Nous souhaitons collaborer de bonne foi avec des chercheurs indépendants, I’ICS-CERT, les agences du renseignement, nos clients et notre personnel sur le terrain, qui sont parfois les premiers à détecter des vulnérabilités et à nous les signaler. Les vulnérabilités peuvent nous être signalées sur notre page « Signalez un problème ».
Eaton promet de ne pas engager de poursuites judiciaires contre les individus qui :
Nos avons mis en place un processus interne d’évaluation des risques qui comprend la réception d’informations sur des vulnérabilités, la confirmation de leur réception, la réalisation d’une analyse préliminaire et l’attribution d’un premier niveau de risque à chaque vulnérabilité signalée. Pour tout signalement externe concernant une vulnérabilité dans une bibliothèque logicielles de tiers (librairy), nous attribuons un niveau de risque basé sur la méthode de notation du Système commun de notation des vulnérabilités (CVSS v3) tel qu’elle s’applique au produit Eaton concerné et à son contexte de déploiement. Toute vulnérabilité dont le risque CVSS global est de 7 ou plus ou qui est évaluée comme étant un « Risque élevé en matière de sécurité » par le CCoE est traitée en priorité.
Les vulnérabilités détectées dans nos produits actifs font l’objet de mesures correctives par Eaton. L’équipe du CCoE travaille avec l’équipe produits pour implanter les correctifs conformément à leur ordre de priorité. Ils tiennent à jour un échéancier pour régler le problème et le transmettent aux personnes qui ont signalé les vulnérabilités (p. ex. des chercheurs individuels, l’ICS-CERT ou d’autres agences). Durant cette étape, l’équipe du CCoE joue le rôle de point de contact unique avec les organismes externes et collabore avec les équipes internes pour corriger et tester les vulnérabilités. Dans certains cas, nous maintenons la communication avec les auteurs du signalement pendant que nous réglons le problème.
Eaton publie les solutions ou les correctifs en passant par le réseau de distribution habituel des produits concernés. Ensuite nous publions un avis de sécurité qui procure des renseignements techniques détaillées sur ces correctifs apportés à un produit Eaton.
Eaton préfère collaborer avec les spécialistes en étude des vulnérabilités pour coordonner leur divulgation et s’attend à ce que ces derniers s’abstiennent de révéler des détails sur la vulnérabilité au public avant l’échéance convenue.
Vous trouverez les avis de divulgation publique des vulnérabilités de sécurité de nos produits sur notre page consacrée aux notifications concernant la cybersécurité. Cette page sert de répertoire central des avis concernant la sécurité de tous les produits électriques Eaton. Nos invitons nos clients à consulter ce portail pour connaître les derniers avis relatifs à la sécurité de nos produits.
Nous visons à publier des avis relatifs à la sécurité de nos produits au sujet de vulnérabilités validées, dès qu’une solution pratique ou un correctif a été trouvé(e). Il se peut qu’un avis soit publié sans qu’aucune solution ne soit disponible ou requise. En effet, comme chaque vulnérabilité est différente, le processus de publication d’avis concernant la sécurité de nos produits peut varier d’une instance à l’autre.
Ainsi, Eaton ne garantit pas la publication d’un avis pour tout problème de sécurité que les clients pourraient considérer comment étant majeurs, ni leur publication dans un délai précis.
Eaton a mis en place un Temple de la reconnaissance pour reconnaître comme il se doit les contributions des chercheurs en sécurité qui nous signalent des vulnérabilités en matière de cybersécurité, conformément à la présente politique.
Envoyer un courriel
