Ward³
ENFR
Retour à l'accueil

Sécurité

Dernière mise à jour : 22/05/2026

Ward³ développe des logiciels de détection adversariels. Nous nous tenons aux mêmes standards que ceux que nous demandons à nos clients. Cette page couvre la divulgation responsable pour la plateforme Ward³ et pour ce site, ainsi qu'un résumé de la posture de sécurité de la plateforme.

Signaler une vulnérabilité

Si vous pensez avoir trouvé un problème de sécurité dans la plateforme Ward³, ce site ou tout artefact associé, écrivez à security@ward3.ai. Utilisez PGP si possible — l'empreinte de notre clé est publiée à /security/pgp.txt. Nous visons un accusé de réception sous 2 jours ouvrés et un triage sous 5. Nous n'engagerons pas de poursuites contre les chercheurs de bonne foi qui suivent ce processus et ne sortent ni n'altèrent de données au-delà du nécessaire pour démontrer le problème.

Périmètre

Dans le périmètre : ward3.ai, l'implémentation de référence ouverte de Ward³, les artefacts de release signés et tout service explicitement opéré par Ward³. Hors périmètre : les services tiers vers lesquels nous renvoyons, les déploiements de la plateforme Ward³ opérés par les clients (signaler à l'équipe sécurité du client), et les findings nécessitant un accès physique au matériel de production.

Posture de sécurité de la plateforme

La plateforme Ward³ est livrée avec des garanties intégrées d'intégrité, de gouvernance et d'audit : artefacts d'inférence signés cryptographiquement vérifiés au chargement, registre de modèles append-only avec provenance complète, ledger d'audit chaîné par hash signé avec des primitives post-quantiques alignées NIST, quorum multi-parties (secret sharing de Shamir) pour les actions à fort impact, et cérémonie War Mode à 4 yeux pour les actions d'enforcement à débit ligne.

Chaîne d'approvisionnement

Les artefacts de release sont produits par builds reproductibles et attestés avec Sigstore. Le registre de modèles trace le hash du dataset d'entraînement, l'identifiant du run et le commit du code pour chaque artefact d'inférence déployé. Un SBOM est publié avec chaque release.

Primitives cryptographiques

Des signatures post-quantiques (ML-DSA, alignées NIST) sont utilisées de bout en bout sur le ledger d'audit et les opérations de quorum. L'encapsulation de clés post-quantique (ML-KEM) est utilisée pour les canaux confidentiels. Les primitives classiques restent en place là où la compatibilité écosystème l'impose (TLS, JWT).

Contact

Sécurité : security@ward3.ai. Clé PGP : /security/pgp.txt. Pour les demandes non liées à la sécurité, utilisez le formulaire de demande d'accès.