Politique de divulgation coordonnée des vulnérabilités

Salut,

Chez Sonova, on s'engage à garantir la sécurité et la résilience de nos produits et services associés. On comprend que malgré nos efforts, des vulnérabilités peuvent apparaître. On encourage tout le monde à signaler les vulnérabilités suspectées ou les problèmes de sécurité liés à nos produits, à leurs logiciels ou à leur infrastructure. Ça inclut les chercheurs en sécurité, les clients et les consommateurs finaux, les CERT (Computer Emergency Response Teams), les groupes industriels, les partenaires et toutes les autres parties prenantes.

Avant de signaler un problème, lis bien cette politique et assure-toi que ce que tu fais est en accord avec ses directives.

Signaler une faille de sécurité

On demande à toute personne qui pense avoir découvert une faille de sécurité potentielle dans nos produits ou services connexes de nous la signaler dès que possible via notre service clientèle.

Quand tu envoies un rapport, suis ces consignes :

• Donne des infos détaillées sur la vulnérabilité potentielle, avec une description claire et les étapes pour reproduire le problème. Tu trouveras un modèle pour signaler ton problème en annexe.
• Évitez tout ce qui pourrait nuire à la confidentialité, l'intégrité, la disponibilité ou la sécurité de nos produits, services ou données. Ne causez pas de dommages matériels, ne modifiez pas les données, n'abusez pas de l'escalade des privilèges et ne téléchargez pas plus de données que nécessaire pour montrer la vulnérabilité.
• Garde tes découvertes secrètes jusqu'à ce qu'on ait fini notre enquête et pris les mesures nécessaires. Ça aide à protéger nos utilisateurs et garantit qu'on gère les problèmes de sécurité de manière responsable.
• Dis-nous à l'avance si tu veux rendre publique la vulnérabilité.
• Donne-nous tes coordonnées, comme ton adresse e-mail ou ton numéro de téléphone, pour qu'on puisse te recontacter pour en savoir plus.

Notre engagement

Quand on signale un problème de sécurité, Sonova s'engage à faire ce qui suit :

• On va te dire qu'on a bien reçu ton rapport, pour te confirmer qu'on l'a bien reçu et qu'on est en train de le traiter.
• Notre équipe de sécurité va faire une enquête approfondie sur la faille signalée. On pourrait te contacter pour avoir plus d'infos ou des précisions pour bien comprendre la faille.
• On s'occupe des failles signalées en fonction de leur gravité et de leur complexité. Notre équipe fait tout pour gérer et réduire les risques rapidement et efficacement.
• On va garder une communication ouverte et transparente avec toi tout au long du processus. Tu seras tenu au courant de nos progrès dans l'enquête et la résolution du problème, avec des mises à jour régulières fournies à chaque étape clé.

Exclusions

Même si on encourage le signalement de toute faille de sécurité trouvée, sachez que les actions suivantes sont strictement interdites :

• Utiliser des scanners automatiques invasifs ou perturbateurs contre notre infrastructure.
• Accéder, télécharger, modifier ou interférer de quelque manière que ce soit avec les données contenues dans des comptes ou des systèmes dont vous n'êtes pas propriétaire ou pour lesquels vous n'avez pas reçu l'autorisation expresse d'interagir.
• Faire des trucs qui perturbent, dégradent ou menacent l'intégrité opérationnelle de nos produits et des services ou systèmes qui vont avec.
• Révéler une faille qu'on a trouvée avant qu'on ait trouvé une solution.
• Faire du piratage psychologique, des attaques de phishing ou des trucs trompeurs contre nos employés, nos utilisateurs ou nos infrastructures.
• Lancer des attaques physiques contre les biens de Sonova.

Les failles qui ne sont pas couvertes par ce programme

Ce programme de divulgation des vulnérabilités concerne les failles liées aux produits Sonova, à leur infrastructure et aux services associés. Du coup, les vulnérabilités de notre site web ou de notre infrastructure publique ne sont pas incluses dans ce programme pour le moment.

Pour bien répartir les ressources et se concentrer sur les failles qui ont un gros impact, on a décidé que les cas suivants ne sont pas concernés par ce programme de divulgation des failles. Si tu signales ces cas, il se peut qu'on ne les prenne pas en compte ou qu'on ne fasse rien pour les corriger :

• Les soumissions qui viennent d'outils de numérisation ou d'analyse automatiques.
• Remarques sur les algorithmes cryptographiques SSL/TLS faibles et les failles dans les configurations TLS, sauf si on peut montrer un risque réel et exploitable spécifique à notre environnement.
• Pas de mesures de sécurité recommandées, utilisation de bibliothèques connues pour leurs failles, ou messages d'erreur détaillés, sauf s'ils montrent clairement comment on pourrait en profiter.

Mentions légales / Safe Harbour

Chez Sonova, on apprécie vraiment ce que font les chercheurs en sécurité et on sait à quel point c'est important pour améliorer la sécurité de nos produits.

Si tu suis les directives de notre politique de divulgation des vulnérabilités, ce que tu fais sera vu comme autorisé et on ne te poursuivra pas en justice. Même si on encourage la recherche responsable en matière de sécurité, sache que le fait de respecter cette politique ne te dispense pas de respecter les lois locales en vigueur. Si une action en justice est engagée par un tiers en rapport avec tes activités dans le cadre de cette politique, sache que même si on essaie de clarifier la nature de ta conformité à notre politique, on ne peut pas te représenter légalement ni intervenir directement en ton nom.

Contactez-nous

Si t'as des questions ou des infos sur des failles de sécurité, n'hésite pas à contacter notre service client à l'adresse https://eu.sennheiser-hearing.com/pages/contact/.