Nous agissons afin que ce qui compte fonctionne*

Politique de divulgation des vulnérabilités des produits

Centre d'excellence en cybersécurité d'Eaton

Nous nous engageons à veiller à ce que nos produits soient sûrs et sécurisés pour nos clients. Compte tenu de l'importance que revêt la cybersécurité dans la conception de nos produits et solutions, nous avons créé un Centre d'excellence en cybersécurité (CCoE) dont le rôle consiste à conduire nos efforts en matière de cybersécurité des produits. 

Présentation générale de la réponse aux incidents liés à la sécurité des produits

Le CCoE a pour mission de répondre aux incidents liés à la sécurité des produits et aux vulnérabilités affectant les produits intelligents d'Eaton. Une équipe internationale dédiée gère la collecte, l’analyse et la résolution des vulnérabilités ainsi que la publication des informations relatives aux failles de sécurité des produits d’Eaton. 

Collecte d'informations sur les vulnérabilités

Nous sommes prêts à travailler en toute bonne foi avec des chercheurs indépendants, l'Équipe d'intervention en cas d'urgences informatiques des États-Unis (ICS-CERT), des organismes de collecte de renseignements liés à la sécurité, nos clients et nos équipes sur le terrain susceptibles de découvrir des vulnérabilités sur nos produits et de soumettre un rapport à ce sujet. Les vulnérabilités peuvent être signalées sur notre page Signaler un problème.

Eaton s'engage à ne pas poursuivre en justice les personnes qui :

  • effectuent des tests/recherches sur les produits intelligents d’Eaton sans porter préjudice à Eaton ou à ses  clients.
  • effectuent des tests de vulnérabilité dans le cadre de la politique d’Eaton en matière de divulgation des vulnérabilités ou obtiennent l'autorisation/le consentement préalable d'Eaton.
  • effectuent des tests sur les produits sans affecter les clients ou obtiennent l'autorisation/le consentement des clients avant d'effectuer des tests de vulnérabilité sur leurs dispositifs/logiciels, etc.
  • respectent la loi du lieu où elles se trouvent et du lieu où se trouve le site d’Eaton.
  • soumettent des rapports de vulnérabilité par le biais de notre processus de signalement de problèmes.
  • s'abstiennent de divulguer les détails de la vulnérabilité au public avant l'expiration d'un délai convenu d'un commun accord.

Accusé de réception et analyse préliminaire

Nous suivons un processus interne d'évaluation des risques pour accepter et accuser réception de l'information sur la vulnérabilité, effectuer une analyse préliminaire et attribuer une note initiale à la vulnérabilité signalée. Pour toute vulnérabilité signalée de l’extérieur par le biais d’une bibliothèque logicielle tierce, nous attribuons une note de risque selon le système de notation des vulnérabilités CVSS v3 applicable au produit concerné et à son contexte de déploiement. Toute vulnérabilité dont la note CVSS globale est supérieure ou égale à 7,0 ou qui est considérée comme un risque majeur pour la sécurité par le CCoE sera traitée en priorité.

Correction ou atténuation

Eaton remédie aux vulnérabilités identifiées sur les produits actuellement pris en charge. L'équipe du CCoE travaille avec l'équipe produit pour remédier aux vulnérabilités selon la priorité attribuée. Un délai approximatif pour la résolution du problème est estimé et communiqué à la partie déclarante (chercheurs indépendants, ICS-CERT ou autres organes) ayant signalé la vulnérabilité.  Pendant ce temps, l'équipe du CCoE sert de point de contact unique pour les entités externes et collabore avec les équipes internes pour procéder aux tests et à la correction de la vulnérabilité.  Le contact peut être maintenu avec la partie déclarante tout au long du processus de résolution du problème.

Publication de la correction

Eaton publie des correctifs de vulnérabilité via la chaîne de distribution habituelle des produits concernés. Les informations techniques complètes relatives aux correctifs sont publiées sous la forme d'un avis de sécurité Eaton.

Eaton préfère coopérer avec les chercheurs en vulnérabilité en vue d'assurer une divulgation coordonnée et attend de ces derniers qu'ils s'abstiennent de divulguer au public des détails sur la vulnérabilité avant l'expiration d'un délai convenu d'un commun accord.

Avis de sécurité Eaton

Les informations relatives aux failles de sécurité sont publiées sur notre page d’avertissements en matière de cybersécurité. Cette page sert de dépôt central pour les avis de sécurité émis par Eaton au sujet de ses produits électriques. Les clients sont invités à consulter ce portail pour connaître les avis de sécurité les plus récents.

Nous publions les avis de sécurité relatifs aux vulnérabilités reconnues à partir du moment où une solution de contournement ou un correctif a été identifié. Dans certains cas, un avis peut être émis en l'absence d'une solution de contournement. Vu le caractère unique de chaque faille de sécurité, nous nous réservons le droit de prendre d'autres mesures dans le cadre de la diffusion des avis de sécurité. 

Eaton ne garantit pas que des avis de sécurité seront émis pour tous les problèmes de sécurité jugés importants par les clients ou qu’ils seront émis selon un calendrier précis.

Remarque :  Eaton se réserve le droit de modifier cette politique à tout moment, à sa seule discrétion.

Récompense et reconnaissance

Eaton dispose de son propre « Panthéon de la renommée » pour honorer la contribution des chercheurs qui signalent les vulnérabilités des produits en matière de cybersécurité, conformément à la présente politique :

 

Contributeur                            Organisation Notification
Natnael Samson ZDI de Trend micro

CVE-2020-10637

CVE-2020-10639

Ravjot Singh Samra   CVE-2020-6650
Sivathmican Sivakumaran ZDI de Trend micro

CVE-2020-6651

CVE-2020-6652

spacer
Contributeur                       Organisation Notification
Emre Övünç   CVE-2018-12031
Tod Beardly Rapid 7 CVE-2019-5625
spacer
Contributeur                       Organisation Notification
Ariele Caltabiano (kimiya) ZDI de Trend micro CVE-2018-7511
Ghirmay Desta ZDI de Trend micro CVE-2018-8847
spacer