POLITIQUE DE DIVULGATION ET DE GESTION DES VULNÉRABILITÉS

Introduction

La présente politique de divulgation et de gestion des vulnérabilités BUBENDORFF a pour objectif de permettre à toute personne ou partie prenante utilisant un produit contenant des éléments numériques BUBENDORFF ou service numérique BUBENDORFF de signaler facilement une vulnérabilité de sécurité (cybermenace).
BUBENDORFF mettra en oeuvre l’ensemble des moyens à sa disposition pour résoudre cette vulnérabilité et d’améliorer la sécurité de ses produits et services.

Objet :

La présente politique de divulgation et de gestion des vulnérabilités (ci-après « Politique ») s’applique à toutes les Vulnérabilités qu’un Utilisateur envisage de signaler à Bubendorff.

Bubendorff recommande de prendre attentivement connaissance de la présente Politique avant de signaler une Vulnérabilité. Chacune des actions réalisées par l’Utilisateur doit se faire en conformité avec la Politique.

Bubendorff remercie par avance chaque Utilisateur réalisant un signalement de vulnérabilité conformément à la présente Politique. Bubendorff rappelle néanmoins qu’il n’accorde aucune récompense, de quelque nature que ce soit, pour la divulgation de vulnérabilité.

 

Définitions :

  • Correction de la vulnérabilité : s’entend des étapes de résolution et de mise en œuvre des solutions visant à corriger/atténuer la vulnérabilité reportée.
  • Rapport : support par lequel un utilisateur transmet une potentielle vulnérabilité à BUBENDORFF.
  • Politique de divulgation et de gestion des vulnérabilités : plan d’action par lequel BUBENDORFF traite et corrige une vulnérabilité rapportée par un utilisateur de produits BUBENDORFF.
  • Produit Bubendorff : tout produit, système ou service commercialisé ou mis à disposition sous la marque déposée BUBENDORFF®.
  • Traitement de la vulnérabilité : s’entend des étapes de compréhension et d’évaluation de la gravité (CVSS 3.0) par les équipes BUBENDORFF, ceci jusqu’à la qualification du rapport transmis en vulnérabilité valide ou non. Le Traitement de la vulnérabilité n’inclut pas la correction de la vulnérabilité.
  • Utilisateur : toute personne ou partie prenante utilisant un produit contenant des éléments numériques BUBENDORFF ou service numérique BUBENDORFF (par ex : site web, serveurs etc.).
  • Vulnérabilité : défaut de sécurité (cybermenace) dans un système, un produit ou un service.

Rapport de vulnérabilité :

Toute potentielle vulnérabilité qui serait constatée doit être communiquée à BUBENDORFF par l’intermédiaire d’un Rapport adressé à via le formulaire en bas de page.

L’Utilisateur est prié d’indiquer dans son Rapport :

Détail de la vulnérabilité (obligatoire)
. Titre de la vulnérabilité ;
. Support (adresse internet, adresse IP, nom du produit ou du service, n° S/N obligatoire si le support est un produit) où la vulnérabilité a été/peut être observée ;
. Gravité estimée, évaluée selon le Système commun de notation des vulnérabilités (CVSS 3.0) :
. Description de la vulnérabilité (comprenant un résumé, des justifications et d’éventuelles propositions de mesure d’atténuation ou des recommandations) ;
. Impact (que pourrait faire un assaillant avec cette vulnérabilité) ;
. Étapes à suivre pour reproduire la vulnérabilité. Il doit s’agir d’une preuve de concept bénigne et non destructive. Cela permet de s’assurer que le rapport peut être traité rapidement, avec précision. Cela réduit également la probabilité de doublons de rapports ou d’exploitation malveillante de certaines vulnérabilités, telles que les prises de contrôle de sous-domaines.

Information de contact de l’Utilisateur (obligatoire)
. Nom de l’Utilisateur
. Adresse e-mail de l’Utilisateur

Traitement du rapport :

BUBENDORFF accuse réception du rapport dans un maximum de 4 semaines suivant sa réception (habituellement en 5 jours ouvrés). Le rapport est pris en charge par les équipes BUBENDORFF qui feront leurs meilleurs efforts afin d’effectuer le Traitement de la vulnérabilité dans un délai maximum de 60 jours ouvrés suivant l’accusé de réception. BUBENDORFF s’efforce de tenir l’Utilisateur informé de ses avancées.

La priorité des actions correctives est évaluée en fonction de l’impact, de la gravité et de la complexité de la vulnérabilité. La vulnérabilité peut prendre un certain temps à être corrigée. BUBENDORFF pourra également être amené à solliciter par courriel l’Utilisateur, ceci afin d’obtenir de plus amples informations sur la vulnérabilité signalée.

L’Utilisateur peut être amené à solliciter Bubendorff pour être informé de l’avancée de la résolution de la vulnérabilité. A ce titre, l’Utilisateur s’engage à ne pas relancer BUBENDORFF plus d’une fois tous les 30 jours calendaires, afin de permettre aux équipes BUBENDORFF d’avancer sereinement sur les corrections à déployer.

BUBENDORFF informe l’Utilisateur de la correction de la vulnérabilité. Ce dernier est invité à confirmer la résolution du rapport transmis.

Une fois la correction publiée, l’Utilisateur peut demander à ce que son rapport de vulnérabilité soit publié. BUBENDORFF souhaite uniformiser les conseils aux utilisateurs concernés et prie l’Utilisateur à l’origine de la divulgation de coordonner la diffusion publique avec BUBENDORFF.

À défaut de communication d’une adresse mail fonctionnelle, BUBENDORFF pourrait ne pas être en mesure de traiter le rapport transmis s’il est incomplet ou insuffisamment renseigné, ou de tenir l’Utilisateur informé de l’avancée des actions entreprises.

Signaler une vulnérabilité :

Toute demande ne correspondant pas à un rapport de vulnérabilité ne sera ni traitée, ni transmise.

Par sécurité, nous ne permettons pas à ce stade l’envoi de pièces jointes. Celles-ci pourront nous être envoyées lors de la phase de traitement de la vulnérabilité.

FR - Psirt

* Champs obligatoires.

À défaut de communication d’une adresse mail fonctionnelle, BUBENDORFF pourrait ne pas être en mesure de traiter le rapport transmis s’il est incomplet ou insuffisamment renseigné, ou de vous tenir informé(e) de l’avancée des actions entreprises.

Les informations collectées par BUBENDORFF SAS directement auprès de vous, avec votre consentement font l’objet d’un traitement automatisé ayant pour finalité la gestion des demandes client et l'exécution des prestations commandées. À défaut, BUBENDORFF SAS ne sera pas en mesure de répondre à votre demande.
Ces informations sont à destination de BUBENDORFF SAS et sont susceptibles d’être transmises à nos Points Conseil Bubendorff ou notre réseau de réparateurs agréés en fonction de votre demande. Les données sont conservées pendant le temps nécessaire à la réalisation de votre demande. Les données traitées dans le cadre d’opérations de prospection avec votre accord ne pourront être conservées plus de 3 ans après le dernier contact émanant de votre part ou dans le cadre de votre opposition. Dans le cadre d’une demande de prestation, les données sont archivées pendant 5 ans à l’issue de la prestation.
Conformément au Règlement (UE) 2016/679 relatif à la protection des données à caractère personnel, vous disposez des droits suivants sur vos données : droit d’accès, droit de rectification, droit à l’effacement (droit à l’oubli), droit d’opposition, droit à la limitation du traitement, droit à la portabilité. Vous pouvez également définir des directives relatives à la conservation, à l'effacement et à la communication de vos données à caractère personnel après votre décès.
Vous pouvez, pour des motifs tenant à votre situation particulière, vous opposer au traitement des données vous concernant. Pour exercer vos droits, merci d’adresser votre courrier à Service DCI - Bubendorff, 9 Allée de la Gare, 68100 Mulhouse (France) ou d’envoyer un mail à l’adresse suivante : actecil@bubendorff.com . Nous vous remercions de nous préciser l'objet de votre demande et le(s) droits(s) dont vous entendez vous prévaloir. En cas de doute raisonnable sur votre identité, un justificatif pourra vous être demandé.
Sous réserve d’un manquement aux dispositions ci-dessus, vous avez le droit d’introduire une réclamation auprès de la CNIL.