DÉCOUVERTE ET DIVULGATION DE VULNÉRABILITÉS
DÉCOUVERTE ET DIVULGATION DE VULNÉRABILITÉS
Politique de découverte et de divulgation des vulnérabilités
Version 1.4- octobre 2023
Introduction
Sylvania considère la sécurité, la confidentialité et la sûreté de ses clients comme l’une de ses principales priorités. Nous concevons et fabriquons des produits et des services de la meilleure qualité et fiabilité possible. Malgré nos efforts pour mettre en œuvre les meilleures mesures de sécurité possibles, des vulnérabilités peuvent toujours être présentes dans nos produits et services. Ce document décrit la politique de Sylvania en matière de réception de rapports relatifs à des failles de sécurité potentielles dans ses produits et services, les procédures de l’entreprise pour traiter un rapport, ainsi que la pratique standard de l’entreprise en ce qui concerne l’information des clients sur les failles vérifiées. Tout le monde est encouragé à signaler les vulnérabilités identifiées, quel que soit le type de service ou de produit. Les chercheurs, les partenaires, les clients ou toute autre source sont invités à signaler les vulnérabilités découvertes.
Champ d’application
Cette politique s’applique aux systèmes et services suivants :
- • sylvania-group.com
- • https://comnet.sylvania-lighting.com
- • SylSmart Energy (energy.sylvania-lighting.com)
- • Application mobile SylSmart Home
- • Application mobile autonome SylSmart
- • Application mobile et application web SylSmart Connected (https://connected.sylvania-lighting.com/)
- • SylSmart Connected Pro (https://connectedpro.sylvania-lighting.com)
- • Solution Sylvania application mobile
- • Application web SylSmart City (city.sylvania-lighting.com / city.sylvania-latam.com)
- • Application mobile SylSmart City
Note à l’attention des chercheurs : Tous les services qui ne sont pas expressément énumérés ci-dessus sont exclus du champ d’application et ne sont pas autorisés à être testés.
Lignes directrices
Nous vous demandons de bien vouloir :
- • Notifiez Feilo Sylvania en premier lieu et dès que possible après avoir découvert un problème de sécurité réel ou potentiel.
- • Mettez tout en œuvre pour éviter les violations de la vie privée, la dégradation des performances du système, la dégradation de l’expérience de l’utilisateur, la perturbation des systèmes de production et la destruction ou la manipulation des données.
- • N’utilisez les exploits que dans la mesure nécessaire pour confirmer la présence d’une vulnérabilité.
- • N’utilisez pas un exploit pour compromettre ou extraire des données, établir un accès à la ligne de commande et/ou une persistance, ou utiliser l’exploit pour “pivoter” vers d’autres systèmes.
- • Une fois que vous avez établi l’existence d’une vulnérabilité ou que vous avez trouvé des données sensibles (y compris des informations personnelles identifiables, des informations financières, des informations exclusives ou des secrets commerciaux d’une partie), vous devez interrompre votre test, nous en informer immédiatement et ne pas divulguer ces données à qui que ce soit d’autre.
- • Donnez à Feilo Sylvania un délai raisonnable pour résoudre le problème.
- • N’utilisez pas de tests de déni de service du réseau (DoS ou DDoS) ou d’autres tests qui empêchent l’accès à un système ou à des données ou les endommagent.
Si ces lignes directrices sont respectées, aucune action en justice ne sera engagée à l’encontre des personnes qui découvrent et signalent une vulnérabilité.
Signaler une vulnérabilité
La méthode préférée pour contacter Feilo Sylvania au sujet d’une vulnérabilité réelle ou potentielle dans ses produits ou services est d’envoyer un courrier électronique à l’adresse suivante
Afin de traiter efficacement votre rapport sur la vulnérabilité, nous attendons un rapport bien rédigé en anglais contenant les informations suivantes :
- • Date et heure de la découverte
- • Application mobile utilisée
- • Système d’exploitation mobile
- • Modèle d’ordinateur et détails du système d’exploitation
- • Numéro de modèle de l’appareil et adresses MAC/UUID associées
- • Modèle et numéro du produit en utilisant si possible la nomenclature du fournisseur
- • URL, informations sur le navigateur, y compris le type et la version, et données requises pour reproduire la vulnérabilité ;
- • Description technique – indiquez les actions effectuées et le résultat avec autant de détails que possible, y compris des captures d’écran,
- • Exemple de code – si possible, fournissez le code qui a été utilisé dans les tests pour créer la vulnérabilité ;
- • Journée reporting – meilleures coordonnées de contacts
- • Plan(s) de divulgation – plan actuel de divulgation ;
- • Évaluation des menaces/risques et degré de gravité – contient des informations détaillées sur les menaces et/ou les risques identifiés, y compris un niveau de risque (mineur, majeur, critique).
- • Informations pertinentes sur les appareils connectés en cas de vulnérabilité au cours de l’interaction.
Veuillez ne pas inclure de données personnelles dans vos rapports, à l’exception de ce qui est nécessaire pour vous contacter conformément au GDPR.
La participation à ce mécanisme de signalement ne vous confère aucun droit sur la propriété intellectuelle de Feilo Sylvania ou d’un tiers.
Traitement du rapport – Prochaines étapes
Une fois que Feilo Sylvania a reçu votre rapport, Feilo Sylvania s’efforcera d’accuser réception de tous les rapports soumis dans les sept jours.
Votre rapport sera traité dans notre système de suivi des problèmes.
Le degré de gravité du rapport sera pris en compte et attribué à la seule discrétion de Feilo Sylvania, et un membre approprié de l’équipe vous contactera pour assurer le suivi.
Pour garantir la confidentialité, nous vous encourageons à crypter toute information sensible que vous nous envoyez par courrier électronique.
Feilo Sylvania assurera un dialogue ouvert pour discuter des problèmes et vous tiendra informé à chaque étape de l’enquête.
Feilo Sylvania a toute latitude pour décider d’accepter ou non un rapport en fonction du degré de gravité ou du contenu du rapport fourni.
Feilo Sylvania vous remercie pour votre aide dans l’identification d’une vulnérabilité, pour l’amélioration de nos produits et services et pour votre contribution à une communauté plus sûre.
Tous les aspects de ce processus sont susceptibles d’être modifiés sans préavis et de faire l’objet d’exceptions au cas par cas.
Aucun niveau de réponse particulier n’est garanti pour une question ou un groupe de questions spécifiques.
Notez qu’il n’y a pas de récompense financière pour toute vulnérabilité signalée.