Switch Language

Cette politique décrit des lignes directrices claires sur le processus de collaboration entre Socomec et toute autre personne physique ou morale, y compris les chercheurs en sécurité, qui pourrait signaler une vulnérabilité trouvée dans les produits de Socomec.

Cette politique décrit le canal de communication mis à disposition pour signaler les vulnérabilités, notre procédure de traitement des rapports reçus (y compris nos délais de traitement pendant lesquels il est demandé au chercheur de ne pas divulguer la vulnérabilité à des tiers) et toutes les étapes de la collaboration, depuis le contact initial jusqu'au déploiement du correctif.

Socomec apprécie cette collaboration et met tout en œuvre pour traiter les rapports reçus de manière efficace et dans les meilleurs délais. Nous encourageons tout le monde à nous contacter en premier lieu et à signaler les vulnérabilités potentielles de nos produits, ce qui nous permet de fournir des mesures correctives qui servent la sécurité de nos utilisateurs et du grand public.

Socomec n'offre pas de primes aux bugs, mais notre politique de divulgation des vulnérabilités (VDP) comprend un mur de la renommée à travers lequel nous communiquerons ouvertement sur votre contribution à l'identification et à la correction des vulnérabilités de nos produits, si vous le souhaitez.

 

Champ d'application

La politique de divulgation des vulnérabilités s'applique à toute personne ou entité, notamment aux chercheurs en sécurité, et couvre toutes les vulnérabilités liées à l'ensemble des produits, applications et services de Socomec, ainsi qu'à tous les sites web de Socomec.

 

Guidelines

Veuillez respecter les directives suivantes lorsque vous signalez une vulnérabilité.

L'exposition de vulnérabilités de nos produits sur la place publique peut avoir de graves conséquences et nuire aux intérêts de Socomec. Nous nous réservons le droit d'intenter une action en justice contre toute personne physique et/ou morale qui infligerait des dommages à Socomec en négligeant et/ou en enfreignant les lignes directrices suivantes.

Do

  • Avertissez Socomec dès que possible après avoir découvert un problème de sécurité réel ou potentiel;
  • Décrivez l'emplacement de la vulnérabilité qui a été découverte et son impact potentiel;
  • Proposez une description détaillée des étapes nécessaires pour reproduire la vulnérabilité (des scripts de preuve de concept ou des captures d'écran sont utiles);
  • Rédigez votre rapport en anglais ;.
  • Mettez tout en œuvre pour éviter les violations de la vie privée, la dégradation de l'expérience utilisateur, l'interruption des systèmes de production et la destruction ou la manipulation des données;
  • N'utilisez les exploits que dans la mesure nécessaire pour confirmer la présence d'une vulnérabilité. N'utilisez pas un exploit pour compromettre ou exfiltrer des données, établir un accès persistant à la ligne de commande ou utiliser l'exploit pour passer à d'autres systèmes;
  • Agissez à ne pas divulguer publiquement une vulnérabilité signalée avant qu'un correctif ou une atténuation n'ait été publié et que vous ayez reçu l'approbation de Socomec.

Don't

  • Soumettre un volume important de rapports de faible qualité;
  • Exiger une compensation financière en échange de vos rapports;
  • Planifier des tests de déni de service de réseau (DoS ou DDoS) ou d'autres tests qui entravent l'accès à un système ou à des données ou les endommagent;
  • Réaliser un test physique (par exemple, accès au bureau), une ingénierie sociale (par exemple, hameçonnage, hameçonnage vocal) ou tout autre test de vulnérabilité non technique.

Rapport d'une vulnérabilité

Les informations soumises dans le cadre de cette politique seront utilisées à des fins défensives uniquement - pour atténuer ou corriger les vulnérabilités. Socomec ne partagera pas votre identité ou vos coordonnées sans votre autorisation expresse.

Vous pouvez soumettre vos rapports de vulnérabilité en utilisant ce formulaire ou via cyberalert@socomec.com. Les rapports peuvent être soumis de manière anonyme. Dans votre rapport, veuillez préciser :

  • Une description de la vulnérabilité;
  • L'impact potentiel de la vulnérabilité;
  • Le produit et sa version impactés;
  • Les détails CVSS : vecteur d'attaque, complexité de l'attaque, privilèges requis, interaction avec l'utilisateur, portée, et l'impact sur la confidentialité, l'intégrité et la disponibilité.

 

Ce que vous pouvez attendre de Socomec

Une fois le rapport soumis :

  • Nous vous notifierons la réception du rapport dans les 72 heures suivant sa réception;
  • Nous réaliserons la qualification de la vulnérabilité dans les 30 jours suivant la date de réception du rapport. En cas de difficultés spécifiques nous empêchant de respecter ce délai, nous communiquerons rapidement un nouveau délai raisonnable et proportionné pour réaliser cette qualification;
  • Nous remédierons à la vulnérabilité et nous publierons le correctif pour les vulnérabilités critiques et importantes dans un délai de 60 jours à compter de la date de qualification. En cas de difficultés spécifiques nous empêchant de respecter ce délai, nous communiquerons rapidement un nouveau délai raisonnable et proportionné pour compléter cette qualification.

 

Questions

Les questions relatives à cette politique peuvent être envoyées à cyberalert@socomec.com. Nous vous invitons également à contacter Socomec pour nous faire part de vos suggestions en vue d'améliorer cette politique.

Signalez un incident ou une vulnérabilité
Contactez-nous pour signaler un incident ou une vulnérabilité concernant l'un de nos produits ou services.
Signaler une vulnérabilité
Cybersécurité et protection des données
La sécurité de vos données est au cœur de nos activités. Découvrez comment notre politique en matière de cybersécurité nous permet de vous proposer des connexions fiables et sûres.
Nos engagements en faveur de la cybersécurité