Espace client

 

Menu

POLITIQUE DE DIVULGATION RESPONSABLE DU GROUPE

Introduction :

Verisure s'engage à assurer la sécurité de ses produits, de ses systèmes et de toutes les données de ses clients, partenaires et employés. Nous valorisons la collaboration avec notre communauté d'utilisateurs et de chercheurs qui peuvent contribuer au signalement de Vulnérabilités de nos produits et systèmes. Cette politique décrit un processus de signalement responsable des vulnérabilités, dans le but de faciliter une collaboration efficace et une résolution rapide des problèmes de sécurité.

La présente politique établit des directives pour signaler et gérer les vulnérabilités de manière responsable, conformément aux règles de conduite ci-dessous. Cette politique s'applique à toutes les vulnérabilités de sécurité que vous envisagez de signaler à Verisure.

Nous vous recommandons à consulter cette politique de signalement des vulnérabilités dans son intégralité avant de signaler une vulnérabilité.

Veuillez noter que Verisure n'offre pas de récompenses monétaires pour les dénonciations de risques de sécurité.

Comment signaler une Vulnérabilité :

Verisure enquête sur tous les signalements de risques de sécurité qui affectent les Produits et Services. Si vous pensez avoir détecté un risque de sécurité dans un produit ou un service Verisure, veuillez soumettre le rapport de vulnérabilité à l'aide du formulaire ci-dessous, avec suffisamment de détails pour que nous puissions reproduire et enquêter sur vos actions. Tous les champs obligatoires doivent être remplis correctement et il est essentiel que vous respectiez la confidentialité lorsque vous signalez un risque de sécurité en vertu de la présente politique. Nous vous demandons de ne pas divulguer votre recherche tant que Verisure n'a pas terminé l'étude, résolu ou atténué le risque de sécurité, et ne vous a pas donné l’autorisation de le faire.

Étapes suivantes :

Après avoir procédé au signalement, Verisure informe l’auteur du signalement de sa réception et procède à son traitement. Verisure peut contacter l’auteur du signalement par le biais du portail Web anonyme pour obtenir des informations supplémentaires sur le signalement et le tenir informé de l’avancement de l’enquête jusqu’à sa clôture.

Notre processus interne pour traiter une Vulnérabilité de Sécurité débute par l’examen du signalement et déterminer l’impact, la gravité et la complexité de celle-ci avant de mettre en œuvre des mesures correctives, le cas échéant.

Verisure se réserve le droit de partager avec les parties concernées le contenu du signalement de Vulnérabilités de Sécurité ainsi que les observations qui en découlent, mais ne divulguera pas les informations relatives à l'auteur du signalement.

Produits ou services de tiers :

Les produits, systèmes et données n’appartenant pas à Verisure ne sont pas couverts par la présente Politique. Les auteurs de signalement doivent suivre les politiques de divulgation responsable fournies par les tiers respectifs s’ils souhaitent effectuer des recherches ou des tests sur ces systèmes.

Règles de coopération :

Verisure apprécie les efforts et les contributions de la communauté de la recherche en sécurité et exige le respect strict des règles suivantes.

L’auteur d’un signalement ne doit pas :

  • Il ne doit pas enfreindre les lois et règlements applicables.
  • Introduire une nouvelle Vulnérabilité de Sécurité ou tenter d’exploiter une Vulnérabilité existante.
  • Se livrer à l'ingénierie sociale ou au phishing de clients ou d'employés.
  • Exiger une compensation financière en échange de la divulgation d’une Vulnérabilité de Sécurité.
  • Accéder aux systèmes ou aux données au-delà de ce qui est nécessaire pour identifier et signaler une Vulnérabilité de Sécurité.
  • Altérer les dispositifs de système d’alarme ou des systèmes appartenant à des clients existants, même s’il s’agit de leurs propres systèmes.
  • Modifier, copier, partager, corrompre ou affecter d’une autre manière les données traitées ou stockées dans les Produits ou les systèmes Verisure.
  • Utiliser des outils d’analyse invasifs ou destructifs de haute intensité pour détecter les Vulnérabilités de Sécurité ou effectuer des activités perturbatrices, y compris, mais sans s’y limiter, des attaques par force brute, des attaques par déni de service ou des attaques physiques contre les installations ou les centres de données de Verisure.
  • Désactiver les signaux d’alarme, les notifications ou altérer physiquement votre propre système d’alarme de quelque manière que ce soit.
  • Effectuer des tests ou des recherches sur des services ou des systèmes tiers n’appartenant pas à Verisure, par exemple sur l’infrastructure d’un fournisseur externe de services cloud.
  • Accéder à des quantités inutiles, excessives ou significatives de données autres que celles requises pour la découverte et la confirmation de la Vulnérabilité de Sécurité.

Ce qu'il ne faut pas signaler :

  • Les Vulnérabilités de Sécurité qui ont déjà fait l’objet d’un signalement.
  • Les signalements concernant des Vulnérabilités de Sécurité non exploitables.
  • Les bugs de l’interface utilisateur, les bugs de l’expérience utilisateur ou les fautes d’orthographe.
  • Les signalements indiquant que les Produits et les Services ne sont pas entièrement conformes aux « meilleures pratiques », comme des en-têtes de sécurité absents ou des scripts intersites.

Verisure doit :

  • Accuser réception des signalements de Vulnérabilité de Sécurité dans les 30 jours suivant la réception de ce dernier.
  • Tenir l’auteur du signalement informé des progrès de l’enquête deux fois par semaine à partir de la date de l’accusé de réception jusqu’à la clôture du signalement de Vulnérabilité de Sécurité.
  • Informer l’auteur du signalement par écrit de la décision indiquant si l’auteur du signalement peut ou non divulguer publiquement la Vulnérabilité de Sécurité. Si la divulgation publique de la Vulnérabilité de Sécurité a été préalablement accordée par Verisure, Verisure doit examiner le contenu de la divulgation publique avant sa publication.

Définitions :

Risques de sécurité

Cette directive couvre la divulgation de vulnérabilités de sécurité spécifiques trouvées dans les Produits ou Systèmes Verisure. Les vulnérabilités couvertes par cette directive sont des vulnérabilités dans les composants logiciels ou matériels qui, lorsqu'elles sont exploitées, pourraient nuire à la confidentialité, à l'intégrité ou à la disponibilité des données ou des services Verisure.

Produit/service Verisure

Les produits ou systèmes Verisure sont des produits ou des systèmes développés ou fabriqués par Verisure. Les produits, systèmes et données qui n'appartiennent pas à Verisure ne sont pas couverts par cette Politique.

Questions et assistance :

L’équipe de sécurité de Verisure a été désignée pour gérer les divulgations de Vulnérabilités de Sécurité. Vous pouvez les contacter en remplissant et en soumettant le formulaire via le lien accessible ci-dessous.

https://www.verisure.com/responsible-disclosure-policy