# security.txt — CHU de Brest (RFC 9116)
Contact: mailto:LD_cyberalerte@chu-brest.f
Contact: mailto:protection.donnees@chu-brest.fr
Encryption: https://www.chu-brest.fr/.well-known/pgp-public-key.txt
Policy: https://www.chu-brest.fr/vulnerability-disclosure.html
Preferred-Languages: fr, en
Canonical: https://www.chu-brest.fr/.well-known/security.txt
Expires: 2026-01-31T23:59:59Z
# Utilisez le chiffrement pour transmettre des informations sensibles.
# Merci d'éviter toute action déstabilisante (DoS, exfiltration, etc.).
# Le CHU de Brest est un établissement public de santé.
# Nous ne rémunérons pas les découvertes de vulnérabilités
# mais nous apprécions la démarche.
# Nous vous remercions d'aider la communauté hospitalière.
- Autorisé : tests non-destructifs, proof of concept minimal, sans perturbation de service, ni accès aux données de santé réelles.
- Interdit : DDoS, ransomware, exfiltration, social engineering ciblant le personnel.
- Si vous accédez involontairement à des données sensibles, stoppez vos tests et signalez-le nous immédiatement.
Chiffrement (Encryption)
Pour transmettre des informations sensibles (exploits, traces, extraits de configuration, etc.),
nous recommandons de chiffrer votre message avec notre clé PGP publique.
Si vous ne pouvez pas chiffrer votre message, signalez-le explicitement : un canal sécurisé temporaire vous sera proposé (TCHAP par exemple).
Divulgation coordonnée & publication
Nous privilégions une divulgation coordonnée : le chercheur nous alerte en privé, nous corrigeons,
puis nous publions des informations techniques minimales. Sauf opposition explicite, nous pouvons citer
le nom/pseudonyme du chercheur.
Clause de « safe harbor »
Si vous respectez cette politique et agissez de bonne foi, nous n'engagerons pas de poursuites
ni de signalement aux autorités pour les activités de recherche de vulnérabilités menées dans le périmètre autorisé.