Politique de divulgation coordonnée des vulnérabilités

Introduction

Chez Sonova, on s'engage à garantir la sécurité et la résilience de nos produits et des services associés. On est conscient que, malgré tous nos efforts, des failles peuvent apparaître. On encourage tout le monde à signaler toute faille présumée ou tout problème de sécurité concernant nos produits, leurs logiciels sous-jacents ou leur infrastructure. Ça inclut les chercheurs en sécurité, les clients et les consommateurs finaux, les CERT (équipes d'intervention en cas d'urgence informatique), les groupes professionnels, les partenaires et toutes les autres parties prenantes.

Avant d'envoyer un rapport, lis attentivement cette politique et assure-toi que tes actions respectent ses directives.

Signaler une faille de sécurité

Nous invitons toute personne qui pense avoir découvert une faille de sécurité potentielle dans nos produits ou nos services associés à nous la signaler dès que possible via notre service client.

Lorsque tu envoies un rapport, merci de respecter les consignes suivantes :

• Fournis des informations détaillées sur la vulnérabilité potentielle, notamment une description claire et les étapes permettant de reproduire le problème. Tu trouveras en annexe un modèle pour signaler ton problème.
• Évite toute action susceptible de nuire à la confidentialité, à l'intégrité, à la disponibilité ou à la sécurité de nos produits, services ou données. Évite de causer un préjudice grave, de modifier des données, d'abuser d'une élévation de privilèges ou de télécharger plus de données que ce qui est nécessaire pour démontrer la vulnérabilité.
• Garde tes découvertes confidentielles jusqu'à ce que nous ayons terminé notre enquête et mis en place les mesures nécessaires. Cela permet de protéger nos utilisateurs et garantit une gestion responsable des problèmes de sécurité.
• Merci de nous informer à l'avance de ton intention de rendre publique cette faille de sécurité.
• Merci de nous communiquer tes coordonnées, comme une adresse e-mail ou un numéro de téléphone, afin que nous puissions te recontacter pour approfondir l'enquête.

Notre engagement

Dès qu'on reçoit un signalement de faille de sécurité, Sonova s'engage à :

• Nous t'enverrons un accusé de réception de ton signalement, confirmant que ta demande a bien été reçue et qu'elle est en cours de traitement.
• Notre équipe de sécurité spécialisée mènera une enquête approfondie sur la vulnérabilité signalée. Il se peut que nous te contactions pour obtenir des informations complémentaires ou des précisions afin de bien cerner la nature de cette vulnérabilité.
• Nous traitons les vulnérabilités signalées en fonction de leur gravité et de leur complexité. Notre équipe s'engage à prendre les mesures nécessaires pour traiter et atténuer les risques rapidement et efficacement.
• Nous maintiendrons une communication ouverte et transparente avec toi tout au long du processus. Tu seras tenu·e informé·e de l'avancement de notre enquête et de la résolution du problème, et nous te fournirons des mises à jour régulières aux étapes clés.

Exclusions

Même si on t'encourage à signaler toute faille de sécurité que tu découvres, sache que les actions suivantes sont strictement interdites :

• Utiliser des scans automatisés intrusifs ou perturbateurs sur notre infrastructure.
• Accéder, télécharger, modifier ou interférer de quelque manière que ce soit avec les données contenues dans des comptes ou des systèmes dont tu n'es pas propriétaire ou pour lesquels tu n'as pas reçu d'autorisation explicite d'interagir.
• Se livrer à des activités visant délibérément à perturber, à nuire ou à menacer l'intégrité opérationnelle de nos produits, services ou systèmes associés.
• Divulguer publiquement une faille de sécurité identifiée avant qu'on l'ait corrigée.
• Se livrer à toute forme d'ingénierie sociale, d'attaques par hameçonnage ou de pratiques trompeuses à l'encontre de nos employés, de nos utilisateurs ou de notre infrastructure.
• Mener des attaques visant la sécurité physique des installations de Sonova.

Vulnérabilités non couvertes par ce programme

Ce programme de signalement des vulnérabilités concerne les vulnérabilités liées aux produits Sonova, à leur infrastructure sous-jacente et aux services associés. Par conséquent, les vulnérabilités présentes sur notre site web ou sur notre infrastructure accessible au public ne sont actuellement pas couvertes par ce programme.

Afin d'assurer une allocation efficace des ressources et de nous concentrer sur la correction des vulnérabilités ayant un impact significatif, nous avons défini les catégories suivantes comme n'entrant pas dans le champ d'application de ce programme de divulgation des vulnérabilités. Le signalement de ces vulnérabilités ne donnera pas lieu à une confirmation de réception ni à des mesures correctives :

• Les soumissions générées par des outils de numérisation ou d'analyse automatisés.
• Remarques concernant les algorithmes cryptographiques SSL/TLS peu sûrs et les failles dans les configurations TLS, à moins qu'un risque réel et exploitable, spécifique à notre environnement, ne puisse être démontré.
• L'absence des mesures de sécurité recommandées, l'utilisation de bibliothèques connues pour leurs vulnérabilités, ou l'absence de messages d'erreur détaillés, à moins que ceux-ci ne fournissent des voies d'exploitation claires et vérifiables.

Mentions légales / Clause de non-responsabilité

Chez Sonova, on apprécie la contribution des chercheurs en sécurité et on reconnaît l'importance de leurs efforts pour renforcer la sécurité de nos produits.

Si tu respectes les directives de notre politique de divulgation des vulnérabilités, tes actions seront considérées comme autorisées et nous n'engagerons aucune poursuite judiciaire à ton encontre. Bien que nous soutenions la recherche responsable en matière de sécurité, sache que le fait de respecter cette politique ne te dispense pas de te conformer aux lois locales applicables. Si une action en justice est engagée par un tiers concernant tes activités dans le cadre de cette politique, sache que, bien que nous cherchions à clarifier la nature de ta conformité à notre politique, nous ne pouvons pas assurer ta représentation juridique ni intervenir directement en ton nom.

Contacte-nous

Pour toute question ou signalement concernant des failles de sécurité, merci de contacter notre service client à l'adresse https://eu.sennheiser-hearing.com/pages/contact/.