{"id":151290,"date":"2024-02-15T17:00:26","date_gmt":"2024-02-15T17:00:26","guid":{"rendered":"https:\/\/bas-ip.com\/security-policy\/"},"modified":"2025-11-27T11:35:04","modified_gmt":"2025-11-27T11:35:04","slug":"security-policy","status":"publish","type":"page","link":"https:\/\/bas-ip.com\/fr\/security-policy\/","title":{"rendered":"Politique de s\u00e9curit\u00e9"},"content":{"rendered":"<h1 class=\"wp-block-heading\">Politique de divulgation des vuln\u00e9rabilit\u00e9s<\/h1>\n\n\n\n<h1 class=\"wp-block-heading\">Informations g\u00e9n\u00e9rales<\/h1>\n\n\n\n<p>BAS-IP applique les meilleures pratiques de l&rsquo;industrie pour g\u00e9rer et r\u00e9pondre aux vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 d\u00e9couvertes dans nos produits. Il est impossible de garantir que les produits et services fournis par notre entreprise sont totalement exempts de vuln\u00e9rabilit\u00e9s. Il ne s&rsquo;agit pas d&rsquo;une caract\u00e9ristique unique, mais plut\u00f4t d&rsquo;une condition commune \u00e0 tous les logiciels et services, mais nous pouvons garantir que, \u00e0 toutes les \u00e9tapes du d\u00e9veloppement, nous nous efforcerons d&rsquo;identifier et d&rsquo;\u00e9liminer les vuln\u00e9rabilit\u00e9s potentielles, r\u00e9duisant ainsi le risque associ\u00e9 au d\u00e9ploiement des produits et services BAS-IP dans les environnements clients.<\/p>\n\n\n\n<p>BAS-IP reconna\u00eet que certains protocoles et services r\u00e9seau standard peuvent pr\u00e9senter des faiblesses inh\u00e9rentes qui peuvent \u00eatre exploit\u00e9es. Bien que BAS-IP ne soit pas responsable de ces protocoles et services, nous fournissons des recommandations pour r\u00e9duire les risques associ\u00e9s aux produits, logiciels et services BAS-IP sous la forme de <a href=\"https:\/\/basip.atlassian.net\/wiki\/spaces\/HP\/pages\/5046705\/The+practice+of+building+IP+intercom+systems\" target=\"_blank\" rel=\"noopener\">divers guides<\/a>.<\/p>\n\n\n\n<h1 class=\"wp-block-heading\">Ce que couvre la Politique<\/h1>\n\n\n\n<p>La politique de gestion des vuln\u00e9rabilit\u00e9s d\u00e9crite dans ce document s&rsquo;applique \u00e0 tous les produits, logiciels et services sous la marque BAS-IP.<\/p>\n\n\n\n<h1 class=\"wp-block-heading\">Ce que la Politique ne couvre pas<\/h1>\n\n\n\n<p>Certaines vuln\u00e9rabilit\u00e9s ne sont pas couvertes par la politique de gestion des vuln\u00e9rabilit\u00e9s de BAS-IP. Veuillez ne pas envoyer de rapports de vuln\u00e9rabilit\u00e9 qui ne sont pas couverts par cette politique \u00e0 <a href=\"mailto:security@bas-ip.com\" data-type=\"link\" data-id=\"security@bas-ip.com\">security@bas-ip.com<\/a>:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Vuln\u00e9rabilit\u00e9s n\u00e9cessitant des <strong>privil\u00e8ges \u00e9lev\u00e9s<\/strong> et\/ou de l&rsquo;<strong>ing\u00e9nierie sociale<\/strong>, qui sont d\u00e9clench\u00e9es\/ex\u00e9cut\u00e9es avec un acc\u00e8s root\/administrateur et\/ou n\u00e9cessitent une <strong>interaction complexe<\/strong> de l&rsquo;utilisateur<\/li>\n\n\n\n<li><strong>Prise de contr\u00f4le de sous-domaine<\/strong> (<em>Subdomain takeover<\/em>), par exemple, obtenir le contr\u00f4le d&rsquo;un n\u0153ud pointant vers un service actuellement inutilis\u00e9<\/li>\n\n\n\n<li><strong>Configurations utilisateur incorrectes<\/strong> qui peuvent \u00eatre \u00e9vit\u00e9es en suivant les guides BAS-IP<\/li>\n\n\n\n<li>Vuln\u00e9rabilit\u00e9s dans le contenu ou les applications cr\u00e9\u00e9es par des <strong>utilisateurs ou partenaires tiers<\/strong>, telles que les applications qui peuvent \u00eatre t\u00e9l\u00e9charg\u00e9es et ex\u00e9cut\u00e9es sur les appareils BAS-IP<\/li>\n\n\n\n<li>Vuln\u00e9rabilit\u00e9s <strong>Cross-Site Request Forgery (CSRF)<\/strong> ou <strong>Cross-Site Scripting (XSS)<\/strong> qui trompent l&rsquo;utilisateur pour qu&rsquo;il visite un site web malveillant ou clique sur un lien d\u00e9guis\u00e9 lors de l&rsquo;acc\u00e8s \u00e0 l&rsquo;interface web des appareils BAS-IP<\/li>\n\n\n\n<li>Vuln\u00e9rabilit\u00e9s <strong>open-source tierces<\/strong> enregistr\u00e9es avec un identifiant CVE, situ\u00e9es dans des composants logiciels ou des paquets utilis\u00e9s dans les produits, logiciels ou services BAS-IP. Les exemples courants de ces composants logiciels incluent le noyau Linux, OpenSSL, AOSP et autres<\/li>\n\n\n\n<li><strong>Manque d&rsquo;en-t\u00eates de s\u00e9curit\u00e9<\/strong> HTTP(S), tels que X-Frame-Options<\/li>\n\n\n\n<li>Rapports de vuln\u00e9rabilit\u00e9 g\u00e9n\u00e9r\u00e9s par des <strong>scanners de s\u00e9curit\u00e9 r\u00e9seau tiers<\/strong><\/li>\n\n\n\n<li>Produits\/logiciels\/services <strong>non pris en charge<\/strong><\/li>\n\n\n\n<li>Tests de <strong>d\u00e9ni de service r\u00e9seau (DoS ou DDoS)<\/strong> ou autres tests qui perturbent l&rsquo;acc\u00e8s au syst\u00e8me ou aux donn\u00e9es ou leur causent des dommages<\/li>\n<\/ul>\n\n\n\n<h1 class=\"wp-block-heading\">Obligations<\/h1>\n\n\n\n<p>BAS-IP valorise et encourage les efforts des chercheurs dans l&rsquo;identification et la notification des vuln\u00e9rabilit\u00e9s dans les produits, logiciels et services BAS-IP. En suivant le processus de divulgation responsable, l&rsquo;\u00e9quipe de s\u00e9curit\u00e9 des produits BAS-IP respectera, au mieux de ses capacit\u00e9s, les int\u00e9r\u00eats des chercheurs par le biais d&rsquo;une coop\u00e9ration mutuelle et d&rsquo;une transparence tout au long du processus de divulgation.<\/p>\n\n\n\n<p>La Soci\u00e9t\u00e9 BAS-IP attend des chercheurs qu&rsquo;ils <strong>ne divulguent pas les vuln\u00e9rabilit\u00e9s avant l&rsquo;expiration de la p\u00e9riode de 90 jours ou d&rsquo;une date convenue mutuellement<\/strong> et qu&rsquo;ils m\u00e8nent la recherche de vuln\u00e9rabilit\u00e9s dans le <strong>cadre l\u00e9gal<\/strong>, sans causer de pr\u00e9judice, divulguer de la confidentialit\u00e9 ou compromettre la s\u00e9curit\u00e9 de la Soci\u00e9t\u00e9 BAS-IP, de ses partenaires et de ses clients.<\/p>\n\n\n\n<h1 class=\"wp-block-heading\">Gestion des vuln\u00e9rabilit\u00e9s<\/h1>\n\n\n\n<p>La Soci\u00e9t\u00e9 BAS-IP \u00e9value les vuln\u00e9rabilit\u00e9s \u00e0 l&rsquo;aide du syst\u00e8me de notation <a href=\"https:\/\/www.first.org\/cvss\/calculator\/3-1\" target=\"_blank\" rel=\"noopener\"><strong>CVSS<\/strong> bien connu<\/a>.<\/p>\n\n\n\n<p>Concernant les vuln\u00e9rabilit\u00e9s des composants open-source, BAS-IP peut \u00e9valuer la vuln\u00e9rabilit\u00e9 en fonction de sa signification dans le contexte de la mani\u00e8re dont BAS-IP recommande de mettre en \u0153uvre ses produits, logiciels et services. Les consultations de s\u00e9curit\u00e9 ne sont g\u00e9n\u00e9ralement fournies que pour les vuln\u00e9rabilit\u00e9s sp\u00e9cifiques \u00e0 BAS-IP.<\/p>\n\n\n\n<p><strong>R\u00e9partition des priorit\u00e9s<\/strong> lorsqu&rsquo;une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 \u00e9valu\u00e9e et doit \u00eatre corrig\u00e9e :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>CVSS 3.1 high\/critical (7.0 \u2013 10.0)<\/strong><br>BAS-IP s&rsquo;efforce de corriger la vuln\u00e9rabilit\u00e9 avant ou dans les <strong>4 semaines<\/strong> suivant la divulgation externe. Pour les composants open-source, le d\u00e9lai est g\u00e9n\u00e9ralement plus long, car BAS-IP d\u00e9pend de parties externes pour les informations, les correctifs et\/ou la v\u00e9rification<\/li>\n\n\n\n<li><strong>CVSS 3.1 medium (4.0 \u2013 6.9)<\/strong><br>BAS-IP vise \u00e0 corriger la vuln\u00e9rabilit\u00e9, g\u00e9n\u00e9ralement dans les <strong>2-3 mois<\/strong><\/li>\n\n\n\n<li><strong>CVSS 3.1 low (0.1 \u2013 3.9)<\/strong><br>BAS-IP pr\u00e9voit de corriger la vuln\u00e9rabilit\u00e9 dans la <strong>prochaine version planifi\u00e9e<\/strong><\/li>\n\n\n\n<li>Logiciels\/services pris en charge<br>L&rsquo;\u00e9tape de support des logiciels\/services BAS-IP est d\u00e9termin\u00e9e dans le cadre du processus global de cycle de vie du logiciel. Les logiciels\/services BAS-IP sont g\u00e9n\u00e9ralement pris en charge pendant <strong>1 an apr\u00e8s l&rsquo;annonce de la fin de vie<\/strong> (<em>end-of-life<\/em>).<\/li>\n<\/ul>\n\n\n\n<h1 class=\"wp-block-heading\">Signalement d&rsquo;une vuln\u00e9rabilit\u00e9<\/h1>\n\n\n\n<p>BAS-IP travaille constamment \u00e0 identifier et \u00e0 att\u00e9nuer les risques associ\u00e9s aux vuln\u00e9rabilit\u00e9s dans nos produits. Cependant, si vous avez d\u00e9couvert une vuln\u00e9rabilit\u00e9 du syst\u00e8me de s\u00e9curit\u00e9 li\u00e9e \u00e0 un produit, un logiciel ou un service de BAS-IP, nous vous recommandons fortement de signaler le probl\u00e8me <strong>imm\u00e9diatement<\/strong>. Le signalement rapide des vuln\u00e9rabilit\u00e9s du syst\u00e8me de s\u00e9curit\u00e9 est crucial pour r\u00e9duire la probabilit\u00e9 de leur utilisation pratique. Les vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 li\u00e9es aux composants logiciels open-source doivent \u00eatre signal\u00e9es directement \u00e0 l&rsquo;organisation responsable.<\/p>\n\n\n\n<p>Les utilisateurs finaux, les partenaires, les fournisseurs, les groupes industriels et les chercheurs ind\u00e9pendants qui ont d\u00e9couvert une vuln\u00e9rabilit\u00e9 potentielle sont encourag\u00e9s \u00e0 signaler leurs d\u00e9couvertes \u00e0 <strong><a href=\"mailto:security@bas-ip.com\">security@bas-ip.com<\/a><\/strong> ou en remplissant un <strong><a href=\"https:\/\/docs.google.com\/forms\/d\/e\/1FAIpQLSdetHDUfdt0Fxk9ctY1-XWJARmQA_2-wBeXVbX2fnweQasVAA\/viewform\" target=\"_blank\" rel=\"noopener\">formulaire anonyme<\/a><\/strong>.<\/p>\n\n\n\n<p><strong>Le rapport soumis doit inclure :<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Informations techniques sur la vuln\u00e9rabilit\u00e9 potentielle<\/li>\n\n\n\n<li>\u00c9tapes pour reproduire<\/li>\n\n\n\n<li>Impact et gravit\u00e9 estim\u00e9s en cas d&rsquo;exploitation selon CVSS 3.1<\/li>\n\n\n\n<li>La propre politique de divulgation de vuln\u00e9rabilit\u00e9s du chercheur, le cas \u00e9ch\u00e9ant<\/li>\n<\/ul>\n\n\n\n<p>Vous pouvez attendre ce qui suit de la Soci\u00e9t\u00e9 BAS-IP :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>D\u00e9lai pour la premi\u00e8re r\u00e9ponse \u2014 dans les <strong>3 jours ouvrables<\/strong> apr\u00e8s r\u00e9ception du message initial<\/li>\n\n\n\n<li>D\u00e9lai de traitement (\u00e0 partir du moment de la r\u00e9ception de la premi\u00e8re r\u00e9ponse) \u2014 dans les <strong>10 jours ouvrables<\/strong><\/li>\n\n\n\n<li>Nous serons aussi transparents que possible concernant les mesures que nous prenons dans le processus de correction, y compris les questions et probl\u00e8mes qui pourraient retarder la solution<\/li>\n\n\n\n<li>Nous maintiendrons un dialogue ouvert pour discuter des probl\u00e8mes<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Divulgation de vuln\u00e9rabilit\u00e9<\/h2>\n\n\n\n<p>Une fois que le rapport d&rsquo;une vuln\u00e9rabilit\u00e9 d\u00e9couverte a \u00e9t\u00e9 examin\u00e9 et confirm\u00e9 comme \u00e9tant authentique, BAS-IP entame le processus de <strong>divulgation responsable<\/strong>. BAS-IP s&rsquo;efforce de collaborer avec le chercheur concernant des d\u00e9tails suppl\u00e9mentaires, tels que l&rsquo;\u00e9valuation CVSS 3.1, le contenu de la recommandation de s\u00e9curit\u00e9 et\/ou les communiqu\u00e9s de presse (le cas \u00e9ch\u00e9ant), et la date de divulgation externe.<\/p>\n\n\n\n<p>Apr\u00e8s un accord entre la Soci\u00e9t\u00e9 BAS-IP et le chercheur, la vuln\u00e9rabilit\u00e9 sera divulgu\u00e9e \u00e0 des fins externes par la publication de recommandations de s\u00e9curit\u00e9 et\/ou d&rsquo;un communiqu\u00e9 de presse par la Soci\u00e9t\u00e9 BAS-IP.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Historique des modifications du document<\/h2>\n\n\n\n<figure class=\"wp-block-table\"><table><tbody><tr><th>Version<\/th><th>Date<\/th><th>Description<\/th><\/tr><tr><td>1.0<\/td><td>15.02.2024<\/td><td>Premi\u00e8re version<\/td><\/tr><\/tbody><\/table><\/figure>","protected":false},"excerpt":{"rendered":"<p>Politique de divulgation des vuln\u00e9rabilit\u00e9s Informations g\u00e9n\u00e9rales BAS-IP applique les meilleures pratiques de l&rsquo;industrie pour g\u00e9rer et r\u00e9pondre aux vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 d\u00e9couvertes dans nos produits. Il est impossible de garantir que les produits et services fournis par notre entreprise sont totalement exempts de vuln\u00e9rabilit\u00e9s. Il ne s&rsquo;agit pas d&rsquo;une caract\u00e9ristique unique, mais plut\u00f4t d&rsquo;une [&hellip;]<\/p>","protected":false},"author":1,"featured_media":0,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"inline_featured_image":false,"footnotes":""},"class_list":["post-151290","page","type-page","status-publish","hentry"],"acf":[],"_links":{"self":[{"href":"https:\/\/bas-ip.com\/fr\/wp-json\/wp\/v2\/pages\/151290","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/bas-ip.com\/fr\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/bas-ip.com\/fr\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/bas-ip.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/bas-ip.com\/fr\/wp-json\/wp\/v2\/comments?post=151290"}],"version-history":[{"count":2,"href":"https:\/\/bas-ip.com\/fr\/wp-json\/wp\/v2\/pages\/151290\/revisions"}],"predecessor-version":[{"id":151362,"href":"https:\/\/bas-ip.com\/fr\/wp-json\/wp\/v2\/pages\/151290\/revisions\/151362"}],"wp:attachment":[{"href":"https:\/\/bas-ip.com\/fr\/wp-json\/wp\/v2\/media?parent=151290"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}