Politique de divulgation coordonnée des vulnérabilités

Salut,

Chez Sonova, nous nous engageons à assurer la sécurité et la résilience de nos produits et services associés. Nous comprenons que malgré nos efforts, des vulnérabilités peuvent survenir. Chacun est encouragé à signaler les vulnérabilités suspectées ou les préoccupations de sécurité liées à nos produits ou à leur logiciel ou infrastructure sous-jacents. Cela inclut les chercheurs en sécurité, les clients et les consommateurs finaux, les CERT (Computer Emergency Response Teams), les groupes industriels, les partenaires et toutes les autres parties prenantes.

Avant de soumettre un rapport, merci de lire attentivement cette politique et de t'assurer que tes actions sont conformes à ses directives.

Signaler une faille de sécurité

Nous demandons à toute personne qui pense avoir découvert une vulnérabilité de sécurité potentielle dans nos produits ou services associés de nous la signaler dès que possible via notre service client.

Lors de la soumission d'un rapport, merci de suivre ces directives :

• Fournis des informations détaillées sur la vulnérabilité potentielle, y compris une description claire et les étapes pour reproduire la découverte. Tu trouveras un modèle pour signaler ta découverte en Annexe.
• Évite toute action susceptible de nuire à la confidentialité, à l'intégrité, à la disponibilité ou à la sécurité de nos produits et services ou de nos données. Merci de t'abstenir de causer tout dommage matériel, d'altérer des données, d'abuser de l'escalade de privilèges ou de télécharger plus de données que nécessaire pour démontrer la vulnérabilité.
• Maintiens la confidentialité de tes découvertes jusqu'à ce que nous ayons terminé notre enquête et mis en œuvre les mesures nécessaires. Cela contribue à protéger nos utilisateurs et assure une gestion responsable des problèmes de sécurité.
• Dis-nous à l'avance si tu veux rendre publique la vulnérabilité.
• Donne-nous tes coordonnées, comme ton adresse e-mail ou ton numéro de téléphone, pour qu'on puisse te recontacter pour en savoir plus.

Notre engagement

Quand on signale un problème de sécurité, Sonova s'engage à faire ce qui suit :

• Nous accuserons réception de ton rapport, confirmant que ta soumission a été reçue et est en cours de traitement.
• Notre équipe de sécurité dédiée mènera une enquête approfondie sur la vulnérabilité signalée. Nous pourrions te contacter pour obtenir des informations ou des éclaircissements supplémentaires afin d'assurer une compréhension complète de la vulnérabilité.
• Nous priorisons la résolution des vulnérabilités signalées en fonction de leur gravité et de leur complexité. Notre équipe s'engage à prendre les mesures nécessaires pour traiter et atténuer les risques rapidement et efficacement.
• Nous maintiendrons une communication ouverte et transparente avec toi tout au long du processus. Tu seras tenu informé de nos progrès dans l'enquête et la résolution du problème, avec des mises à jour régulières fournies aux étapes clés.

Exclusions

Bien que nous encouragions le signalement de toute vulnérabilité de sécurité découverte, note que les actions suivantes sont strictement interdites :

• Utilisation de scans automatisés invasifs ou perturbateurs contre notre infrastructure.
• Accéder, télécharger, modifier ou interférer de toute autre manière avec les données des comptes ou des systèmes que tu ne possèdes pas ou avec lesquels tu n'as pas l'autorisation explicite d'interagir.
• Mener des activités qui perturbent, dégradent ou menacent intentionnellement l'intégrité opérationnelle de nos produits et des services ou systèmes associés.
• Divulguer publiquement une vulnérabilité identifiée avant notre résolution.
• S'engager dans toute forme d'ingénierie sociale, d'attaques de phishing ou de pratiques trompeuses contre nos employés, utilisateurs ou notre infrastructure.
• Mener des attaques de sécurité physique contre les actifs de Sonova.

Vulnérabilités hors du champ d'application de ce programme

Ce programme de divulgation de vulnérabilités est axé sur les vulnérabilités liées aux produits Sonova, à leur infrastructure sous-jacente et aux services associés. À ce titre, les vulnérabilités sur notre site web ou sur l'infrastructure accessible au public ne sont actuellement pas couvertes par ce programme.

Afin de permettre une allocation efficace des ressources et de nous concentrer sur l'atténuation des vulnérabilités ayant un impact significatif, nous définissons les catégories suivantes comme étant hors du champ d'application de ce programme de divulgation de vulnérabilités. Le signalement de celles-ci pourrait ne pas entraîner de reconnaissance ou d'actions de remédiation :

• Soumissions résultant d'outils de balayage automatisés ou d'analyses automatisées.
• Observations concernant les algorithmes cryptographiques SSL/TLS faibles et les vulnérabilités dans les configurations TLS, à moins qu'un risque réel et exploitable spécifique à notre environnement ne puisse être démontré.
• Absence de mesures de sécurité recommandées, mise en œuvre de bibliothèques connues pour leurs vulnérabilités, ou messages d'erreur détaillés, à moins que ceux-ci n'incluent des voies d'exploitation claires et démontrables.

Mentions légales / Safe Harbour

Chez Sonova, nous valorisons les contributions des chercheurs en sécurité et reconnaissons l'importance de leurs efforts pour renforcer la sécurité de nos produits.

Si tu te conformes aux directives de notre politique de divulgation des vulnérabilités, tes actions seront considérées comme autorisées, et nous n'engagerons pas de poursuites judiciaires contre toi. Bien que nous soutenions la recherche responsable en matière de sécurité, note que ton adhésion à cette politique ne te dispense pas de te conformer aux lois locales applicables. Si une action en justice est intentée par un tiers concernant tes activités dans le cadre de cette politique, sache que, bien que nous visions à clarifier la nature de ta conformité à notre politique, nous ne pouvons pas t'offrir de représentation légale ni d'intervention directe en ton nom.

Contactez-nous

Pour toute question ou soumission concernant les vulnérabilités de sécurité, merci de contacter notre service client https://eu.sennheiser-hearing.com/pages/contact/.