Contact: security@aeroflystudio.com Expires: 2027-04-01T00:00:00.000Z Preferred-Languages: fr, en Canonical: https://aeroflystudio.manus.space/.well-known/security.txt # Politique de Sécurité — Aérofly Studio ## 1. Signalement de Vulnérabilités Si vous découvrez une vulnérabilité de sécurité, veuillez la signaler **confidentiellement** à : **Email** : security@aeroflystudio.com **Délai de réponse** : Nous nous engageons à répondre dans les 48 heures. **Processus** : 1. Envoyez un email détaillé décrivant la vulnérabilité 2. Incluez les étapes de reproduction et l'impact potentiel 3. Nous confirmerons la réception et commencerons l'investigation 4. Nous vous tiendrons informé de la progression 5. Une fois corrigée, nous vous remercierons publiquement (sauf si vous préférez rester anonyme) ## 2. Politique de Divulgation Responsable - **Délai de divulgation** : 90 jours après la notification - **Embargo** : Les détails techniques ne seront pas divulgués avant la correction - **Reconnaissance** : Les chercheurs en sécurité seront reconnus dans nos remerciements de sécurité ## 3. Domaines Couverts Cette politique s'applique à : - aeroflystudio.manus.space - Tous les domaines personnalisés liés à Aérofly Studio - Les services et APIs associés ## 4. Domaines Exclus Les tests de sécurité ne doivent **pas** inclure : - Attaques par déni de service (DoS/DDoS) - Phishing ou ingénierie sociale - Accès physique aux installations - Tests sur les employés - Modification de données ## 5. Mesures de Sécurité en Place ### En-têtes HTTP de Sécurité - Content-Security-Policy (CSP) : Restriction des ressources externes - X-Frame-Options : Protection contre le clickjacking - X-Content-Type-Options : Prévention du MIME sniffing - Referrer-Policy : Contrôle des informations de référent - Permissions-Policy : Restriction des fonctionnalités du navigateur ### Chiffrement - HTTPS obligatoire sur tous les domaines - Certificats SSL/TLS valides ### Authentification - Validation des formulaires côté client et serveur - Protection CSRF sur les formulaires - EmailJS pour la gestion sécurisée des emails ### Gestion des Données - Pas de stockage de données sensibles côté client - Conformité RGPD pour les données personnelles - Suppression automatique des logs après 30 jours ## 6. Responsable de Sécurité **Nom** : Fabrice Toublanc **Titre** : Télépilote Professionnel & Responsable Technique **Email** : contact@aeroflystudio.com ## 7. Historique des Mises à Jour de Sécurité - **2026-04-01** : Politique de sécurité initiale créée - En-têtes HTTP de sécurité configurés - Audit de sécurité complété ## 8. Ressources Supplémentaires - [OWASP Top 10](https://owasp.org/www-project-top-ten/) - [RFC 9110 - Security.txt](https://tools.ietf.org/html/rfc9110) - [Mozilla Security Guidelines](https://infosec.mozilla.org/) --- **Dernière mise à jour** : 1er avril 2026 **Prochaine révision** : 1er avril 2027