Service clientRéponse aux incidents Politique de divulgation des vulnérabilités
Retour

Politique de divulgation des vulnérabilités

Les systèmes informatiques sont exposés à des menaces et des attaques aux conséquences potentiellement dramatiques. Il est essentiel d’assurer la protection de ces systèmes informatiques pour garantir leur sûreté et leur sécurité. Les produits que nous fournissons sont souvent au cœur d’environnements sensibles, dans le contrôle de processus automatisés ou dans des systèmes destinés à assurer la sécurité des personnes et des biens. À ce titre, nous concevons nos produits en suivant des processus et en utilisant des technologies qui contribuent à la sécurité de ces systèmes. Cependant, malgré tous nos efforts, nos produits peuvent contenir des vulnérabilités susceptibles de mettre en péril la sécurité des systèmes dans lesquels ils sont intégrés. La politique de divulgation des vulnérabilités d’ARC Informatique traite du traitement des vulnérabilités de sécurité affectant les produits et services d’ARC Informatique (collectivement désignés comme « Produit »). Il est conçu pour garantir que les vulnérabilités sont qualifiées, leur impact évalué et que des informations précises sont fournies en temps opportun pour aider les propriétaires d’actifs à assurer la sécurité de leurs systèmes. ARC Informatique adhère aux principes de divulgation responsable et s’engage à collaborer avec les chercheurs, les CERT, les utilisateurs de produits et les autorités. Tout le monde est encouragé à rapporter ses résultats. Nous attendons des personnes qui ont découvert une vulnérabilité potentielle, qu’il s’agisse d’un individu ou d’une organisation, qu’elles adhèrent aux mêmes principes. ARC Informatique demande que les découvreurs s’engagent à ne pas divulguer la vulnérabilité sans le consentement d’ARC Informatique jusqu’à ce qu’elle soit résolue, à ne pas utiliser la vulnérabilité à des fins d’exploitation au-delà du minimum nécessaire pour la démontrer, et à ne pas tirer parti de la vulnérabilité découverte d’une manière qui aurait pu conséquences néfastes. En tant que CNA pour ses Produits & Services, l’équipe de Réponse aux Incidents d’ARC Informatique fonctionne selon les règles de l’Autorité de Numérotation CVE. Dans le contexte de cette politique, une vulnérabilité est une faiblesse logicielle dont on peut abuser pour provoquer un comportement involontaire, avec un impact potentiel sur la sûreté ou la sécurité d’un système affecté. Nous exploitons les commentaires pour concevoir des produits plus sûrs et plus sécurisés.

RAPPORTS

Pour signaler une faille de sécurité, vous pouvez contacter ARC Informatique en utilisant le point de contact décrit dans la rubrique Contact. Lors de la soumission d’un rapport de vulnérabilité, nous attendons du déclarant qu’il fournisse au moins les informations suivantes :

  1. Nom du produit avec son numéro de fabrication et le composant concerné
  2. Description détaillée de la vulnérabilité potentielle et de son impact
  3. Conditions préalables à l’installation ou à la configuration
  4. Preuve de concept ou code d’exploitation, le cas échéant
  5. Instructions étape par étape
  6. Toute autre information pertinente

ARC Informatique traite les informations signalées en toute sécurité et applique les normes de l’industrie pour préserver la confidentialité des informations. Les données personnelles de l’auteur de la recherche ne sont utilisées que pour entreprendre des actions concernant les failles de sécurité signalées. Nous ne divulguerons pas vos informations personnelles à des tiers sans autorisation, sauf si la loi l’exige.

ÉVALUATION

ARC Informatique s’engage à accuser réception d’un rapport reçu dans les 5 jours ouvrables. Nos équipes enquêtent sur la vulnérabilité signalée. Si nécessaire, nous pouvons demander des informations supplémentaires et procéder à une évaluation des risques en tenant compte de la configuration type du produit concerné. Les progrès et les conclusions de l’analyse sont communiqués à l’auteur de la recherche, et une évaluation CVSS préliminaire est effectuée. Un processus de notification d’alerte précoce est en place pour permettre à ARC Informatique de remplir ses obligations légales et contractuelles chaque fois que cela est possible.

ATTENUATION DES CORRECTIFS

Dans la mesure du possible, ARC Informatique développe un correctif qui corrige la cause première de la vulnérabilité et fournit des mesures d’atténuation. Le déclarant est informé de l’avancement des travaux et peut participer à la validation de la parcelle et des mesures d’atténuation proposées. Jusqu’à la fin de la période d’embargo, et dans le seul but de limiter les risques pour les propriétaires d’actifs, le dénicheur s’engage à ne divulguer aucune information.

DIVULGATION

Dès qu’un remède est disponible, qu’il s’agisse d’un ensemble de mesures d’atténuation ou d’un correctif, ARC Informatique prépare et coordonne la publication d’un bulletin de sécurité. Les bulletins de sécurité sont mis à la disposition du public sur le site web d’ARC Informatique. Un CVE est attribué aux vulnérabilités avant publication, le cas échéant. Un bulletin de sécurité contient les informations suivantes :

  1. Description générale de la vulnérabilité, y compris le score CVSS et l’identifiant CVE associé.
  2. Impact en cas d’exploitation
  3. Produits et versions concernés
  4. Description des mesures d’atténuation éventuelles
  5. Description des correctifs et instructions pour leur déploiement

Avec l’accord du déclarant, le crédit est accordé pour un rapport et une collaboration responsables.

CONTACT

N’hésitez pas à nous contacter si vous souhaitez signaler une faille de sûreté ou de sécurité. Les informations utiles à inclure dans votre rapport sont détaillées dans la section Rapports . Nos équipes sont joignables avec des rapports en anglais ou en français, nos bureaux sont situés en France. E-mail : secure@arcinfo.com Fichier de clé publique PGP Empreinte digitale PGP : F45A 2E7A 8E04 F94C 6A1D 8854 5BFD CE3C C773 0F28