Politique de divulgation responsable

Introduction

La présente Politique établit des directives relatives au signalement et à la gestion des Vulnérabilités de Sécurité de manière responsable, conformément aux règles d’engagement ci-après, et s’applique à toutes les Vulnérabilités de Sécurité que vous pourriez signaler à Verisure. 

Nous vous recommandons de lire la présente Politique dans son intégralité avant de signaler une éventuelle Vulnérabilité de Sécurité. 

Veuillez noter que Verisure n’offre pas de récompenses monétaires pour les divulgations de Vulnérabilités de Sécurité. 

Les mots commençant par une majuscule sont définis dans la section définitions de ce document. 

Principe clés

Bonne foi

Verisure n’intentera pas d’action en justice contre les auteurs de signalement qui découvrent et divulguent de bonne foi les Vulnérabilités de Sécurité, conformément à la présente Politique. 

Non-conformité délibérée 

Verisure n’offre pas de protection en cas de divulgation intentionnelle ou irresponsable des Vulnérabilités de Sécurité n’ayant pas suivi les procédures établies, comme la divulgation publique d’une Vulnérabilité de Sécurité identifiée. 

Perturbation des services

La Politique n’autorise pas les activités qui pourraient avoir un impact sur la confidentialité, l’intégrité ou la disponibilité des informations et des systèmes, comme les interférences avec les Services de Verisure ou le fonctionnement des Produits Verisure. 

Règles d’engagement

L’auteur de signalement doit lire attentivement et respecter les Règles d’Engagement définies dans la présente Politique. 

Qui doit respecter la présente Politique ?

La présente Politique est destinée à être suivie par diverses parties prenantes de notre communauté d’utilisateurs et de chercheurs qui pourraient signaler une Vulnérabilité de Sécurité découverte dans nos systèmes, tels que les chercheurs en sécurité, les spécialistes du piratage éthique, les utilisateurs et les clients qui repèrent des problèmes dans le cadre de l’utilisation normale d’un Service ou d’un Produit, les équipes internes de Verisure qui traiteront ces Vulnérabilités de Sécurité ainsi que les utilisateurs finaux affectés par ces Vulnérabilités de Sécurité.

Comment me conformer à cette Politique ? 

Comment signaler une Vulnérabilité 

Verisure enquête sur tous les signalements de Vulnérabilité de Sécurité affectant les Produits et les Services. Si vous pensez avoir découvert une Vulnérabilité de Sécurité dans un Produit ou dans un Service Verisure, il est nécessaire que d’effectuer un signalement de la vulnérabilité en utilisant le formulaire de soumission ci-après. Ce formulaire de soumissions doit être suffisamment détaillé pour que nous puissions enquêter mais, également reproduire et étudier vos différentes actions ayant conduit à la découverte de la Vulnérabilité. Tous les champs obligatoires doivent être correctement remplis et il est essentiel que vous préserviez l’entière confidentialité du signalement d’une Vulnérabilité de Sécurité conformément à la présente Politique. Nous vous demandons de ne pas divulguer publiquement votre enquête tant que Verisure (i) n’a pas clôturé sa propre enquête, (ii) n’a pas résolu ou atténué la Vulnérabilité de Sécurité, (iii) et ne vous a pas donné l’autorisation de le faire. 

Étapes suivantes 

Après avoir procédé au signalement, Verisure informe l’auteur du signalement de sa réception et procède à son traitement. Verisure peut contacter l’auteur du signalement par le biais du portail Web anonyme pour obtenir des informations supplémentaires sur le signalement et le tenir informé de l’avancement de l’enquête jusqu’à sa clôture. 

Notre processus interne pour traiter une Vulnérabilité de Sécurité (i) débute par l’examen du signalement et (ii) déterminer l’impact, la gravité et la complexité de celle-ci avant de (iii) mettre en œuvre des mesures correctives, le cas échéant. 

Verisure se réserve le droit de partager avec les parties concernées le contenu du signalement de Vulnérabilités de Sécurité ainsi que les observations qui en découlent, mais ne divulguera pas les informations relatives à l'auteur du signalement. 

Produits ou services de tiers

Les produits, systèmes et données n’appartenant pas à Verisure ne sont pas couverts par la présente Politique. Les auteurs de signalement doivent suivre les politiques de divulgation responsable fournies par les tiers respectifs s’ils souhaitent effectuer des recherches ou des tests sur ces systèmes. 

Règles d’engagement 

Verisure apprécie les efforts et les contributions de la communauté de la recherche en sécurité et exige le respect strict des règles suivantes. Verisure n’intentera pas d’action en justice contre les auteurs de signalement qui découvrent et divulguent de bonne foi les Vulnérabilités de Sécurité, conformément à la présente Politique. 

L’auteur d’un signalement ne doit pas : 

  • Enfreindre les lois ou les réglementations applicables.
  • Introduire une nouvelle Vulnérabilité de Sécurité ou tenter d’exploiter une Vulnérabilité existante.
  • Pratiquer l’ingénierie sociale (tactique qui consiste à manipuler, influencer ou tromper une victime afin de prendre le contrôle d’un système informatique ou de voler des informations personnelles et financières) ou l’hameçonnage des clients ou des employés.
  • Exiger une compensation financière en échange de la divulgation d’une Vulnérabilité de Sécurité.
  • Accéder aux systèmes ou aux données au-delà de ce qui est nécessaire pour identifier et signaler une Vulnérabilité de Sécurité.
  • Altérer les dispositifs de système d’alarme ou des systèmes appartenant à des clients existants, même s’il s’agit de leurs propres systèmes.
  • Modifier, copier, partager, corrompre ou affecter d’une autre manière les données traitées ou stockées dans les Produits ou les systèmes Verisure.
  • Utiliser des outils d’analyse invasifs ou destructifs de haute intensité pour détecter les Vulnérabilités de Sécurité ou effectuer des activités perturbatrices, y compris, mais sans s’y limiter, des attaques par force brute, des attaques par déni de service ou des attaques physiques contre les installations ou les centres de données de Verisure.
  • Désactiver les signaux d’alarme, les notifications ou altérer physiquement votre propre système d’alarme de quelque manière que ce soit.
  • Effectuer des tests ou des recherches sur des services ou des systèmes tiers n’appartenant pas à Verisure, par exemple sur l’infrastructure d’un fournisseur externe de services cloud.
  • Accéder à des quantités inutiles, excessives ou significatives de données autres que celles requises pour la découverte et la confirmation de la Vulnérabilité de Sécurité. 

L’auteur d’un signalement doit : 

  • Accéder uniquement aux données et aux systèmes dans la mesure du nécessaire pour confirmer l’existence d’une Vulnérabilité de Sécurité.
  • Cesser les activités de recherche et/ou de test après confirmation de l’existence d’une Vulnérabilité de Sécurité, et signaler les résultats à Verisure sans délai.
  • Supprimer en toute sécurité toutes les données récupérées pendant la recherche dès que la Vulnérabilité de Sécurité a été signalée et que Verisure a accusé réception de celle-ci.
  • Attendre l’accord écrit de Verisure avant de divulguer publiquement les informations relatives à la Vulnérabilité de Sécurité. Le contenu de la divulgation publique doit également être approuvé par Verisure. 

Ce qu’il ne faut pas signaler : 

  • Les Vulnérabilités de Sécurité qui ont déjà fait l’objet d’un signalement.
  • Les signalements concernant des Vulnérabilités de Sécurité non exploitables.
  • Les bugs de l’interface utilisateur, les bugs de l’expérience utilisateur ou les fautes d’orthographe.
  • Les signalements indiquant que les Produits et les Services ne sont pas entièrement conformes aux « meilleures pratiques », comme des en-têtes de sécurité absents ou des scripts intersites. 

Verisure doit : 

  • Accuser réception des signalements de Vulnérabilité de Sécurité dans les 30 jours suivant la réception de ce dernier.
  • Tenir l’auteur du signalement informé des progrès de l’enquête deux fois par semaine à partir de la date de l’accusé de réception jusqu’à la clôture du signalement de Vulnérabilité de Sécurité.
  • Informer l’auteur du signalement par écrit de la décision indiquant si l’auteur du signalement peut ou non divulguer publiquement la Vulnérabilité de Sécurité. Si la divulgation publique de la Vulnérabilité de Sécurité a été préalablement accordée par Verisure, Verisure doit examiner le contenu de la divulgation publique avant sa publication. 

Réglementation relative à la divulgation responsable 

La présente Politique est conçue pour être compatible avec les bonnes pratiques courantes en matière de divulgation des Vulnérabilités de Sécurité et avec les réglementations applicables. Elle ne protège pas ceux qui enfreignent les lois ou qui agissent d’une manière qui pourrait entraîner la violation d’obligations légales de la part de Verisure ou d’organisations partenaires. 

Qui fait quoi ?

Auteur de signalement

Toute personne qui signale une Vulnérabilité de Sécurité découverte dans les Produits ou les Systèmes Verisure. Il peut s’agir, mais sans s’y limiter, de chercheurs en sécurité, spécialistes du piratage éthique, partenaires, employés et de clients Verisure qui découvrent des anomalies dans le cadre de l’utilisation normale d’un Produit ou d’un Service.

Verisure 

Tout le personnel de Verisure, y compris les employés et les entrepreneurs, impliqué dans le processus d’examen et de réponse aux Vulnérabilités de Sécurité signalées via ce support.

Définitions 

Vulnérabilité de Sécurité 

Les Vulnérabilités de sécurité spécifiques découvertes dans les Produits ou les Services Verisure qui représentent une faiblesse trouvée dans les composants logiciels ou matériels qui, lorsqu’ils sont exploités, peuvent avoir un impact négatif sur la confidentialité, l’intégrité ou la disponibilité des données ou des services Verisure.

Produit/Service de Verisure 

Les produits et les systèmes développés ou fabriqués par Verisure. Les produits, les systèmes et les données n’appartenant pas à Verisure ne sont pas couverts par la présente Politique.

Questions et Assistance 

L’équipe de sécurité de Verisure a été désignée pour gérer les divulgations de Vulnérabilités de Sécurité. Vous pouvez les contacter en remplissant et en soumettant le formulaire ci-dessous. 

Formulaire de soumission 

Politique de Divulgation Responsable | Verisure France

Contrôle de Version 

Historique des versions 

Version - Date d'entrée en vigueur - Description des modifications - Propriétaire - Historique des approbations

1.0 - Avril 2024 - Première version - Responsable de la sécurité des systèmes d'informations - Conseil d'administration du groupe 24.04.2024