Divulgation responsable

À propos de ce programme

NEO Cyber Camp est une startup de formation en cybersécurité. Nous construisons des labs pratiques, des cours et une plateforme de cyber range utilisée par des étudiants et des organisations à travers l'Europe. La sécurité est au cœur de notre activité — et nous pratiquons ce que nous enseignons.

Nous croyons que la communauté de la sécurité joue un rôle essentiel dans la protection d'internet. Si vous avez trouvé une vulnérabilité dans l'un de nos systèmes, nous voulons en entendre parler.

Périmètre

Les domaines et services suivants sont couverts par ce programme :

neocc.co — Site web de NEO Cyber Camp
app.neocc.co — Plateforme de formation
range.neocc.co — Plateforme de cyber range
rangebyneo.co — Site web de Range by NEO

Cela inclut tous les sous-domaines et APIs servis par ces domaines.

Vulnérabilités couvertes

Nous sommes intéressés par les signalements couvrant (sans s'y limiter) :

Cross-Site Scripting (XSS)
Injection SQL (SQLi)
Contournement d'authentification et d'autorisation
Références directes non sécurisées (IDOR)
Cross-Site Request Forgery (CSRF)
Exécution de code à distance (RCE)
Server-Side Request Forgery (SSRF)
Exposition de données sensibles
Erreurs de configuration de sécurité

Hors périmètre

Les éléments suivants ne sont pas éligibles :

Attaques par déni de service (DoS/DDoS)
Ingénierie sociale ou phishing du personnel ou des utilisateurs de NEO
Attaques de sécurité physique
Spam ou injection de contenu sans impact sécuritaire
Problèmes de limitation de débit sans contournement démontré
Vulnérabilités dans des services tiers que nous ne contrôlons pas
Problèmes nécessitant un accès physique à un appareil
Problèmes connus déjà en cours de traitement
Environnements de lab étudiants — ils sont intentionnellement vulnérables pour la formation

Règles d'engagement

Ne pas accéder, modifier ou supprimer les données d'autres utilisateurs
Ne pas perturber nos services ou dégrader l'expérience des autres utilisateurs
Ne pas divulguer publiquement une vulnérabilité avant que nous ayons eu la chance de la corriger
Agir de bonne foi — tester uniquement ce qui est nécessaire pour démontrer le problème
Utiliser vos propres comptes de test dans la mesure du possible

Comment signaler

Envoyez vos découvertes à : [security@neocc.co](mailto:security@neocc.co)

Veuillez inclure :

Une description claire de la vulnérabilité
Les étapes de reproduction (aussi détaillées que possible)
L'URL, le endpoint ou le composant affecté
Votre évaluation de l'impact potentiel
Des captures d'écran ou une preuve de concept si disponible

Chiffrez les rapports sensibles avec notre clé PGP (disponible sur demande).

Délais de réponse

Accusé de réception : Sous 24 heures
Évaluation initiale : Sous 72 heures
Mises à jour : Au moins tous les 7 jours pendant que nous travaillons sur un correctif
Divulgation coordonnée : Fenêtre de 90 jours à compter du signalement initial

Récompenses

Nous sommes une petite équipe et ne pouvons pas offrir de primes monétaires pour le moment. Mais nous valorisons profondément l'aide de la communauté sécurité et nous reconnaissons chaque contribution valide :

Hall of Fame : Votre nom (ou pseudo) listé sur cette page
Mention sur les réseaux : Un remerciement public sur nos comptes LinkedIn et X (Twitter)
Notre gratitude : Un remerciement personnel de notre équipe

À mesure que nous grandissons, ce programme évoluera aussi. Nous nous engageons à construire un véritable programme de bug bounty au fil du temps.

Protection juridique

Nous ne poursuivrons pas en justice les chercheurs en sécurité qui :

Agissent de bonne foi et dans le cadre de cette politique
Signalent les vulnérabilités via le canal décrit ci-dessus
N'exploitent pas les vulnérabilités au-delà de ce qui est nécessaire pour la démonstration
Ne violent pas la vie privée de nos utilisateurs

Nous considérons la recherche en sécurité menée dans le cadre de cette politique comme autorisée et nous n'engagerons pas de poursuites pour des violations accidentelles et de bonne foi.

Hall of Fame

Nous remercions chaleureusement les chercheurs en sécurité suivants pour leurs divulgations responsables :

Soyez le premier à signaler une vulnérabilité et gagnez votre place ici.

---

Dernière mise à jour : Février 2026

À propos de ce programme

Périmètre

Les domaines et services suivants sont couverts par ce programme :

neocc.co — Site web de NEO Cyber Camp
app.neocc.co — Plateforme de formation
range.neocc.co — Plateforme de cyber range
rangebyneo.co — Site web de Range by NEO

Cela inclut tous les sous-domaines et APIs servis par ces domaines.

Vulnérabilités couvertes

Nous sommes intéressés par les signalements couvrant (sans s'y limiter) :

Cross-Site Scripting (XSS)
Injection SQL (SQLi)
Contournement d'authentification et d'autorisation
Références directes non sécurisées (IDOR)
Cross-Site Request Forgery (CSRF)
Exécution de code à distance (RCE)
Server-Side Request Forgery (SSRF)
Exposition de données sensibles
Erreurs de configuration de sécurité

Hors périmètre

Les éléments suivants ne sont pas éligibles :

Attaques par déni de service (DoS/DDoS)
Ingénierie sociale ou phishing du personnel ou des utilisateurs de NEO
Attaques de sécurité physique
Spam ou injection de contenu sans impact sécuritaire
Problèmes de limitation de débit sans contournement démontré
Vulnérabilités dans des services tiers que nous ne contrôlons pas
Problèmes nécessitant un accès physique à un appareil
Problèmes connus déjà en cours de traitement
Environnements de lab étudiants — ils sont intentionnellement vulnérables pour la formation

Règles d'engagement

Ne pas accéder, modifier ou supprimer les données d'autres utilisateurs
Ne pas perturber nos services ou dégrader l'expérience des autres utilisateurs
Ne pas divulguer publiquement une vulnérabilité avant que nous ayons eu la chance de la corriger
Agir de bonne foi — tester uniquement ce qui est nécessaire pour démontrer le problème
Utiliser vos propres comptes de test dans la mesure du possible

Comment signaler

Envoyez vos découvertes à : [security@neocc.co](mailto:security@neocc.co)

Veuillez inclure :

Une description claire de la vulnérabilité
Les étapes de reproduction (aussi détaillées que possible)
L'URL, le endpoint ou le composant affecté
Votre évaluation de l'impact potentiel
Des captures d'écran ou une preuve de concept si disponible

Chiffrez les rapports sensibles avec notre clé PGP (disponible sur demande).

Délais de réponse

Accusé de réception : Sous 24 heures
Évaluation initiale : Sous 72 heures
Mises à jour : Au moins tous les 7 jours pendant que nous travaillons sur un correctif
Divulgation coordonnée : Fenêtre de 90 jours à compter du signalement initial

Récompenses

Hall of Fame : Votre nom (ou pseudo) listé sur cette page
Mention sur les réseaux : Un remerciement public sur nos comptes LinkedIn et X (Twitter)
Notre gratitude : Un remerciement personnel de notre équipe

À mesure que nous grandissons, ce programme évoluera aussi. Nous nous engageons à construire un véritable programme de bug bounty au fil du temps.

Protection juridique

Nous ne poursuivrons pas en justice les chercheurs en sécurité qui :

Agissent de bonne foi et dans le cadre de cette politique
Signalent les vulnérabilités via le canal décrit ci-dessus
N'exploitent pas les vulnérabilités au-delà de ce qui est nécessaire pour la démonstration
Ne violent pas la vie privée de nos utilisateurs

Nous considérons la recherche en sécurité menée dans le cadre de cette politique comme autorisée et nous n'engagerons pas de poursuites pour des violations accidentelles et de bonne foi.

Hall of Fame

Nous remercions chaleureusement les chercheurs en sécurité suivants pour leurs divulgations responsables :

Soyez le premier à signaler une vulnérabilité et gagnez votre place ici.

---

Dernière mise à jour : Février 2026

À propos de ce programme

Périmètre

Vulnérabilités couvertes

Hors périmètre

Règles d'engagement

Comment signaler

Délais de réponse

Récompenses

Protection juridique

Hall of Fame

Respect de votre vie privée

Divulgation responsable

À propos de ce programme

Périmètre

Vulnérabilités couvertes

Hors périmètre

Règles d'engagement

Comment signaler

Délais de réponse

Récompenses

Protection juridique

Hall of Fame