en respectant l'intégralité des présentes Conditions, Kotra s'engage à ne pas intenter de recours civil ni à déposer une plainte auprès des autorités à votre égard pour avoir accédé à nos systèmes sans autorisation dans le seul but d'identifier cette vulnérabilité.

Processus de soumission

Veuillez soumettre tout rapport de vulnérabilité par courriel à : securite@kotra.ca

Chaque rapport doit inclure :

• une description de la vulnérabilité ;
• l'URL, l'adresse IP, le port ou toute autre information permettant de localiser la vulnérabilité ;
• des étapes détaillées et claires pour reproduire le problème (y compris journaux, captures d'écran, réponses ou autres preuves) ou un code de démonstration de concept ;
• la méthode par laquelle vous avez découvert le problème ;
• l'impact présumé ;
• toute mesure corrective que vous suggéreriez ; et
• vos nom et coordonnées.

Périmètre

Vous ne pouvez pas accéder, dans le cadre de ce programme, aux postes de travail, systèmes, réseaux, contenus, applications ou données d'un quelconque tiers. La sphère de protection décrite ci-dessus ne s'applique pas à de tels systèmes, réseaux, contenus, applications ou données.

Méthodologie

Il vous est interdit de mener des attaques par déni de service, de tenter de compromettre la sécurité physique de nos locaux ou d'utiliser toute autre méthode destructrice. Dès que vous avez identifié une vulnérabilité, vous devez cesser tout test et nous la signaler tel qu'indiqué ci-dessus. La sphère de protection ne s'applique pas aux activités contrevenant aux présentes dispositions.

Absence d'accès aux renseignements personnels et interdiction d'utilisation abusive

En participant à ce programme, vous déclarez n'avoir accédé à aucun moment aux renseignements personnels de nos clients ou utilisateurs se trouvant sur nos systèmes, et avoir supprimé de façon sécuritaire toute donnée acquise par inadvertance. Vous déclarez ne pas avoir utilisé, et vous engagez à ne pas utiliser, les données extraites de notre environnement à des fins frauduleuses, malveillantes, diffamatoires, abusives, menaçantes, illégales ou autrement inappropriées.

Droits de propriété intellectuelle

En soumettant des informations relatives à une vulnérabilité, vous nous accordez une licence perpétuelle, mondiale, libre de redevances et entièrement acquittée pour utiliser et divulguer toute information soumise y compris les démonstrations de concept, correctifs, améliorations, suggestions, échantillons de code ou toute autre information aux fins d'analyser, de corriger ou d'améliorer nos systèmes et réseaux, de les intégrer à nos produits ou services, de mener des tests supplémentaires, ou à toute autre fin commerciale légitime. Kotra ne vous accorde aucun droit de propriété intellectuelle sur quelque image, information, texte, invention, code ou autre création que ce soit dans le cadre des présentes Conditions.

Sanctions et restrictions commerciales

En soumettant des informations relatives à une vulnérabilité, vous déclarez ne pas faire l'objet de sanctions à l'exportation ni d'autres restrictions commerciales, que ce soit en raison de votre inscription sur une liste de sanctions tenue par le Bureau of Foreign Assets Control (OFAC) des États-Unis ou par tout autre organisme gouvernemental canadien, américain ou de l'Union européenne, en raison de votre appartenance à une organisation inscrite sur une telle liste, ou en raison de votre résidence dans un pays sanctionné.

Entrepreneur indépendant

Rien dans le cadre de votre soumission d'une vulnérabilité n'indique que vous êtes un employé de Kotra. La relation entre vous et Kotra ne constitue pas un partenariat, une coentreprise ni une relation mandant-mandataire. Vous n'êtes pas autorisé à faire de déclaration, représentation ou engagement au nom de Kotra.

Exclusion de responsabilité et absence d'obligation

Kotra, ses dirigeants, sociétés affiliées, représentants, sous-traitants et employés ne pourront être tenus responsables envers vous, dans le cadre des présentes Conditions, de quelque dommage direct, indirect, accessoire, spécial ou consécutif que ce soit. Sauf entente contraire avec Kotra, toute information soumise en lien avec une vulnérabilité est fournie à titre gracieux et Kotra ne vous doit aucune rémunération pour cette soumission, les services rendus ou les dépenses engagées.

Communications chiffrées

Pour toute communication sensible, veuillez utiliser notre clé PGP disponible sur demande à securite@groupekotra.com afin de nous transmettre un message chiffré.

Dispositions diverses

Les présentes Conditions sont régies et interprétées conformément aux lois de la province de Québec et aux lois fédérales du Canada qui y sont applicables, sans égard aux règles sur les conflits de lois. Vous ne pouvez utiliser aucun logo ni marque de commerce de Kotra sans notre consentement écrit préalable explicite.

Kotra se réserve le droit, à sa seule discrétion, de modifier les présentes Conditions ou d'y mettre fin en tout temps.

Au nom de notre équipe, de nos clients et de nos utilisateurs, merci de contribuer à l'amélioration de notre cybersécurité.

© 2026 Solution Kotra inc. Tous droits réservés.