Conditions Générales de Services WebSure ATHENA GLOBAL SERVICES, représentant exclusif de la marque Websure ; 20, allée Louis Calmanovic, 93320 Les Pavillons Sous Bois. 1 OBJET Websure, réalise certaines prestations d audits de sécurité Web afin de détecter d éventuelles failles de sécurité dans un site internet. Websure a pour activité de tester les sites internet. A la demande du client, il organise des tentatives d intrusion dans un site internet en ayant recours à des moyens susceptibles d être mis en oeuvre par des «hackers» ou «pirates informatiques». Le présent Contrat de services a pour objet de déterminer les conditions dans lesquelles Websure exécutera, à la demande du client, un test de vulnérabilité d un site internet dont il est responsable. L intervention qui fait l objet de ce contrat correspond, selon la clé achetée, aux prestations suivantes : «WebSure audit» est un audit semi automatisé réalisé par un expert ; «WebSure indeep Audit» est un audit semi automatisé réalisé par un expert utilisant les dernières technologies d analyse et de scan de sites web équivalent à «WebSure Audit» mais comprenant en supplément une analyse approfondie des failles et de leur position dans le code; «WebSure Essential» est un audit complet mais «brut» en anglais livré sans aucune interprétation par un de nos spécialistes. Rappel important : 1 Les services Websure sont conçus pour analyser une application cible d'une manière non intrusive. Toutefois, il est recommandé de réaliser l audit sur un environnement de test, où d avoir fait au préalable une sauvegarde complète de vos systèmes si l audit se réalise sur le serveur de production. Il est possible dans des cas isolés que lors de notre audit, notre outil altère ou bien modifie des éléments de la base de données. Le responsable du site ou l administrateur du site du client doit donc s assurer qu il a bien réalisé une sauvegarde complète du site avant le lancement de l outil d analyse et choisir une période d analyse où il y aura peu d affluence sur le site. Le prestataire décline toute responsabilité quand aux problèmes générés chez le client par l audit, et rappelle qu un audit de sécurité Web peut engendrer des problèmes pouvant aller jusqu à l indisponibilité totale du site.
2 Lorsque nous auditons un site en ligne, les services Websure exécutent leurs tests à une intensité de 10 connexions parallèles avec le serveur web. C'est comme avoir 10 utilisateurs naviguant sur votre site en même temps. Cela peut impliquer un ralentissement de votre serveur, pouvant aller jusqu à l interruption de services dans certains cas. C est pourquoi nous vous préconisons fortement de réaliser votre audit sur un serveur de test. Si votre site de test est placé sur le même serveur que votre site de production, cela peut générer des problèmes de disponibilités allant jusqu à l interruption de services. 3 Si l option «mod_rewrite» est activée, nous vous conseillons dans le cas de l audit «Websure Essential» de désactiver les règles de réécriture. Dans le cas de l offre «Websure audit» et «Indeep audit», il est préférable de le désactiver. Vous pourrez fournir ces paramètres lors de l entretien téléphonique préalable à l audit avec un technicien Websure. Sans cette précaution il est possible que notre audit ne puisse pas déterminer correctement la structure du site, et l identification de certains paramètres qui doivent être testés. 4 Dans le cas où vous souhaitez que l audit soit réalisé sur une partie de votre site nécessitant une authentification, vous pourrez fournir ces paramètres lors de l entretien téléphonique préalable à l audit avec un technicien Websure. NB : Dans le cadre de l audit Websure Essential, l audit sera réalisé uniquement sur les parties du site accessibles sans authentification. 5 Il est préférable d'avertir l'entité d'hébergement qu'une analyse de vulnérabilité sera réalisée (voir éventuellement leurs conditions générales). En effet, une évaluation de la vulnérabilité web peut sembler être une tentative de piratage et de violation de la propriété intellectuelle. Nous pouvons être en mesure de vous demander de modifier la configuration de votre firewall afin de nous permettre de réaliser l audit sans être détecté comme une menace ou une attaque malveillante, et nous permettre de mener à terme l audit. 6 Pour obtenir un résultat précis de notre service «WebSure InDeep Audit», cela requiert une manipulation de votre part sur votre site Internet. A cette fin, nous vous invitons à vérifier que vous même ou l administrateur du site disposez des droits d accès pour ajouter un fichier dans le répertoire de votre site et modifier la configuration du serveur web. En cas de doute, n hésitez pas à contacter notre Support Technique pour déterminer si vous êtes en mesure de réaliser ces actions et vous guider lors de ce processus. En aucun cas Websure ne pourra être déclaré responsable du fait de la destruction, de la perte ou de la non disponibilité du ou des sites internet ou des serveurs du Testeur. Le Client fait son affaire personnelle de ces difficultés, des risques informatiques associés et s'engage à prendre toutes les dispositions nécessaires pour protéger et sauvegarder ses données. Le client s engage à fournir ses coordonnées car il est sera obligatoirement contacté pour mener à bien la prestation objet de ce contrat. Websure s engage expressément à ne pas utiliser les coordonnées du client, si cela n est pas dans un but relatif à l objet de ce présent contrat. Websure ne pourra être tenu responsable, à quelque
titre que ce soit, des dommages matériels, incorporels ou corporels, de quelque nature qu ils soient, consécutifs aux services, objet des présentes. 2 DEFINITION DES SERVICES 2.1 Websure audit : «WebSure audit» est un audit semi automatisé réalisé par un expert utilisant les dernières technologies d analyse et de scan de sites web. Son audit comprendra une analyse détaillée des failles rencontrées à l attention des développeurs du client (en anglais), ainsi qu une synthèse «accessible» en français à l attention des dirigeants de l entreprise cliente. 2.2 Websure indeep Audit : «WebSure indeep Audit» est un audit semi automatisé réalisé par un expert utilisant les dernières technologies d analyse et de scan de sites web équivalent à «WebSure Audit» mais comprenant en supplément une analyse approfondie des failles et de leur position dans les milliers de lignes de programmation du site client. Cette fonction InDeep permet donc aux développeurs de retrouver immédiatement et sans recherche fastidieuse les lignes où se situent les failles. Cet audit «indeep» ne peut être réalisé que sur les sites développés en langages PHP 5 et ASP.NET. L audit comprendra une analyse détaillée des failles rencontrées pour les développeurs du client (en anglais) avec les positions des failles ainsi qu une synthèse «accessible» en français à l attention des dirigeants de l entreprise cliente. 2.3 Websure Essential : «WebSure Essential» est un audit complet mais «brut» en anglais livré au client sans aucune interprétation ni intervention par un de nos spécialistes. L objet de cette version est de délivrer un audit à très bas coût pour les clients qui veulent s assurer d'avoir un site web verifié par Websure. Le professionnel pourra acheter les audits àl'unité ou par carnet de 10 audits et doit s assurer qu il est capable d interpréter les résultats en Anglais de l audit pour effectuer les corrections. 3 MODALITES DE L'INTERVENTION L intervention se déroule en 5 phases : Achat et enregistrement de la clef correspondant à l audit Appel téléphonique d un consultant WebSure pour confirmer certaines informations (sauf dans le cas de l offre «Websure Agency» pour laquelle il n y a pas d intervention) Lancement de l audit online Analyse et réalisation du rapport Livraison «online» du ou des rapports d audit. 4 CONFIDENTIALITE
Websure s'engage à prendre toutes les mesures nécessaires pour assurer la confidentialité des informations auxquelles il est amené à avoir accès. En conséquence, Websure s engage expressément : à respecter définitivement le caractère confidentiel de ces informations et/ou documents et/ou codes d accès et à prendre toutes mesures utiles pour empêcher, sauf autorisation écrite et préalable du client, la divulgation volontaire ou involontaire, directement ou indirectement, à toute personne autre que ses employés ou collaborateurs concernés par le présent Contrat. A n utiliser ces informations et/ou documents et/ou codes d accès que pour le compte du client. A n effectuer aucune duplication, de quelque nature que ce soit, des informations et/ou documents et/ou codes d accès. A restituer au client un rapport suite à la réalisation de l audit. Le rapport d audit sera disponible en ligne en téléchargement pour le Client pendant 3 jours. Au terme de cette période, le rapport sera effacé afin de garantir la sécurité des entreprises auditées. Néanmoins il sera possible de récupérer de nouveau ce rapport en suivant la démarche de récupération d un rapport. Pour cela nous vous invitons à prendre contact avec Websure. Le rapport sera envoyé au contact indiqué lors de l enregistrement de la clé. A prendre toutes les mesures nécessaires à l égard de son personnel afin que celui ci respecte l engagement de confidentialité, tel que prévu au présent article 5 OBLIGATIONS DE WEBSURE Websure s engage expressément à ne pas débuter l exécution du Test de vulnérabilité avant d avoir pris contact avec le client, et valider avec lui certaines informations : Date de début du test ; Possibilité d arrêter le test, et si oui au bout de combien de temps ; Confirmation de sauvegarde effectuée ; Si non, le client final souhaite t il réaliser l audit sans sauvegarde? Dans quel environnement est fait l audit? Production, test ; Y a t il des identifiants pour accéder au site? Ont ils été fournis? Websure s engage expressément à ne pas continuer l exécution du Test de vulnérabilité après la date de fin de l audit, la date d arrêt décidée par le client, ou bien la remise du rapport. Websure s engage expressément à interrompre immédiatement l exécution du Test de vulnérabilité sur toute demande écrite émanant du client. Dans l exécution technique du Test de vulnérabilité, Websure s engage expressément à ne poursuivre aucun autre objectif que l Objectif du Test de vulnérabilité. Si Websure n a pas pu réaliser l audit dans les délais impartis, Websure s engage à en informer le client, et à convenir d un nouvel intervalle de temps pour réaliser l audit.
Websure s engage à signaler sans délai au client tous les éléments qui lui paraîtraient de nature à compromettre la bonne exécution de ses prestations. Websure s engage à fournir au client un rapport d audit suite à l exécution du service. 6 OBLIGATIONS DU CLIENT Le client s engage expressément à ne pas engager de poursuites judiciaires à l encontre de Websure en se basant sur les articles 323 1 à 321 7 du code pénal français pour toutes les actions effectuées durant la période définie dans le cadre du présent Contrat. Le client s'engage à demander l'accord express de tous ses fournisseurs et clients potentiellement impactés par l'audit réalisé, et ne pourra engager de poursuites judiciaires à l'encontre du prestataire en cas d'interruption de service chez ceux ci. En aucun cas le client ne pourra revendre les services décrits dans ce contrat à une entité qui ne serait pas celle qui est auditée par Websure. Concernant le service proposé dans le cadre de «Websure Agency», l usage des clés est strictement professionnel, et il est interdit au client de revendre ce service. Le rapport généré dans ce cadre est un rapport destiné aux développeurs de site internet et n est pas fait pour être diffusé. Ce service s adresse aux «Web Agencies» souhaitant offrir à leurs clients une valeur ajoutée à leur offre en termes de sécurité. Il est considéré comme «Web Agencies» tous clients étant fabricant, revendeur, ou réparateur de sites Internet. Tout client ne respectant pas les points précisés dans ce contrat peut se voir interdire l utilisation des services Websure, et engage sa responsabilité. 7 FORCE MAJEUR Websure ne pourra être tenu pour responsable de tous manquements à ses obligations envers le Client si les motifs sont indépendants de sa volonté. Seront également considérés comme cas de force majeure, notamment, les guerres civiles ou étrangères, les restrictions gouvernementales, embargo, grèves générales ou celles pouvant affecter le fonctionnement des services du Client, de même que les événements tels : explosions, incendies, inondations, tempêtes, etc..., normalement couvert par police d'assurance. Les grèves et conditions météorologiques affectant et rendant les déplacements impossible ou périlleux. 8 DELAIS La réalisation de l intervention et des prestations décrites ci dessus se fera dans un intervalle de temps convenu entre Websure et le Client. Lors de l enregistrement de la clé, il doit y avoir un délai minimum de 3 jours entre la date de début et la date de fin de l audit. En cas de dépassement de ce délais, Websure informera le Client, et ils pourront convenir de nouvelles dates ensemble. Il appartient au client de s entendre avec Websure afin de convenir d une date permettant d assurer ladite prestation.
9 RESILIATION En cas de manquement par l'une des parties aux obligations des présentes, l'autre partie pourra faire valoir la résiliation du contrat nonobstant tous dommages et intérêts auxquels elle pourrait prétendre. 10 NON VALIDITE PARTIELLE Si une ou plusieurs stipulations du présent contrat sont tenues pour non valides ou déclarées par une décision définitive d'une juridiction compétente, les autres stipulations garderont toute leur force et leur portée. 11 LOI ET ATTRIBUTION DE COMPETENCE Le présent contrat est soumis à la loi française. En cas de litige, compétence expresse est attribuée au Tribunal de Commerce de Bobigny (93) 12 INTEGRALITE DU CONTRAT La présente convention exprime l'intégralité des obligations des parties. Aucune indication, aucun document ne pourra engendrer des obligations au titre de la présente s'il ne fait l'objet d'un avenant signé par les deux parties. Le fait pour l'une des parties de ne pas se prévaloir d'un manquement à l'une quelconque des obligations ne saurait être interprété dans l'avenir comme une renonciation à l'obligation en cause.