Stratégie de divulgation des vulnérabilités
Introduction
Chez Ivanti, nous nous engageons à garantir la sécurité et l'intégrité de nos logiciels d'entreprise. Nous reconnaissons le rôle vital que jouent les chercheurs en sécurité, les pirates éthiques et la communauté au sens large dans l'identification et le signalement des vulnérabilités. La présente stratégie de divulgation des vulnérabilités souligne notre engagement à collaborer avec les chercheurs en sécurité pour renforcer la sécurité de nos logiciels. Elle décrit les étapes à suivre pour signaler les vulnérabilités, ce que nous attendons et ce que vous pouvez attendre de nous.
Si vous rencontrez un problème de sécurité impliquant des produits ou solutions Ivanti, y compris avec des produits d'entreprises rachetées par Ivanti (comme Pulse Secure, Cherwell et MobileIron), ou si vous disposez d'informations de sécurité concernant l'infrastructure Ivanti, nous vous encourageons à les communiquer via l'un des canaux présentés à la section « Canaux de reporting ». Votre regard attentif et votre contribution jouent un rôle déterminant pour préserver la sécurité de nos produits et maintenir l'intégrité de notre infrastructure. Nous apprécions votre engagement à soutenir les efforts de sécurité d'Ivanti. Merci de vous associer à nous dans cet effort important.
Périmètre
Éléments inclus
La stratégie de divulgation des vulnérabilités s'applique à tous les actifs numériques qu'Ivanti possède, utilise ou maintient, notamment les produits et services Ivanti, et l'infrastructure IT et OT d'Ivanti (y compris ses systèmes et son réseau).
Éléments exclus
Les types d'attaques suivants ne sont pas considérés comme inclus dans notre programme de divulgation des vulnérabilités :
- Attaques par déni de service (DoS), notamment les attaques par épuisement des ressources, les exploitations provoquant un déni de service, ou tout type de « test de résilience » visant des solutions Ivanti ou hébergées par Ivanti, et susceptibles de provoquer une perturbation des services.
- Test physique des bureaux, centres de données, installations de colocation, etc., d'Ivanti.
- Activités de nos collaborateurs, clients, partenaires, etc., sur les réseaux sociaux.
- Attaque ou événement visant une solution ou un produit Ivanti hébergé par un client sur son propre réseau, sans approbation préalable pour test.
- Résultats de scans automatisés.
« Vulnerability Rewards » (Récompense aux vulnérabilités)
Outre ce programme de divulgation des vulnérabilités (Vulnerability Disclosure Program), Ivanti met en place un programme de chasse aux bugs avec prime sur HackerOne pour certains produits Ivanti. Ce programme exclusif n'est accessible que sur invitation. Il donne aux chercheurs en sécurité un accès à des environnements dédiés hébergeant des produits Ivanti.
Si votre rapport de vulnérabilités concerne un produit inclus dans le programme de chasse aux bugs Ivanti, ce rapport est transmis au programme de prime aux bugs et vous pouvez recevoir une récompense. Visitez le site https://hackerone.com/ivanti pour en savoir plus.
Ivanti se réserve le droit exclusif d'évaluer et de qualifier les soumissions pour ces primes aux bugs, à sa seule discrétion.
Canaux de reporting
Si vous avez découvert une vulnérabilité de sécurité dans un logiciel ou un service d'entreprise Ivanti, nous vous encourageons à nous le signaler de manière responsable et coordonnée, via l'une des méthodes suivantes :
1. Notre formulaire de soumission d'un rapport de vulnérabilités simple d'utilisation.
2. Un e-mail à l'adresse [email protected]. Votre rapport doit inclure les informations suivantes :
- Description détaillée de la vulnérabilité.
- PoC (Proof of Concept, Validation de principe), si applicable.
- Étapes à suivre pour reproduire cette vulnérabilité.
- Informations sur le produit/service concerné et sa version.
- Vos coordonnées : nom, adresse e-mail et tout autre détail supplémentaire permettant de vous contacter.
Si vous souhaitez crypter la communication, utilisez notre clé PGP, disponible ici (Empreinte : 5A86 C77C A361 B145 8A2C D672 DBF5 C7A9 FE96 C03D).
3. Pour les questions d'ordre général concernant la sécurité, merci d'écrire à [email protected].
Procédure de traitement des rapports de vulnérabilités
- À la réception de votre rapport, notre partenaire du programme VDP/chasse aux bugs HackerOne vous répond rapidement, et travaille avec vous pour comprendre et valider votre rapport.
- Notre équipe de sécurité s'efforce de valider la vulnérabilité sous 10 jours à compter de la date de réception.
- Une fois la vulnérabilité confirmée, Ivanti priorise sa résolution en fonction de sa gravité. Nous fournissons régulièrement à l'expéditeur du rapport des mises à jour sur l'état du processus de remédiation.
- Ivanti réserve et publie des CVE pour les vulnérabilités dotées d'un score CVSS égal à 4,0 ou plus, tel que calculé et validé par le processus interne d'évaluation Ivanti.
- Nous nous engageons à traiter et à éliminer la vulnérabilité signalée en toute bonne foi. Nous pouvons être amenés, si nécessaire, à demander des informations ou de l'aide à l'expéditeur du rapport.
- Ivanti peut, de temps à autre, approuver et mettre à disposition des procédures plus spécifiques pour gérer certains types de vulnérabilité de sécurité. Ces procédures supplémentaires constituent une extension du présent programme de divulgation des vulnérabilités (VDP).
Code de conduite
- Respectez les règles, notamment en suivant la présente stratégie et tout autre accord pertinent. En cas d'incohérence entre la présente stratégie et d'autres conditions applicables, les termes de cette stratégie font autorité.
- Signalez immédiatement toutes les vulnérabilités que vous découvrez.
- Évitez toute violation de la vie privée d'autrui, toute perturbation de nos systèmes, toute destruction de données et/ou tout impact négatif sur l'expérience utilisateur.
- Utilisez uniquement les « canaux officiels » pour discuter des informations de vulnérabilité avec nous.
- Donnez-nous un délai raisonnable (au moins 120 jours à compter du rapport initial) pour résoudre le problème avant de le divulguer publiquement.
- Si une vulnérabilité autorise un accès non prévu aux données, limitez la quantité de données auxquelles vous accédez au minimum requis pour démontrer efficacement la validation de principe (PoC). De plus, stoppez les tests et soumettez immédiatement un rapport si vous avez accès à des données utilisateur pendant les tests, notamment des informations d'identification personnelle (PII), des données personnelles de santé (PHI), des données de carte bancaire ou des informations exclusives.
- Vous ne devez interagir qu'avec les comptes de test qui vous appartiennent, ou avec l'autorisation explicite du titulaire du compte.
- Enfin, ne vous livrez pas à l'extorsion.
Sphère de sécurité juridique
Pour encourager la recherche et la divulgation responsable des vulnérabilités de sécurité, Ivanti n'engagera pas de poursuites judiciaires contre les chercheurs en sécurité qui s'efforcent de bonne foi de respecter ce programme de divulgation des vulnérabilités (VDP) et de signaler les vulnérabilités de sécurité en appliquant ses conditions.
Sachez que, si vos recherches sur la sécurité impliquent les réseaux, systèmes, informations, applications, produits ou services d'un tiers (autre qu'Ivanti), nous ne pouvons pas lier ce tiers. Il peut quant à lui intenter une action en justice ou avertir les forces de l'ordre. Nous ne voulons ni ne pouvons autoriser les recherches en sécurité au nom d'autres entités, et ne pouvons en aucun cas proposer de vous défendre, vous indemniser ou vous protéger de toute autre manière contre les actions de ces tiers découlant de vos actions.
Comme toujours, vous devez respecter les lois en vigueur dans votre juridiction, et ne jamais perturber ni compromettre d'autres données que ce qu'autorise le champ d'application de notre programme de divulgation des vulnérabilités.
Merci de nous contacter avant toute action susceptible de ne pas respecter cette stratégie ou non mentionnée ici. Nous nous réservons le droit exclusif de déterminer si vous avez fait un effort de bonne foi pour être en conformité et signaler les vulnérabilités de sécurité conformément à ce programme de divulgation des vulnérabilités. Le fait de nous contacter proactivement avant de vous engager dans une action est un facteur important dans cette décision. En cas de doute, contactez-nous d'abord !
Formulaire de soumission d'un rapport de vulnérabilités
Vous trouverez notre formulaire de soumission d'un rapport de vulnérabilités (reposant sur HackerOne) ci-dessous. Pour pouvoir l'utiliser, vous devez accepter les cookies tiers en cliquant sur l'option d'activation des cookies. Ce formulaire est également disponible ici.
Version 2.0 (Mars 2024). Cette stratégie de divulgation des vulnérabilités est aussi disponible en téléchargement.