Skip to Content
Go back
BAS-IP / Politique de sécurité

Politique de divulgation des vulnérabilités

Informations générales

BAS-IP applique les meilleures pratiques de l’industrie pour gérer et répondre aux vulnérabilités de sécurité découvertes dans nos produits. Il est impossible de garantir que les produits et services fournis par notre entreprise sont totalement exempts de vulnérabilités. Il ne s’agit pas d’une caractéristique unique, mais plutôt d’une condition commune à tous les logiciels et services, mais nous pouvons garantir que, à toutes les étapes du développement, nous nous efforcerons d’identifier et d’éliminer les vulnérabilités potentielles, réduisant ainsi le risque associé au déploiement des produits et services BAS-IP dans les environnements clients.

BAS-IP reconnaît que certains protocoles et services réseau standard peuvent présenter des faiblesses inhérentes qui peuvent être exploitées. Bien que BAS-IP ne soit pas responsable de ces protocoles et services, nous fournissons des recommandations pour réduire les risques associés aux produits, logiciels et services BAS-IP sous la forme de divers guides.

Ce que couvre la Politique

La politique de gestion des vulnérabilités décrite dans ce document s’applique à tous les produits, logiciels et services sous la marque BAS-IP.

Ce que la Politique ne couvre pas

Certaines vulnérabilités ne sont pas couvertes par la politique de gestion des vulnérabilités de BAS-IP. Veuillez ne pas envoyer de rapports de vulnérabilité qui ne sont pas couverts par cette politique à [email protected]:

  • Vulnérabilités nécessitant des privilèges élevés et/ou de l’ingénierie sociale, qui sont déclenchées/exécutées avec un accès root/administrateur et/ou nécessitent une interaction complexe de l’utilisateur
  • Prise de contrôle de sous-domaine (Subdomain takeover), par exemple, obtenir le contrôle d’un nœud pointant vers un service actuellement inutilisé
  • Configurations utilisateur incorrectes qui peuvent être évitées en suivant les guides BAS-IP
  • Vulnérabilités dans le contenu ou les applications créées par des utilisateurs ou partenaires tiers, telles que les applications qui peuvent être téléchargées et exécutées sur les appareils BAS-IP
  • Vulnérabilités Cross-Site Request Forgery (CSRF) ou Cross-Site Scripting (XSS) qui trompent l’utilisateur pour qu’il visite un site web malveillant ou clique sur un lien déguisé lors de l’accès à l’interface web des appareils BAS-IP
  • Vulnérabilités open-source tierces enregistrées avec un identifiant CVE, situées dans des composants logiciels ou des paquets utilisés dans les produits, logiciels ou services BAS-IP. Les exemples courants de ces composants logiciels incluent le noyau Linux, OpenSSL, AOSP et autres
  • Manque d’en-têtes de sécurité HTTP(S), tels que X-Frame-Options
  • Rapports de vulnérabilité générés par des scanners de sécurité réseau tiers
  • Produits/logiciels/services non pris en charge
  • Tests de déni de service réseau (DoS ou DDoS) ou autres tests qui perturbent l’accès au système ou aux données ou leur causent des dommages

Obligations

BAS-IP valorise et encourage les efforts des chercheurs dans l’identification et la notification des vulnérabilités dans les produits, logiciels et services BAS-IP. En suivant le processus de divulgation responsable, l’équipe de sécurité des produits BAS-IP respectera, au mieux de ses capacités, les intérêts des chercheurs par le biais d’une coopération mutuelle et d’une transparence tout au long du processus de divulgation.

La Société BAS-IP attend des chercheurs qu’ils ne divulguent pas les vulnérabilités avant l’expiration de la période de 90 jours ou d’une date convenue mutuellement et qu’ils mènent la recherche de vulnérabilités dans le cadre légal, sans causer de préjudice, divulguer de la confidentialité ou compromettre la sécurité de la Société BAS-IP, de ses partenaires et de ses clients.

Gestion des vulnérabilités

La Société BAS-IP évalue les vulnérabilités à l’aide du système de notation CVSS bien connu.

Concernant les vulnérabilités des composants open-source, BAS-IP peut évaluer la vulnérabilité en fonction de sa signification dans le contexte de la manière dont BAS-IP recommande de mettre en œuvre ses produits, logiciels et services. Les consultations de sécurité ne sont généralement fournies que pour les vulnérabilités spécifiques à BAS-IP.

Répartition des priorités lorsqu’une vulnérabilité a été évaluée et doit être corrigée :

  • CVSS 3.1 high/critical (7.0 – 10.0)
    BAS-IP s’efforce de corriger la vulnérabilité avant ou dans les 4 semaines suivant la divulgation externe. Pour les composants open-source, le délai est généralement plus long, car BAS-IP dépend de parties externes pour les informations, les correctifs et/ou la vérification
  • CVSS 3.1 medium (4.0 – 6.9)
    BAS-IP vise à corriger la vulnérabilité, généralement dans les 2-3 mois
  • CVSS 3.1 low (0.1 – 3.9)
    BAS-IP prévoit de corriger la vulnérabilité dans la prochaine version planifiée
  • Logiciels/services pris en charge
    L’étape de support des logiciels/services BAS-IP est déterminée dans le cadre du processus global de cycle de vie du logiciel. Les logiciels/services BAS-IP sont généralement pris en charge pendant 1 an après l’annonce de la fin de vie (end-of-life).

Signalement d’une vulnérabilité

BAS-IP travaille constamment à identifier et à atténuer les risques associés aux vulnérabilités dans nos produits. Cependant, si vous avez découvert une vulnérabilité du système de sécurité liée à un produit, un logiciel ou un service de BAS-IP, nous vous recommandons fortement de signaler le problème immédiatement. Le signalement rapide des vulnérabilités du système de sécurité est crucial pour réduire la probabilité de leur utilisation pratique. Les vulnérabilités de sécurité liées aux composants logiciels open-source doivent être signalées directement à l’organisation responsable.

Les utilisateurs finaux, les partenaires, les fournisseurs, les groupes industriels et les chercheurs indépendants qui ont découvert une vulnérabilité potentielle sont encouragés à signaler leurs découvertes à [email protected] ou en remplissant un formulaire anonyme.

Le rapport soumis doit inclure :

  • Informations techniques sur la vulnérabilité potentielle
  • Étapes pour reproduire
  • Impact et gravité estimés en cas d’exploitation selon CVSS 3.1
  • La propre politique de divulgation de vulnérabilités du chercheur, le cas échéant

Vous pouvez attendre ce qui suit de la Société BAS-IP :

  • Délai pour la première réponse — dans les 3 jours ouvrables après réception du message initial
  • Délai de traitement (à partir du moment de la réception de la première réponse) — dans les 10 jours ouvrables
  • Nous serons aussi transparents que possible concernant les mesures que nous prenons dans le processus de correction, y compris les questions et problèmes qui pourraient retarder la solution
  • Nous maintiendrons un dialogue ouvert pour discuter des problèmes

Divulgation de vulnérabilité

Une fois que le rapport d’une vulnérabilité découverte a été examiné et confirmé comme étant authentique, BAS-IP entame le processus de divulgation responsable. BAS-IP s’efforce de collaborer avec le chercheur concernant des détails supplémentaires, tels que l’évaluation CVSS 3.1, le contenu de la recommandation de sécurité et/ou les communiqués de presse (le cas échéant), et la date de divulgation externe.

Après un accord entre la Société BAS-IP et le chercheur, la vulnérabilité sera divulguée à des fins externes par la publication de recommandations de sécurité et/ou d’un communiqué de presse par la Société BAS-IP.

Historique des modifications du document

VersionDateDescription
1.015.02.2024Première version