Passer au contenu principal

Divulgation coordonnée des vulnérabilités

Chez bioMérieux, nous prenons au sérieux la sécurité de nos produits et services. Nous croyons au pouvoir de la collaboration pour assurer la sécurité et l'intégrité de nos systèmes. 

Nous pensons qu'en collaborant avec la communauté de la sécurité, nous pouvons maintenir un haut niveau de sécurité et nous protéger contre les menaces potentielles. Nous nous engageons à résoudre les vulnérabilités signalées dans les meilleurs délais et à maintenir la transparence dans le cadre du programme de divulgation des vulnérabilités de bioMérieux (le "programme de divulgation").

 

Objectif

L'objectif de cette page est de décrire les politiques de bioMérieux régissant le programme de divulgation (la "Politique"), y compris la façon de partager les rapports de vulnérabilité avec bioMérieux de manière sécurisée et de fournir les attentes en matière de communication de la part de la Société. 

 

Champs d'application

Cette politique s'applique à tous les produits et services commerciaux de bioMérieux et couvre les personnes non affiliées à bioMérieux, telles que les chercheurs en cybersécurité, qui effectuent, ou cherchent à effectuer, des tests de sécurité ou des recherches de bonne foi sur ces produits ou services commerciaux..

bioMérieux se réserve le droit de limiter, d'étendre ou d'interrompre le programme de divulgation à tout moment, ainsi que d'interrompre la participation d'un individu au programme de divulgation à la seule discrétion de bioMérieux. 

 

Nos attentes

Afin de vous conformer à la présente politique, vous vous engagez à :

  • Nous avertir dès que possible après avoir découvert un problème de sécurité réel ou potentiel.
  • Faire tout ce qui est en votre pouvoir pour éviter de perturber les systèmes de bioMérieux et de détruire ou manipuler des données.
  • N'utiliser les exploits que dans la mesure nécessaire pour confirmer la présence d'une vulnérabilité et ne pas utiliser un exploit pour compromettre ou exfiltrer des données, établir un accès en ligne de commande et/ou une persistance, ou utiliser l'exploit pour "pivoter" vers d'autres systèmes.
  • Nous accorder un délai raisonnable pour résoudre le problème avant de le divulguer publiquement.
  • Ne pas compromettre intentionnellement la propriété intellectuelle ou d'autres intérêts commerciaux ou financiers de bioMérieux ou de tiers.

Soumettre un rapport de vulnérabilité

Pour soumettre un rapport de vulnérabilité, veuillez vous assurer que votre rapport contient tout le contenu nécessaire et qu'il est sécurisé à l'aide des normes de cryptage PGP et de la clé publique PGP suivante.

Les rapports cryptés doivent ensuite être joints à un courriel envoyé en cliquant ICI, décrivant le contexte du rapport, le(s) produit(s) sur lesquels le rapport a été identifié, et les informations de contact.

Veuillez noter qu'aucune forme de compensation financière ne vous sera versée en échange de la soumission d'un rapport de vulnérabilité.

 

Critères de préférence, de priorité et d'acceptation

Nous utiliserons les critères suivants pour hiérarchiser et trier les soumissions. 

Ce que nous attendons de vous 

  • Des rapports bien rédigés en anglais auront plus de chances d'être résolus.
  • Des informations de contact pour permettre des mises à jour de l'état d'avancement.
  • Les rapports qui incluent un code de validation du concept nous permettent de mieux trier.
  • Les rapports qui ne contiennent que des vidages de crash ou d'autres résultats d'outils automatisés peuvent être moins prioritaires.
  • Veuillez indiquer comment vous avez découvert le bogue, son impact et toute mesure corrective potentielle.
  • Veuillez inclure tout plan ou intention de divulgation publique. 

Ce que vous pouvez attendre de nous

  • Une réponse rapide à votre courriel.
  • Un dialogue ouvert pour discuter des problèmes.
  • Une notification lorsque l'analyse de la vulnérabilité est terminée.
  • Un plan de divulgation.
  • Crédit après la divulgation de la vulnérabilité. 

Si nécessaire, bioMérieux peut demander à un tiers neutre de l'aider à résoudre l'enquête.

 

Reconnaissance

En soumettant une demande, vous reconnaissez que bioMérieux peut, à sa seule discrétion, utiliser toute donnée ou information que vous lui soumettez dans le cadre de la présente Politique. Votre soumission ne vous confère aucun droit sur la propriété intellectuelle de bioMérieux et n'impose aucune obligation en votre faveur à bioMérieux.

 

Autorisations

Si vous vous efforcez de bonne foi de vous conformer à la présente Politique, bioMérieux ne recommandera pas ou ne poursuivra pas d'action légale à votre encontre en relation avec votre recherche ou vos tests. En conséquence, nous ne recommanderons pas et n'engagerons pas de poursuites judiciaires à votre encontre, tant que vous : 

  • Testez des systèmes ou des recherches sans nuire à bioMérieux ou à ses clients. 
  • Effectuez des tests de vulnérabilité dans le cadre de la présente politique.
  • Testez les produits sans affecter les clients, ou reçoivent la permission/le consentement des clients avant d'effectuer des tests de vulnérabilité sur leurs appareils/logiciels, etc.
  • Respectez toutes les lois applicables dans votre juridiction et dans les juridictions dans lesquelles bioMérieux exerce ses activités.
  • Vous abstenez de divulguer les détails de la vulnérabilité au public avant l'expiration d'un délai convenu d'un commun accord.