Politique de divulgation des vulnérabilités

Les systèmes informatiques sont exposés à des menaces et à des attaques dont les conséquences peuvent être dramatiques. Il est essentiel d’assurer la protection de ces systèmes informatiques pour garantir leur sécurité.
Les produits que nous fournissons sont souvent au cœur d’environnements sensibles, dans le contrôle de processus automatisés ou dans des systèmes conçus pour assurer la sécurité des personnes et des biens. C’est pourquoi nous concevons nos produits en suivant des processus et en utilisant des technologies qui contribuent à la sécurité de ces systèmes. Cependant, malgré tous nos efforts, nos produits peuvent contenir des vulnérabilités susceptibles de mettre en péril la sécurité des systèmes dans lesquels ils sont intégrés.
La politique de divulgation des vulnérabilités d’ARC Informatique porte sur le traitement des vulnérabilités de sécurité affectant les produits et services d’ARC Informatique (collectivement désignés par le terme « Produit »). Il est conçu pour garantir que les vulnérabilités sont qualifiées, que leur impact est évalué et que des informations précises sont fournies en temps utile pour aider les propriétaires d’actifs à maintenir leurs systèmes sûrs et sécurisés.
ARC Informatique adhère aux principes de divulgation responsable et s’engage à collaborer avec les chercheurs, les CERT, les utilisateurs de produits et les autorités. Tout le monde est encouragé à faire part de ses constatations. Nous attendons des découvreurs, qu’il s’agisse d’une personne ou d’une organisation ayant découvert une vulnérabilité potentielle, qu’ils adhèrent aux mêmes principes. ARC Informatique demande aux découvreurs de s’engager à ne pas divulguer la vulnérabilité sans l’accord d’ARC Informatique tant qu’elle n’a pas été résolue, à ne pas utiliser la vulnérabilité à des fins d’exploitation au-delà du minimum nécessaire pour la démontrer, et à ne pas tirer parti de la vulnérabilité découverte d’une manière qui pourrait avoir des conséquences néfastes.
Dans le cadre de cette politique, une vulnérabilité est une faiblesse logicielle qui peut être utilisée de manière abusive pour provoquer un comportement involontaire, avec un impact potentiel sur la sûreté ou la sécurité d’un système affecté. Nous nous appuyons sur les retours d’expérience pour concevoir des produits plus sûrs et plus sécurisés.

1. Les rapports

Pour signaler une faille de sécurité, vous pouvez contacter ARC Informatique en utilisant le point de contact décrit dans la section Contact.
Lors de la soumission d’un rapport de vulnérabilité, nous attendons du chercheur qu’il fournisse au moins les informations suivantes :

  • Nom du produit avec son numéro de fabrication et le composant concerné
  • Description détaillée de la vulnérabilité potentielle et de son impact
  • Conditions préalables à l’installation ou à la configuration
  • Preuve de concept ou code d’exploitation, le cas échéant
  • Instructions étape par étape
  • Toute autre information pertinente

ARC Informatique traite les informations signalées en toute sécurité et applique les normes de l’industrie pour préserver la confidentialité des informations.
Les données personnelles de l’auteur de la recherche ne sont utilisées que pour entreprendre des actions concernant les failles de sécurité signalées. Nous ne divulguerons pas vos informations personnelles à des tiers sans autorisation, sauf si la loi l’exige.

2. L’évaluation

ARC Informatique s’engage à accuser réception d’un rapport reçu dans les 5 jours ouvrables.
Nos équipes enquêtent sur la vulnérabilité signalée. Si nécessaire, nous pouvons demander des informations supplémentaires et procéder à une évaluation des risques en tenant compte de la configuration type du produit concerné. Les progrès et les conclusions de l’analyse sont communiqués à l’auteur de la recherche, et une évaluation CVSS préliminaire est effectuée.
Un processus de notification d’alerte précoce est en place pour permettre à ARC Informatique de remplir ses obligations légales et contractuelles chaque fois que cela est possible.

3. Atténuation et correctifs

Dans la mesure du possible, ARC Informatique développe un correctif qui corrige la cause première de la vulnérabilité et fournit des mesures d’atténuation.
Le chercheur est informé de l’avancement des travaux et peut participer à la validation de la parcelle et des mesures d’atténuation proposées.
Jusqu’à la fin de la période d’embargo, et dans le seul but de limiter les risques pour les propriétaires d’actifs, le dénicheur s’engage à ne divulguer aucune information.

4. Divulgation

Dès qu’un remède est disponible, qu’il s’agisse d’un ensemble de mesures d’atténuation ou d’un correctif, ARC Informatique prépare et coordonne la publication d’un bulletin de sécurité. Les bulletins de sécurité sont mis à la disposition du public sur le site web d’ARC Informatique.
Un CVE est attribué aux vulnérabilités avant leur publication, le cas échéant.
Un bulletin de sécurité contient les informations suivantes :

  • Description générale de la vulnérabilité, y compris le score CVSS et l’identifiant CVE associé.
  • Impact en cas d’exploitation
  • Produits et versions concernés
  • Description des mesures d’atténuation éventuelles
  • Description des correctifs et instructions pour leur déploiement

Avec l’accord de l’auteur de la recherche, le crédit est accordé pour un rapport et une collaboration responsables.

5.Contact

N’hésitez pas à nous contacter si vous souhaitez signaler une faille de sécurité.
Les informations utiles à inclure dans votre rapport sont détaillées dans la section Rapport.
Nos équipes peuvent être jointes avec des rapports en anglais ou en français, nos bureaux étant situés en France.
Courriel : secure@arcinfo.com
Fichier de clé publique PGP
PGP Fingerprint : F45A 2E7A 8E04 F94C 6A1D 8854 5BFD CE3C C773 0F28

6. Liens utiles