A vulnerability disclosure policy (VDP), also referred to as a responsible disclosure policy, describes how an organization will handle reports of vulnerabilities submitted by ethical hackers. A VDP must thus be easily identifiable via a simple way, a security.txt notice.

---
Contact: [hebergement@louvre.fr, ssi@louvre.fr]
Expires: 2024-01-01T00:00:00.000Z
Preferred-Languages: [fr, en]
---

# Version Française

Voici les lignes directives s'appliquant aux activités liées à vos recherches sur la sécurité du site :

- Informez-nous dès que possible après avoir découvert un problème de sécurité réel ou potentiel.
- Faites tout votre possible pour éviter les violations de la vie privée, la dégradation de l'expérience utilisateur, la perturbation des systèmes de production et la destruction ou la manipulation des données.
- N'utilisez les failles que dans la mesure nécessaire pour confirmer la présence d'une vulnérabilité. N'utilisez pas une faille pour compromettre ou exfiltrer des données, établir un accès en ligne de commande persistant, ou utiliser la faille pour pivoter vers d'autres systèmes.
- Donnez-nous un délai raisonnable pour résoudre le problème avant de le divulguer publiquement.
- Ne soumettez pas un grand nombre de rapports de mauvaise qualité.

Les vecteurs d'attaque suivants sont strictement interdits :
- DoS / DDoS
- Physical testing
- Social engineering

Le Musée du Louvre vous tiendra informé de l'évaluation du rapport envoyé et du progrès quant à la résolution du problème identifié dans ce rapport.


# English Version

Below, the guidelines applying for the activities linked to your security research:

- Notify us as soon as possible after you discover a real or potential security issue.
- Make every effort to avoid privacy violations, degradation of user experience, disruption to production systems, and destruction or manipulation of data.
- Only use exploits to the extent necessary to confirm a vulnerability's presence. Do not use an exploit to compromise or exfiltrate data, establish persistent command line access, or use the exploit to pivot to other systems.
- Provide us a reasonable amount of time to resolve the issue before you disclose it publicly.
- Do not submit a high volume of low-quality reports.

The following attack vectors are strictly prohibited:
- DoS / DDoS
- Physical testing
- Social engineering

The Musée du Louvre will keep you informed of the evaluation of the report sent and of the progress towards resolving the problem identified in this report.