Date en vigueur : 1 juin 2026
1. Introduction
Staples/Bureau en Gros s’engage à assurer la sécurité de ses clients et des renseignements qu’ils nous partagent grâce à ses plateformes et services en ligne. Nous reconnaissons également les efforts précieux que les chercheurs en matière de sécurité déploient pour mettre en évidence les vulnérabilités et les préoccupations en matière de cybersécurité. La présente politique vise à fournir des lignes directrices claires sur la conduite d’activités de découverte de vulnérabilités et à préciser la façon de soumettre les vulnérabilités découvertes.
2. Conformité
Si vous agissez de bonne foi et respectez la présente politique, Staples/Bureau en Gros s’engage à ne pas intenter de poursuites judiciaires ni à signaler l’affaire aux forces de l’ordre. Toute ambiguïté sera résolue en faveur des chercheurs en sécurité agissant de manière éthique et responsable.
3. Exigences
La présente politique exige que vous :
nous avisiez dès que possible après avoir découvert un problème de sécurité réel ou potentiel;
fassiez tous les efforts possibles pour éviter les violations de la vie privée, la dégradation de l’expérience utilisateur, la perturbation des systèmes et la destruction ou la manipulation des données;
n’utilisiez des codes d’exploitation que dans la mesure nécessaire pour confirmer l’existence d’une vulnérabilité — n’utilisez pas un code d’exploitation pour recueillir, modifier ou supprimer des données, établir un accès persistant ni accéder à d’autres systèmes, réseaux ou applications, ni les tester; et
ne divulguiez à aucun tiers les détails de toute vulnérabilité présumée sans le consentement écrit exprès de Staples/Bureau en Gros — toute divulgation non autorisée rendra la soumission non conforme à la présente politique.
Une fois que vous avez établi qu’une vulnérabilité existe ou que vous rencontrez des données confidentielles ou sensibles (y compris des renseignements personnels, des renseignements financiers ou des renseignements exclusifs), vous devez arrêter votre test, nous aviser immédiatement et ne pas divulguer ces données à quiconque.
4. Méthodes de test
Les méthodes de test suivantes ne sont pas autorisées :
tests de déni de service ou de déni de service distribué (DoS ou DDoS) ou autres tests sous contraintes susceptibles de nuire à l’accès aux systèmes, réseaux, applications ou données, ou de les endommager, même temporairement;
accès, téléchargement ou modification de données résidant dans un compte qui ne vous appartient pas;
tests qui entraîneraient l’envoi de courriels indésirables, de pourriels, d’avis par courriel, d’appels téléphoniques, de messages texte ou d’autres formes de messages non sollicités à d’autres parties, y compris les associés, les clients ou les partenaires de Staples/Bureau en Gros;
piratage psychologique, y compris, mais sans s’y limiter, la représentation trompeuse de Staples/Bureau en Gros ou de son personnel;
intrusion ou autres tests comportant un volet de sécurité physique;
publication, transmission, téléversement, lien vers, envoi ou stockage de tout logiciel malveillant;
tests de systèmes, de réseaux, d’applications et de services tiers, même s’ils sont exploités au nom de Staples/Bureau en Gros.
5. Portée
Cette politique s’applique aux sites Web et services de la famille de Staples/Bureau en Gros suivants :
Bureauengros.com
Eway.ca
impressionbureauengros.ca
Les tests effectués en vertu de cette politique sont strictement limités aux applications Web énumérées ci-dessus. L’infrastructure réseau, les systèmes internes et les services tiers (y compris les environnements infonuagiques) sont exclus du champ d’application. Si vous croyez qu’il existe un problème de sécurité affectant Staples/Bureau en Gros hors de la portée définie, veuillez communiquer avec nous à l’adresse vulnerabilityreport@staples.ca avant d’effectuer tout test.
Nous pourrions mettre cette portée à jour au fil du temps, et nous encourageons les chercheurs à vérifier périodiquement les changements.
6. Signaler une vulnérabilité
Nous acceptons les rapports de vulnérabilité par courriel à vulnerabilityreport@staples.ca. Les rapports peuvent être soumis de façon anonyme.
Ce que nous attendons de vous
Afin de nous aider à trier et à prioriser les soumissions, nous recommandons que votre rapport :
décrive tous les détails de la vulnérabilité et de son emplacement;
fournisse des instructions étape par étape pour que nous puissions valider et reproduire la constatation; et
comprenne tout scénario de preuve de concept ou artéfacts qui en résultent, comme les captures d’écran.
Ce à quoi vous pouvez vous attendre de nous
Si vous soumettez une vulnérabilité de sécurité valide conformément à cette politique, nous :
accuserons réception du rapport dans les 5 jours ouvrables;
communiquerons avec vous pour comprendre et valider le problème au besoin; et
traiterons la vulnérabilité soumise, le cas échéant, conformément à l’évaluation de Staples/Bureau en Gros.
Veuillez noter que Staples/Bureau en Gros n’exploite pas de programme de primes aux bogues et qu’aucune compensation n’est offerte en échange du signalement de problèmes potentiels.
Staples/Bureau en Gros peut modifier les conditions de la présente politique ou mettre fin à la présente politique en tout temps.
7. Questions
Si vous avez des doutes sur la portée, les méthodes de test acceptables ou toute autre disposition de la présente politique, nous vous encourageons à communiquer avec nous d’abord à vulnerabilityreport@staples.ca. Nous vous invitons également à communiquer avec nous pour nous faire part de suggestions visant à améliorer cette politique.