Loading...

Politique de divulgation de vulnérabilités

Introduction
Cette politique de divulgation des vulnérabilités s’applique à toute vulnérabilité que vous envisagez de nous signaler. Nous vous recommandons de lire attentivement cette politique avant de signaler une vulnérabilité et d’agir en conformité avec celle-ci. Nous apprécions les personnes qui prennent le temps et l’effort de signaler des vulnérabilités de sécurité conformément à cette politique. Cependant, nous n’offrons pas de récompense financière pour la divulgation de vulnérabilités.

Signalement
Si vous pensez avoir découvert une vulnérabilité de sécurité, veuillez nous soumettre votre rapport en utilisant le lien suivant email:support.eu@valerion.com. Dans votre rapport, veuillez inclure :
· Numéro de modèle sur lequel la vulnérabilité peut être observée
· Titre de la vulnérabilité (obligatoire)
· Description de la vulnérabilité (cela doit inclure un résumé, des fichiers justificatifs et d’éventuelles mesures d’atténuation ou recommandations) (obligatoire)
· Impact (que pourrait faire un attaquant ?) (obligatoire)
· Étapes pour reproduire. Celles-ci doivent constituer une preuve de concept bénigne et non destructive. Cela permet de garantir que le rapport puisse être traité rapidement et précisément. Cela réduit également la probabilité de rapports en double ou d’exploitation malveillante de certaines vulnérabilités, telles que la prise de contrôle de sous-domaines.
· Informations de contact. Si vous souhaitez que nous assurions un suivi avec des rapports d’avancement, veuillez nous fournir suffisamment d’informations de contact, telles que nom et adresse e-mail, afin que nous puissions rester en contact avec vous. Vous n’êtes pas obligé de fournir des informations de contact pour soumettre un rapport. Veuillez noter que vos coordonnées ne seront utilisées que pour vous contacter concernant la vulnérabilité signalée et ne seront utilisées à aucune autre fin. Vos informations personnelles seront protégées comme décrit dans la Politique de confidentialité (https://valerion.com/policies/privacy-policy).

À quoi s’attendre
Après avoir soumis votre rapport, et si vous fournissez des informations de contact, nous accuserons réception de votre rapport dans un délai de 7 jours calendaires et nous nous efforcerons de le traiter dans un délai de 15 jours ouvrés. Nous vous tiendrons également informé de l’avancement, notamment :
· Mise à jour du statut de votre rapport.
· Informations nouvelles et importantes concernant votre rapport.
· Modifications des plans de correction existants.
· Plans de divulgation, le cas échéant.
La priorité de remédiation est évaluée en fonction de l’impact, de la gravité et de la complexité d’exploitation.

Le traitement ou la résolution des rapports de vulnérabilité peut prendre du temps. Vous pouvez demander un suivi sur le statut, mais il est préférable de ne pas le faire plus d’une fois tous les 14 jours. Cela permet à nos équipes de se concentrer sur la remédiation. Nous vous informerons lorsque la vulnérabilité signalée aura été corrigée, et il se peut que vous soyez invité à confirmer que la solution couvre adéquatement la vulnérabilité. Une fois votre vulnérabilité résolue, nous solliciterons la divulgation de votre rapport. Nous souhaitons harmoniser les recommandations auprès des utilisateurs concernés, nous vous invitons donc à continuer de collaborer avec nous.

Conseils

Vous ne devez PAS :
· Enfreindre toute loi ou réglementation applicable.
· Accéder à des données inutiles, excessives ou en grande quantité.
· Modifier des données dans les systèmes ou services de l’organisation.
· Utiliser des outils de scan invasifs ou destructeurs à haute intensité pour rechercher des vulnérabilités.
· Tenter ou signaler toute forme d’attaque par déni de service, par exemple en submergeant un service avec un volume élevé de requêtes.
· Perturber les services ou systèmes de l’organisation.

Période de support de sécurité
Nous prenons très au sérieux le risque croissant des menaces de sécurité pesant sur nos produits. Nous nous engageons depuis longtemps à fournir en continu des mises à jour de sécurité pour nos produits. Les modèles d’appareils bénéficient d’un support avec des mises à jour de sécurité pendant au moins 2 ans à compter de leur date de lancement, indiquée ci-dessous. Nous publions et mettons à jour régulièrement la liste des modèles d’appareils en fin de vie (EOL) ci-dessous, qui inclut les modèles d’appareils dont le support est terminé et qui ne recevront plus de mises à jour de sécurité, afin que vous puissiez vérifier si votre appareil est toujours pris en charge. *Certains modèles d’appareils peuvent bénéficier de mises à jour de sécurité pendant 3 ans ou plus, selon la situation réelle. Si une vulnérabilité de sécurité présentant un risque extrêmement élevé est révélée, nous pouvons tout de même vous fournir les mises à jour de sécurité nécessaires, même si votre appareil figure dans la liste des produits EOL.

La période de support ne sera pas réduite après la publication. Si la période de support définie est prolongée, nous mettrons à jour les listes ci-dessous dès que possible afin de vous aider à vérifier si votre appareil peut toujours recevoir des mises à jour de sécurité.