Introduction

Chez Sonova, nous nous engageons à garantir la sécurité et la résilience de nos produits et services associés. Nous comprenons que malgré nos efforts, des vulnérabilités peuvent apparaître. Nous encourageons tout le monde à signaler les vulnérabilités présumées ou les problèmes de sécurité liés à nos produits, à leurs logiciels ou à leur infrastructure. Cela inclut les chercheurs en sécurité, les clients et les consommateurs finaux, les CERT (Computer Emergency Response Teams), les groupes industriels, les partenaires et toutes les autres parties prenantes.

Avant de soumettre un rapport, veuillez lire attentivement cette politique et vous assurer que vos actions sont conformes à ses directives.

Signaler une vulnérabilité

Nous demandons à toute personne qui pense avoir découvert une faille de sécurité potentielle dans nos produits ou services connexes de nous la signaler dès que possible via notre service clientèle.

Lorsque vous soumettez un rapport, veuillez suivre ces directives :

  • Fournissez des informations détaillées sur la vulnérabilité potentielle, y compris une description claire et les étapes permettant de reproduire la découverte. Vous trouverez un modèle pour signaler votre découverte en annexe.
  • Évitez toute action susceptible de nuire à la confidentialité, à l'intégrité, à la disponibilité ou à la sécurité de nos produits, services ou données. Veuillez vous abstenir de causer tout dommage matériel, de modifier des données, d'abuser de l'escalade des privilèges ou de télécharger plus de données que nécessaire pour démontrer la vulnérabilité.
  • Préservez la confidentialité de vos conclusions jusqu'à ce que nous ayons terminé notre enquête et mis en œuvre les mesures nécessaires. Cela permet de protéger nos utilisateurs et garantit un traitement responsable des problèmes de sécurité.
  • Veuillez nous informer à l'avance de votre intention de divulguer publiquement la vulnérabilité.
  • Veuillez fournir vos coordonnées, telles que votre adresse e-mail ou votre numéro de téléphone, afin que nous puissions vous contacter pour approfondir notre enquête.

Notre engagement

Dès réception d'un rapport signalant une faille de sécurité, Sonova s'engage à respecter les principes suivants :

  • Nous accuserons réception de votre rapport, confirmant que votre soumission a été reçue et est en cours de traitement.
  • Notre équipe dédiée à la sécurité mènera une enquête approfondie sur la vulnérabilité signalée. Nous pourrions vous contacter pour obtenir des informations complémentaires ou des éclaircissements afin de bien comprendre la vulnérabilité.
  • Nous traitons en priorité les vulnérabilités signalées en fonction de leur gravité et de leur complexité. Notre équipe s'engage à prendre les mesures nécessaires pour traiter et atténuer les risques rapidement et efficacement.
  • Nous maintiendrons une communication ouverte et transparente avec vous tout au long du processus. Vous serez tenu informé de l'avancement de notre enquête et de la résolution du problème, avec des mises à jour régulières fournies à chaque étape clé.

Exclusions

Bien que nous encouragions le signalement de toute faille de sécurité détectée, veuillez noter que les actions suivantes sont strictement interdites :

  • Utilisation de scans automatisés invasifs ou perturbateurs contre notre infrastructure.
  • Accéder, télécharger, modifier ou interférer de quelque manière que ce soit avec les données contenues dans des comptes ou des systèmes dont vous n'êtes pas propriétaire ou pour lesquels vous n'avez pas reçu l'autorisation explicite d'interagir.
  • Effectuer des activités qui perturbent, dégradent ou menacent intentionnellement l'intégrité opérationnelle de nos produits et des services ou systèmes connexes.
  • Divulgation publique d'une vulnérabilité identifiée avant notre résolution.
  • Se livrer à toute forme d'ingénierie sociale, d'attaques par hameçonnage ou de pratiques trompeuses à l'encontre de nos employés, utilisateurs ou infrastructures.
  • Mener des attaques physiques contre les actifs de Sonova.

Vulnérabilités hors du champ d'application de ce programme

Ce programme de divulgation des vulnérabilités se concentre sur les vulnérabilités liées aux produits Sonova, à leur infrastructure sous-jacente et aux services associés. À ce titre, les vulnérabilités présentes sur notre site Web ou sur notre infrastructure accessible au public ne sont actuellement pas concernées par ce programme.

Afin de permettre une allocation efficace des ressources et de nous concentrer sur l'atténuation des vulnérabilités ayant un impact significatif, nous définissons les catégories suivantes comme n'entrant pas dans le champ d'application de ce programme de divulgation des vulnérabilités. Le signalement de ces vulnérabilités peut ne pas donner lieu à une reconnaissance ou à des mesures correctives :

  • Soumissions résultant d'outils de numérisation automatisés ou d'analyses automatisées.
  • Observations concernant les algorithmes cryptographiques SSL/TLS faibles et les vulnérabilités dans les configurations TLS, sauf si un risque réel et exploitable spécifique à notre environnement peut être démontré.
  • Absence de mesures de sécurité recommandées, mise en œuvre de bibliothèques connues pour leurs vulnérabilités ou messages d'erreur détaillés, sauf si ceux-ci incluent des voies d'exploitation claires et démontrables.

Mentions légales / Safe Harbour

Chez Sonova, nous apprécions les contributions des chercheurs en sécurité et reconnaissons l'importance de leurs efforts pour améliorer la sécurité de nos produits.

Si vous respectez les directives de notre politique de divulgation des vulnérabilités, vos actions seront considérées comme autorisées et nous n'engagerons aucune poursuite judiciaire à votre encontre. Bien que nous soutenions la recherche responsable en matière de sécurité, veuillez noter que le respect de cette politique ne vous dispense pas de vous conformer aux lois locales applicables. Si une action en justice est engagée par un tiers en rapport avec vos activités dans le cadre de cette politique, sachez que, bien que nous nous efforcions de clarifier la nature de votre conformité à notre politique, nous ne pouvons pas vous représenter légalement ni intervenir directement en votre nom.

Contactez-nous

Pour toute question ou signalement concernant des failles de sécurité, veuillez contacter notre service clientèle à l'adresse https://eu.sennheiser-hearing.com/pages/contact/.