Skip to content
Testez gratuitement la solution RSA de sécurité cloud

Commencez votre essai de ID Plus maintenant

Commencer

Introduction

RSA s'efforce d'aider ses clients à minimiser les risques associés aux vulnérabilités de sécurité de ses produits. Notre objectif est de fournir aux clients des informations, des conseils et des options d'atténuation en temps opportun pour traiter les vulnérabilités. L'équipe RSA Product Security Incident Response Team (RSA PSIRT) est chargée de coordonner la réponse et la divulgation de toutes les vulnérabilités de produits signalées à RSA.

Comment signaler une vulnérabilité en matière de sécurité

Si vous identifiez une faille de sécurité dans un produit RSA, veuillez nous la signaler immédiatement. Les chercheurs en sécurité, les groupes industriels, les fournisseurs et les autres utilisateurs qui n'ont pas accès à l'assistance technique doivent envoyer les rapports de vulnérabilité directement à l'équipe RSA PSIRT par courriel. L'identification en temps utile des vulnérabilités en matière de sécurité est essentielle pour atténuer les risques potentiels pour nos clients.

Les clients et partenaires des produits RSA doivent contacter leur équipe d'assistance technique respective pour signaler tout problème de sécurité découvert dans les produits RSA. L'équipe de support technique, l'équipe produit concernée et le PSIRT de RSA travailleront ensemble pour résoudre le problème signalé et fournir aux clients les prochaines étapes.

Lorsque vous signalez une vulnérabilité potentielle, veuillez inclure autant d'informations que possible afin de nous aider à mieux comprendre la nature et la portée du problème signalé :

  • Nom du produit et version contenant la vulnérabilité
  • Informations sur l'environnement ou le système dans lequel le problème a été reproduit (par exemple, numéro de modèle du produit, version du système d'exploitation, etc.)
  • Type et/ou classe de vulnérabilité (XSS, débordement de mémoire tampon, RCE, CWE, etc..)
  • Instructions étape par étape pour reproduire la vulnérabilité
  • Preuve de concept ou code d'exploitation
  • Impact potentiel de la vulnérabilité

Traitement des rapports de vulnérabilité

RSA croit au maintien de bonnes relations avec les chercheurs en sécurité et, avec leur accord, peut reconnaître le chercheur qui a trouvé une vulnérabilité de produit valide et qui a signalé le problème en privé. En retour, nous demandons aux chercheurs de nous donner la possibilité de remédier à la vulnérabilité avant de la divulguer publiquement. RSA estime que la coordination de la divulgation publique d'une vulnérabilité est essentielle pour protéger nos clients.

Selon cette politique, toutes les informations divulguées sur les vulnérabilités sont censées rester entre RSA et la partie qui les a signalées - si les informations ne sont pas déjà connues du public - jusqu'à ce qu'un remède soit disponible et que les activités de divulgation soient coordonnées.

Remédiation aux vulnérabilités

Après avoir examiné et validé une vulnérabilité signalée, nous tenterons de développer et de qualifier le remède approprié pour les produits bénéficiant d'un soutien actif de la part de RSA. Un remède peut prendre une ou plusieurs des formes suivantes :

  • Une nouvelle version du produit concerné emballé par RSA ;
  • Un correctif fourni par RSA qui peut être installé sur le produit affecté ;
  • Instructions pour télécharger et installer une mise à jour ou un correctif d'un fournisseur tiers qui est nécessaire pour atténuer la vulnérabilité ;
  • Procédure corrective ou solution de contournement publiée par RSA qui indique aux utilisateurs comment ajuster la configuration du produit pour atténuer la vulnérabilité.

RSA s'efforce de fournir la solution ou l'action corrective dans le délai commercialement raisonnable le plus court. Les délais de réponse dépendent de nombreux facteurs, tels que la gravité, l'impact, la complexité du remède, le composant affecté (par exemple, certaines mises à jour nécessitent des cycles de validation plus longs ou ne peuvent être mises à jour que dans une version majeure), l'étape du produit dans son cycle de vie et l'état des opérations commerciales, entre autres.

Évaluation de l'impact et de la gravité

L'ASR utilise actuellement le Système commun d'évaluation des vulnérabilités version 3.1 (CVSS v3.1) pour communiquer les caractéristiques et la gravité des vulnérabilités des logiciels de RSA. De nombreux facteurs, y compris le niveau d'effort requis pour exploiter une vulnérabilité ainsi que l'impact potentiel sur les données ou les activités commerciales d'une exploitation réussie, sont pris en considération.

L'impact global d'un avis de sécurité est une représentation textuelle de la gravité (c'est-à-dire critique, élevée, moyenne et faible) qui suit l'échelle d'évaluation qualitative de la gravité CVSS pour la note de base CVSS la plus élevée de toutes les vulnérabilités identifiées. Le cas échéant, RSA fournira un impact global pour l'avis et, pour chaque vulnérabilité identifiée, le score de base CVSS v3.1 et le vecteur CVSS v3.1 correspondant. RSA recommande à tous les clients de prendre en compte à la fois le score de base et toutes les mesures temporelles et/ou environnementales qui peuvent être pertinentes pour leur environnement afin d'évaluer leur risque global.

Remède Communication

En général, nous communiquons les remèdes aux clients par le biais des avis de sécurité de RSA, le cas échéant. Pour protéger nos clients, RSA s'efforce de publier un avis de sécurité une fois que nous avons mis en place un remède pour tout produit affecté. RSA peut publier des avis de sécurité plus tôt pour répondre de manière appropriée aux divulgations publiques ou aux vulnérabilités largement connues dans les composants utilisés dans nos produits.

Les avis de sécurité sont destinés à fournir suffisamment de détails pour permettre aux clients d'évaluer l'impact des vulnérabilités et de remédier aux produits potentiellement vulnérables. Les détails complets peuvent être limités afin de réduire la probabilité que des utilisateurs malveillants puissent tirer profit des informations et les exploiter au détriment de nos clients.

Les avis de sécurité de RSA comprennent généralement les informations suivantes, le cas échéant :

  • L'impact global, qui est une représentation textuelle de la gravité (c'est-à-dire critique, élevée, moyenne et faible) qui suit l'échelle d'évaluation qualitative de la gravité CVSS pour la note de base CVSS la plus élevée de toutes les vulnérabilités identifiées ;
  • Produits et versions concernés ;
  • Le score de base CVSS et le vecteur pour toutes les vulnérabilités identifiées ;
  • Enumération des vulnérabilités communes (CVE) pour toutes les vulnérabilités identifiées afin que les informations relatives à chaque vulnérabilité unique puissent être partagées entre les différentes capacités de gestion des vulnérabilités (par exemple, les outils tels que les scanners de vulnérabilités, les référentiels et les services) ;
  • Brève description de la vulnérabilité et de son impact potentiel en cas d'exploitation ;
  • Détails de la remédiation avec des informations sur les mises à jour et les solutions de contournement ;
  • Remerciements à l'auteur de la découverte pour avoir signalé la vulnérabilité et travaillé avec RSA sur une publication coordonnée, le cas échéant.

Informations supplémentaires sur la divulgation

La politique de RSA est de ne pas fournir d'informations sur les spécificités des vulnérabilités au-delà de ce qui est fourni dans l'avis de sécurité et la documentation connexe, comme les notes de mise à jour, les articles de la base de connaissances, les FAQ, etc. Nous ne distribuons pas de code d'exploitation/de preuve de concept pour les vulnérabilités identifiées. Conformément aux pratiques de l'industrie, RSA ne partage pas les résultats de ses tests de sécurité internes ou d'autres types d'activités de sécurité avec des entités externes..

Notifier à l'ASR d'autres problèmes de sécurité

Si vous devez signaler un autre problème de sécurité à RSA, veuillez utiliser les contacts appropriés énumérés ci-dessous :

Question de sécurité Informations sur le contact
Pour signaler une faille de sécurité ou un problème dans RSA.com ou dans un autre service en ligne, une application web ou une propriété Soumettre un rapport à l'adresse suivante responsibledisclosure@rsa.com avec des instructions étape par étape pour reproduire le problème.
Pour soumettre des demandes ou des questions relatives à la protection de la vie privée Voir RSA Privacy page.

 

Droits des clients : Garanties, assistance et maintenance

Les droits des clients de RSA concernant les garanties, l'assistance et la maintenance - y compris les vulnérabilités de tout produit logiciel de RSA - sont régis par l'accord applicable entre RSA et le client individuel. Les déclarations figurant sur cette page Web ne modifient pas, n'élargissent pas ou n'amendent pas les droits des clients et ne créent pas de garanties supplémentaires.

Clause de non-responsabilité

Tous les aspects de la politique de réponse aux vulnérabilités de RSA sont susceptibles d'être modifiés sans préavis et au cas par cas. La réponse n'est pas garantie pour un problème spécifique ou une catégorie de problèmes. L'utilisation des informations contenues dans ce document ou dans les documents qui y sont liés se fait à vos propres risques. L'ASR se réserve le droit de modifier ou de mettre à jour ce document à sa seule discrétion et sans préavis, à tout moment.