Politique de divulgation coordonnée des vulnérabilités

Introduction

Chez Sonova, nous nous engageons à garantir la sécurité et la résilience de nos produits et services associés. Nous comprenons que malgré nos efforts, des vulnérabilités peuvent survenir. Nous encourageons chacun à signaler les vulnérabilités suspectées ou les problèmes de sécurité liés à nos produits ou à leurs logiciels ou infrastructures sous-jacents. Cela inclut les chercheurs en sécurité, les clients et consommateurs finaux, les CERT (Computer Emergency Response Teams), les groupes industriels, les partenaires et toutes les autres parties prenantes.

Avant de soumettre un rapport, veuillez lire attentivement cette politique et vous assurer que vos actions sont conformes à ses directives.

Signaler une vulnérabilité

Nous demandons à toute personne qui estime avoir découvert une vulnérabilité de sécurité potentielle dans nos produits ou services associés de nous la signaler dans les plus brefs délais via notre service client.

Lors de la soumission d'un rapport, veuillez suivre ces directives :

• Fournissez des informations détaillées sur la vulnérabilité potentielle, y compris une description claire et les étapes pour reproduire la découverte. Vous trouverez un modèle pour signaler votre découverte en annexe.
• Évitez toute action susceptible de nuire à la confidentialité, à l'intégrité, à la disponibilité ou à la sécurité de nos produits, services ou données. Veuillez vous abstenir de causer tout préjudice matériel, de modifier des données, d'abuser d'une élévation de privilèges ou de télécharger plus de données que nécessaire pour démontrer la vulnérabilité.
• Maintenez la confidentialité de vos découvertes jusqu'à ce que nous ayons terminé notre enquête et mis en œuvre les mesures nécessaires. Cela permet de protéger nos utilisateurs et garantit le traitement responsable des problèmes de sécurité.
• Veuillez nous informer à l'avance de votre intention de divulguer publiquement la vulnérabilité.
• Veuillez fournir vos coordonnées, telles qu'une adresse e-mail ou un numéro de téléphone, afin que nous puissions vous recontacter pour une enquête plus approfondie.

Notre engagement

Lors de la réception d'un rapport de vulnérabilité de sécurité, Sonova s'engage à :

• Nous accuserons réception de votre rapport, confirmant que votre soumission a été reçue et est en cours de traitement.
• Notre équipe de sécurité dédiée effectuera une enquête approfondie sur la vulnérabilité signalée. Nous pouvons vous contacter pour obtenir des informations supplémentaires ou des clarifications afin d'assurer une compréhension complète de la vulnérabilité.
• Nous priorisons la résolution des vulnérabilités signalées en fonction de leur gravité et de leur complexité. Notre équipe s'engage à prendre les mesures nécessaires pour traiter et atténuer les risques rapidement et efficacement.
• Nous maintiendrons une communication ouverte et transparente avec vous tout au long du processus. Vous serez tenu informé de nos progrès dans l'enquête et la résolution du problème, avec des mises à jour régulières fournies aux étapes clés.

Exclusions

Bien que nous encouragions le signalement de toute vulnérabilité de sécurité détectée, veuillez noter que les actions suivantes sont strictement interdites :

• Utilisation d'analyses automatisées invasives ou perturbatrices contre notre infrastructure.
• Accès, téléchargement, modification ou toute autre interférence avec des données dans des comptes ou systèmes dont vous n'êtes pas propriétaire ou pour lesquels vous n'avez pas d'autorisation explicite d'interaction.
• Réalisation d'activités visant intentionnellement à perturber, dégrader ou menacer l'intégrité opérationnelle de nos produits et services ou systèmes associés.
• Divulgation publique d'une vulnérabilité identifiée avant notre résolution.
• Participation à toute forme d'ingénierie sociale, d'attaques par hameçonnage ou de pratiques trompeuses contre nos employés, utilisateurs ou infrastructure.
• Réalisation d'attaques de sécurité physique contre les actifs de Sonova.

Vulnérabilités exclues de ce programme

Ce programme de divulgation de vulnérabilités se concentre sur les vulnérabilités liées aux produits Sonova, à leur infrastructure sous-jacente et aux services associés. Par conséquent, les vulnérabilités concernant notre site web ou notre infrastructure publique ne sont actuellement pas incluses dans le périmètre de ce programme.

Afin de permettre une allocation efficace des ressources et de nous concentrer sur l'atténuation des vulnérabilités ayant un impact significatif, nous définissons les catégories suivantes comme exclues du périmètre de ce programme de divulgation de vulnérabilités. Le signalement de ces catégories peut ne pas donner lieu à une reconnaissance ou à des mesures correctives :

• Soumissions résultant d'outils d'analyse automatisée ou d'analyses automatiques.
• Observations concernant des algorithmes cryptographiques SSL/TLS faibles et des vulnérabilités dans les configurations TLS, à moins qu'un risque réel et exploitable spécifique à notre environnement ne puisse être démontré.
• Absence de mesures de sécurité recommandées, implémentation de bibliothèques connues pour leurs vulnérabilités ou messages d'erreur détaillés, à moins que ceux-ci n'incluent des voies d'exploitation claires et démontrables.

Mention légale / Clause de protection

Chez Sonova, nous valorisons les contributions des chercheurs en sécurité et reconnaissons l'importance de leurs efforts pour renforcer la sécurité de nos produits.

Si vous respectez les directives de notre politique de divulgation de vulnérabilités, vos actions seront considérées comme autorisées et nous n'engagerons pas d'action en justice contre vous. Bien que nous soutenions la recherche responsable en matière de sécurité, veuillez noter que votre respect de cette politique ne vous exempte pas de vous conformer aux lois locales applicables. Si une action en justice est engagée par un tiers en lien avec vos activités dans le cadre de cette politique, veuillez noter que, bien que nous nous efforcions de clarifier la nature de votre conformité avec notre politique, nous ne pouvons pas assurer de représentation légale ou d'intervention directe en votre nom.

Nous contacter

Pour toute question ou soumission concernant des vulnérabilités de sécurité, veuillez contacter notre service client https://ch.sennheiser-hearing.com/pages/contact/.