Actia

  • Développement Durable

    Politique de divulgation
    de vulnérabilités

Conformément à sa politique de sécurité de l’information, ACTIA a pour objectifs de fournir des produits et services sécurisés, ainsi que de protéger ses actifs, ceux de ses clients et partenaires. Ce document décrit la politique d’ACTIA pour gérer les vulnérabilités de sécurité signalées par des tiers.

Signaler une vulnérabilité

ACTIA encourage toute personne à signaler les vulnérabilités de sécurité concernant des produits et services fournis par ACTIA ou des actifs dont ACTIA est responsable. Si vous pensez avoir identifié une telle vulnérabilité de sécurité, veuillez nous contacter à : vulnerability-report[at]actia.fr

Le contenu de votre courriel doit être chiffré avec la clé PGP/GPG ACTIA afin de protéger la confidentialité des informations transmises.

ACTIA PGP/GPG public key :
  • Télécharger le fichier Vulnerability-report-pubcontenant la clé PGP 89318e4f10c45b824d6896966b21887ff95cb981b27c1ab2ef03a6949cc68e7d (hash SHA256 du fichier)
  • Vous êtes libres d’utiliser le logiciel de chiffrement supportant les clés PGP/GPG. GnuPG est un exemple de tel logiciel.
Lors du signalement, veuillez nous fournir les informations suivantes :
  • Nom du déclarant, sachant que, si vous souhaiter rester anonyme, nous respecterons votre choix.
  • Coordonnées grâce auxquelles nous pourrons vous contacter pour plus d’informations sur votre rapport ou pour vous informer sur le processus de traitement.
  • Votre clé publique PGP/GPG, afin de communiquer avec vous en toute sécurité.
  • Une description de la vulnérabilité :
    • Le ou les produit(s) concerné(s), y compris le modèle et la version du/des firmware (si disponible), ou l’adresse URL des sites web vulnérables par exemple.
    • Des détails techniques concernant la vulnérabilité reportée, pouvant être des traces réseau, la preuve de concept ou le code d’exploitation si disponible, ainsi qu’une description des impacts potentiels de la vulnérabilité et toute autre information jugée pertinente concernant la vulnérabilité.
    • Toute information publiquement disponible de la divulgation précédente de cette vulnérabilité.
Veuillez également prendre en considération les informations suivantes avant de procéder à un signalement :
  • Nous nous engageons à traiter les vulnérabilités signalés conformément à cette politique, uniquement pour des courriels rédigés en anglais ou en français. Pour les courriels rédigés dans d’autres langues, nous pourrons simplement les traiter de notre mieux, sans garantie.
  • Utiliser un objet de courriel qui ne fournit pas d’informations sensibles concernant la vulnérabilité (nom du produit impacté, …).
  • Nous vous prions de bien vouloir lire et prendre en compte les termes de notre modèle de divulgation privée (voir ci-dessous).
  • Veuillez nous contacter pour obtenir des précisions avant d’engager des actions pouvant être incompatibles ou non traitées par la politique décrite ci-dessous.

Procédure de traitement d'une vulnérabilité signalée

Pendant toute la phase de ce processus, ACTIA assurera une communication régulière avec la partie déclarante, en particulier pour demander des informations complémentaires.

Vérification
Dès réception d’un rapport de vulnérabilité, ACTIA envoie un accusé de réception au déclarant, vérifie les informations reçues et lance une analyse préliminaire en se basant sur les éléments fournis dans le rapport.

Analyse
Une investigation détaillée est réalisée pour comprendre la cause de la vulnérabilité, les méthodes d’exploitation possibles et ainsi évaluer le risque associé.

Traitement
Si un correctif ou une mesure d’atténuation du risque est possible et nécessaire pour traiter la vulnérabilité, un plan de remédiation est préparé et une stratégie de traitement est établie. Dans la mesure du possible, ACTIA collaborera avec le déclarant pour vérifier et réviser les correctifs.

Modèle de divulgation privée

ACTIA applique un modèle de divulgation privée, ce qui signifie que les informations concernant la vulnérabilité, doivent être communiquées par le déclarant uniquement à ACTIA via les coordonnées de contacts de la présente politique.

Le déclarant est tenu de ne pas divulguer publiquement ou à des tiers les vulnérabilités trouvées, en raison des préjudices que cela pourrait causer à Actia et à d’autres parties prenantes.

Nous respectons les intérêts de la partie déclarante et acceptons de traiter toute vulnérabilité dont on pense raisonnablement qu’elle est liée à nos produits, services ou à d’autres actifs dont nous sommes responsables.

ACTIA s’engage à fournir une réponse au déclarant dans les plus brefs délais avec une indication de délai sur les actions éventuelles d’analyse, validation et remédiation.

Directives et exigences de divulgation

Ce programme de divulgation des vulnérabilités établit un cadre de confiance pour le signalement de vulnérabilité et la recherche en sécurité concernant les produits, services ou actifs dont ACTIA est responsable, dont ceux listés ci-dessous :

  • Calculateurs embarqués ACTIA et leurs logiciels,
  • Écrans intelligents ACTIA,
  • Applications de diagnostic ACTIA,
  • Sites Internet ACTIA,
  • Tout autre système développé par ACTIA présent dans un produit que vous possédez ou que vous êtes autorisé à tester.

ACTIA s’engage à ne pas émettre de poursuites judiciaires à l’encontre des déclarants à condition que :

  • Le signaleur n’enfreigne aucune loi pénale,
  • La recherche ne porte pas préjudice à ACTIA, ses clients, ses employés ou tout autre tiers,
  • La partie déclarante ne compromette pas la confidentialité ou la sécurité de nos clients ou le fonctionnement de nos services,
  • La partie déclarante n’utilise, ne conserve, n’altère ou ne détruise aucune donnée à laquelle elle pourrait accéder au cours de sa recherche,
  • La partie déclarante ne mène aucune recherche de sécurité sur un produit hors périmètre (le champ d’application du programme est décrit ci-dessus),
  • La partie déclarante ne mène aucune activité impliquant de l’ingénierie sociale, une attaque de phishing ou du spam,
  • La partie déclarante ne mène pas d’attaques par déni de service ou par épuisement des ressources.

En soumettant un signalement via ce site Internet, le déclarant s’engage à ne pas divulguer à un tiers la vulnérabilité signalée, les travaux de recherche associés, ni le fait qu’une vulnérabilité ait été signalée à ACTIA, conformément à la politique de divulgation privée décrite ci-dessus. Cette déclaration s’applique indépendamment du fait qu’ACTIA ait eu ou non connaissance préalable des informations.

Aller au contenu principal