Introduction

Chez Sonova, nous nous engageons à garantir la sécurité et la résilience de nos produits et services associés. Nous comprenons que malgré nos efforts, des vulnérabilités peuvent survenir. Chacun est encouragé à signaler les vulnérabilités suspectées ou les préoccupations de sécurité liées à nos produits ou à leurs logiciels ou infrastructures sous-jacents. Cela inclut les chercheurs en sécurité, les clients et consommateurs finaux, les CERT (équipes d'intervention d'urgence informatique), les groupes industriels, les partenaires et toutes les autres parties prenantes.

Avant de soumettre un rapport, veuillez lire attentivement cette politique et vous assurer que vos actions sont conformes à ses directives.

Signaler une vulnérabilité

Nous demandons à toute personne qui pense avoir découvert une vulnérabilité de sécurité potentielle dans nos produits ou services associés de nous la signaler dès que possible par l'intermédiaire de notre service client.

Lors de la soumission d'un rapport, veuillez suivre ces directives :

  • Fournissez des informations détaillées sur la vulnérabilité potentielle, y compris une description claire et les étapes pour reproduire la découverte. Vous trouverez un modèle pour signaler votre découverte en annexe.
  • Évitez toute action susceptible de nuire à la confidentialité, à l'intégrité, à la disponibilité ou à la sécurité de nos produits et services ou de nos données. Veuillez vous abstenir de causer tout préjudice matériel, d'altérer des données, d'abuser de l'escalade de privilèges ou de télécharger plus de données que nécessaire pour démontrer la vulnérabilité.
  • Maintenez la confidentialité de vos découvertes jusqu'à ce que nous ayons achevé notre enquête et mis en œuvre les mesures nécessaires. Cela contribue à protéger nos utilisateurs et garantit une gestion responsable des problèmes de sécurité.
  • Veuillez nous informer à l'avance de votre intention de divulguer publiquement la vulnérabilité.
  • Veuillez fournir vos coordonnées, telles qu'une adresse e-mail ou un numéro de téléphone, afin que nous puissions vous recontacter pour une enquête plus approfondie.

Notre engagement

Dès réception d'un signalement de vulnérabilité de sécurité, Sonova s'engage à :

  • Nous accuserons réception de votre signalement, confirmant que votre soumission a été reçue et est en cours de traitement.
  • Notre équipe de sécurité dédiée mènera une enquête approfondie sur la vulnérabilité signalée. Nous pourrons vous contacter pour obtenir des informations supplémentaires ou des clarifications afin de garantir une compréhension exhaustive de la vulnérabilité.
  • Nous priorisons la résolution des vulnérabilités signalées en fonction de leur gravité et de leur complexité. Notre équipe s'engage à prendre les mesures nécessaires pour traiter et atténuer les risques rapidement et efficacement.
  • Nous maintiendrons une communication ouverte et transparente avec vous tout au long du processus. Vous serez tenu informé de nos progrès dans l'enquête et la résolution du problème, avec des mises à jour régulières fournies aux étapes clés.

Exclusions

Bien que nous encouragions le signalement de toute vulnérabilité de sécurité détectée, veuillez noter que les actions suivantes sont strictement interdites :

  • Utiliser des analyses automatisées invasives ou perturbatrices contre notre infrastructure.
  • Accéder, télécharger, modifier ou interférer de toute autre manière avec des données dans des comptes ou des systèmes que vous ne possédez pas ou pour lesquels vous n'avez pas d'autorisation explicite d'interaction.
  • Effectuer des activités qui perturbent, dégradent ou menacent intentionnellement l'intégrité opérationnelle de nos produits et services ou systèmes associés.
  • Divulguer publiquement la vulnérabilité identifiée avant que nous l'ayons résolue.
  • Recourir à toute forme d'ingénierie sociale, d'attaques de phishing ou de pratiques trompeuses contre nos employés, utilisateurs ou infrastructure.
  • Mener des attaques de sécurité physique contre les actifs de Sonova.

Vulnérabilités hors du champ d'application de ce programme

Ce programme de divulgation de vulnérabilités se concentre sur les vulnérabilités liées aux produits Sonova, à leur infrastructure sous-jacente et aux services associés. Par conséquent, les vulnérabilités sur notre site web ou notre infrastructure publique ne relèvent actuellement pas du champ d'application de ce programme.

Afin de permettre une allocation efficace des ressources et de nous concentrer sur l'atténuation des vulnérabilités ayant un impact significatif, nous définissons les catégories suivantes comme hors du champ d'application de ce programme de divulgation de vulnérabilités. Leur signalement peut ne pas donner lieu à une reconnaissance ou à des mesures de correction :

  • Soumissions résultant d'outils d'analyse automatisés ou d'analyses automatisées.
  • Observations concernant les algorithmes cryptographiques SSL/TLS faibles et les vulnérabilités des configurations TLS, sauf si un risque réel et exploitable spécifique à notre environnement peut être démontré.
  • Absence de mesures de sécurité recommandées, implémentation de bibliothèques connues pour leurs vulnérabilités, ou messages d'erreur détaillés, sauf si ceux-ci incluent des voies d'exploitation claires et démontrables.

Déclaration juridique / Clause de sauvegarde

Chez Sonova, nous valorisons les contributions des chercheurs en sécurité et reconnaissons l'importance de leurs efforts pour renforcer la sécurité de nos produits.

Si vous respectez les directives de notre politique de divulgation des vulnérabilités, vos actions seront considérées comme autorisées et nous n'engagerons aucune action en justice contre vous. Bien que nous soutenions la recherche responsable en matière de sécurité, veuillez noter que votre adhésion à cette politique ne vous exempte pas du respect des lois locales applicables. Si une action en justice est engagée par un tiers concernant vos activités dans le cadre de cette politique, veuillez noter que bien que nous visions à clarifier la nature de votre conformité à notre politique, nous ne pouvons pas assurer de représentation juridique ni intervenir directement en votre nom.

Nous contacter

Pour toute question ou soumission concernant des vulnérabilités de sécurité, veuillez contacter notre service client https://eu.sennheiser-hearing.com/pages/contact/.