Introduction

Chez Sonova, nous nous engageons à assurer la sécurité et la résilience de nos produits et des services associés. Nous comprenons que malgré nos efforts, des vulnérabilités peuvent survenir. Tout le monde est encouragé à signaler les vulnérabilités présumées ou les problèmes de sécurité liés à nos produits ou à leur logiciel ou infrastructure sous-jacente. Cela inclut les chercheurs en sécurité, les clients et les consommateurs finaux, les CERT (Computer Emergency Response Teams), les groupes industriels, les partenaires et toutes les autres parties prenantes.

Avant de soumettre un rapport, lis attentivement cette politique et assure-toi que tes actions sont conformes à ses directives.

Signaler une vulnérabilité

Nous demandons aimablement à toute personne qui pense avoir découvert une faille de sécurité potentielle dans nos produits ou services connexes de nous la signaler dès que possible par l'intermédiaire de notre organisation de service à la clientèle.

Lorsque tu soumets un rapport, tu dois suivre les directives suivantes :

  • Fournis des informations détaillées sur la vulnérabilité potentielle, y compris une description claire et les étapes pour reproduire la constatation. Tu trouveras en annexe un modèle pour rapporter ta découverte.
  • Évite toute action pouvant nuire à la confidentialité, à l'intégrité, à la disponibilité ou à la sécurité de nos produits et services ou de nos données. Tu dois t'abstenir de causer un préjudice matériel, d'altérer les données, d'abuser de l'escalade des privilèges ou de télécharger plus de données qu'il n'est nécessaire pour démontrer la vulnérabilité.
  • Maintiens la confidentialité de tes conclusions jusqu'à ce que nous ayons terminé notre enquête et mis en œuvre les mesures nécessaires. Cela permet de protéger nos utilisateurs et de garantir un traitement responsable des problèmes de sécurité.
  • Informe-nous à l'avance de ton intention de divulguer publiquement la vulnérabilité.
  • Indique tes coordonnées, telles qu'une adresse électronique ou un numéro de téléphone, afin que nous puissions te relancer pour une enquête plus approfondie.

Notre engagement

Lorsqu'elle reçoit un rapport sur une faille de sécurité, Sonova s'engage à ce qui suit :

  • Nous accuserons réception de ton rapport, confirmant que ta soumission a été reçue et qu'elle est en cours de traitement.
  • Notre équipe de sécurité dédiée mènera une enquête approfondie sur la vulnérabilité signalée. Il se peut que nous te contactions pour obtenir des informations supplémentaires ou des éclaircissements afin d'assurer une compréhension complète de la vulnérabilité.
  • Nous donnons la priorité à la résolution des vulnérabilités signalées en fonction de leur gravité et de leur complexité. Notre équipe s'engage à prendre les mesures nécessaires pour traiter et atténuer les risques rapidement et efficacement.
  • Nous maintiendrons une communication ouverte et transparente avec toi tout au long du processus. Tu seras tenu au courant de nos progrès dans l'enquête et la résolution du problème, avec des mises à jour régulières fournies à des étapes clés.

Exclusions

Bien que nous encouragions le signalement de toute faille de sécurité découverte, tu dois savoir que les actions suivantes sont strictement interdites :

  • Utiliser un balayage automatisé invasif ou perturbateur contre notre infrastructure.
  • Accéder, télécharger, modifier ou interférer de toute autre manière avec les données des comptes ou des systèmes dont tu n'es pas propriétaire ou avec lesquels tu n'as pas la permission explicite d'interagir.
  • Effectuer des activités qui perturbent, dégradent ou menacent intentionnellement l'intégrité opérationnelle de nos produits et des services ou systèmes connexes.
  • Divulguer la vulnérabilité identifiée en public avant notre résolution.
  • S'engager dans toute forme d'ingénierie sociale, d'attaques d'hameçonnage ou de pratiques trompeuses contre nos employés, nos utilisateurs ou notre infrastructure.
  • Mener des attaques de sécurité physique sur les biens de Sonova.

Vulnérabilités hors de portée de ce programme

Ce programme de divulgation des vulnérabilités se concentre sur les vulnérabilités liées aux produits Sonova, à leur infrastructure sous-jacente et aux services connexes. Ainsi, les vulnérabilités de notre site Web ou de notre infrastructure accessible au public ne font actuellement pas partie du champ d'application de ce programme.

Pour permettre une allocation efficace des ressources et se concentrer sur l'atténuation des vulnérabilités ayant un impact significatif, nous définissons les catégories suivantes comme étant hors champ pour ce programme de divulgation des vulnérabilités. Le fait de les signaler peut ne pas donner lieu à un accusé de réception ou à des mesures correctives :

  • Les soumissions résultant d'outils de balayage automatisés ou d'analyses automatisées.
  • Les observations concernant les algorithmes cryptographiques SSL/TLS faibles et les vulnérabilités dans les configurations TLS, à moins qu'un risque réel, exploitable et spécifique à notre environnement puisse être démontré.
  • Absence de mesures de sécurité recommandées, de mise en œuvre de bibliothèques connues pour leurs vulnérabilités, ou de messages d'erreur détaillés, à moins que ceux-ci n'incluent des voies d'exploitation claires et démontrables.

Déclaration juridique / Safe Harbour

Chez Sonova, nous apprécions les contributions des chercheurs en sécurité et reconnaissons l'importance de leurs efforts pour améliorer la sécurité de nos produits.

Si tu respectes les directives de notre politique de divulgation des vulnérabilités, tes actions seront considérées comme autorisées, et nous n'engagerons pas de poursuites judiciaires contre toi. Bien que nous soutenions la recherche responsable en matière de sécurité, tu dois savoir que ton adhésion à cette politique ne te dispense pas de te conformer aux lois locales en vigueur. Si une action en justice est engagée par un tiers concernant tes activités dans le cadre de cette politique, sache que, bien que nous visions à clarifier la nature de ton respect de notre politique, nous ne pouvons pas nous engager dans une représentation juridique ou une intervention directe en ton nom.

Nous contacter

Pour toute question ou soumission concernant les failles de sécurité, contacte notre service clientèle https://ch.sennheiser-hearing.com/pages/contact/.