RSA s'efforce d'aider ses clients \u00e0 minimiser les risques associ\u00e9s aux vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 de ses produits. Notre objectif est de fournir aux clients des informations, des conseils et des options d'att\u00e9nuation en temps opportun pour traiter les vuln\u00e9rabilit\u00e9s. L'\u00e9quipe RSA Product Security Incident Response Team (RSA PSIRT) est charg\u00e9e de coordonner la r\u00e9ponse et la divulgation de toutes les vuln\u00e9rabilit\u00e9s de produits signal\u00e9es \u00e0 RSA.<\/p>\n
Si vous identifiez une faille de s\u00e9curit\u00e9 dans un produit RSA, veuillez nous la signaler imm\u00e9diatement. Les chercheurs en s\u00e9curit\u00e9, les groupes industriels, les fournisseurs et les autres utilisateurs qui n'ont pas acc\u00e8s \u00e0 l'assistance technique doivent envoyer les rapports de vuln\u00e9rabilit\u00e9 directement \u00e0 l'\u00e9quipe RSA\u00a0PSIRT par courriel<\/a>. L'identification en temps utile des vuln\u00e9rabilit\u00e9s en mati\u00e8re de s\u00e9curit\u00e9 est essentielle pour att\u00e9nuer les risques potentiels pour nos clients.<\/p>\n Les clients et partenaires des produits RSA doivent contacter leur \u00e9quipe d'assistance technique respective pour signaler tout probl\u00e8me de s\u00e9curit\u00e9 d\u00e9couvert dans les produits RSA. L'\u00e9quipe de support technique, l'\u00e9quipe produit concern\u00e9e et le PSIRT de RSA travailleront ensemble pour r\u00e9soudre le probl\u00e8me signal\u00e9 et fournir aux clients les prochaines \u00e9tapes.<\/p>\n Lorsque vous signalez une vuln\u00e9rabilit\u00e9 potentielle, veuillez inclure autant d'informations que possible afin de nous aider \u00e0 mieux comprendre la nature et la port\u00e9e du probl\u00e8me signal\u00e9 :<\/p>\n RSA croit au maintien de bonnes relations avec les chercheurs en s\u00e9curit\u00e9 et, avec leur accord, peut reconna\u00eetre le chercheur qui a trouv\u00e9 une vuln\u00e9rabilit\u00e9 de produit valide et qui a signal\u00e9 le probl\u00e8me en priv\u00e9. En retour, nous demandons aux chercheurs de nous donner la possibilit\u00e9 de rem\u00e9dier \u00e0 la vuln\u00e9rabilit\u00e9 avant de la divulguer publiquement. RSA estime que la coordination de la divulgation publique d'une vuln\u00e9rabilit\u00e9 est essentielle pour prot\u00e9ger nos clients.<\/p>\n Selon cette politique, toutes les informations divulgu\u00e9es sur les vuln\u00e9rabilit\u00e9s sont cens\u00e9es rester entre RSA et la partie qui les a signal\u00e9es - si les informations ne sont pas d\u00e9j\u00e0 connues du public - jusqu'\u00e0 ce qu'un rem\u00e8de soit disponible et que les activit\u00e9s de divulgation soient coordonn\u00e9es.<\/p>\n Apr\u00e8s avoir examin\u00e9 et valid\u00e9 une vuln\u00e9rabilit\u00e9 signal\u00e9e, nous tenterons de d\u00e9velopper et de qualifier le rem\u00e8de appropri\u00e9 pour les produits b\u00e9n\u00e9ficiant d'un soutien actif de la part de RSA. Un rem\u00e8de peut prendre une ou plusieurs des formes suivantes :<\/p>\n RSA s'efforce de fournir la solution ou l'action corrective dans le d\u00e9lai commercialement raisonnable le plus court. Les d\u00e9lais de r\u00e9ponse d\u00e9pendent de nombreux facteurs, tels que la gravit\u00e9, l'impact, la complexit\u00e9 du rem\u00e8de, le composant affect\u00e9 (par exemple, certaines mises \u00e0 jour n\u00e9cessitent des cycles de validation plus longs ou ne peuvent \u00eatre mises \u00e0 jour que dans une version majeure), l'\u00e9tape du produit dans son cycle de vie et l'\u00e9tat des op\u00e9rations commerciales, entre autres.<\/p>\n L'ASR utilise actuellement le\u00a0Syst\u00e8me commun d'\u00e9valuation des vuln\u00e9rabilit\u00e9s<\/a>\u00a0version 3.1 (CVSS v3.1) pour communiquer les caract\u00e9ristiques et la gravit\u00e9 des vuln\u00e9rabilit\u00e9s des logiciels de RSA. De nombreux facteurs, y compris le niveau d'effort requis pour exploiter une vuln\u00e9rabilit\u00e9 ainsi que l'impact potentiel sur les donn\u00e9es ou les activit\u00e9s commerciales d'une exploitation r\u00e9ussie, sont pris en consid\u00e9ration.<\/p>\n L'impact global d'un avis de s\u00e9curit\u00e9 est une repr\u00e9sentation textuelle de la gravit\u00e9 (c'est-\u00e0-dire critique, \u00e9lev\u00e9e, moyenne et faible) qui suit l'\u00e9chelle d'\u00e9valuation qualitative de la gravit\u00e9 CVSS pour la note de base CVSS la plus \u00e9lev\u00e9e de toutes les vuln\u00e9rabilit\u00e9s identifi\u00e9es. Le cas \u00e9ch\u00e9ant, RSA fournira un impact global pour l'avis et, pour chaque vuln\u00e9rabilit\u00e9 identifi\u00e9e, le score de base CVSS v3.1 et le vecteur CVSS v3.1 correspondant. RSA recommande \u00e0 tous les clients de prendre en compte \u00e0 la fois le score de base et toutes les mesures temporelles et\/ou environnementales qui peuvent \u00eatre pertinentes pour leur environnement afin d'\u00e9valuer leur risque global.<\/p>\n En g\u00e9n\u00e9ral, nous communiquons les rem\u00e8des aux clients par le biais des avis de s\u00e9curit\u00e9 de RSA, le cas \u00e9ch\u00e9ant. Pour prot\u00e9ger nos clients, RSA s'efforce de publier un avis de s\u00e9curit\u00e9 une fois que nous avons mis en place un rem\u00e8de pour tout produit affect\u00e9. RSA peut publier des avis de s\u00e9curit\u00e9 plus t\u00f4t pour r\u00e9pondre de mani\u00e8re appropri\u00e9e aux divulgations publiques ou aux vuln\u00e9rabilit\u00e9s largement connues dans les composants utilis\u00e9s dans nos produits.<\/p>\n Les avis de s\u00e9curit\u00e9 sont destin\u00e9s \u00e0 fournir suffisamment de d\u00e9tails pour permettre aux clients d'\u00e9valuer l'impact des vuln\u00e9rabilit\u00e9s et de rem\u00e9dier aux produits potentiellement vuln\u00e9rables. Les d\u00e9tails complets peuvent \u00eatre limit\u00e9s afin de r\u00e9duire la probabilit\u00e9 que des utilisateurs malveillants puissent tirer profit des informations et les exploiter au d\u00e9triment de nos clients.<\/p>\n Les avis de s\u00e9curit\u00e9 de RSA comprennent g\u00e9n\u00e9ralement les informations suivantes, le cas \u00e9ch\u00e9ant :<\/p>\n La politique de RSA est de ne pas fournir d'informations sur les sp\u00e9cificit\u00e9s des vuln\u00e9rabilit\u00e9s au-del\u00e0 de ce qui est fourni dans l'avis de s\u00e9curit\u00e9 et la documentation connexe, comme les notes de mise \u00e0 jour, les articles de la base de connaissances, les FAQ, etc. Nous ne distribuons pas de code d'exploitation\/de preuve de concept pour les vuln\u00e9rabilit\u00e9s identifi\u00e9es. Conform\u00e9ment aux pratiques de l'industrie, RSA ne partage pas les r\u00e9sultats de ses tests de s\u00e9curit\u00e9 internes ou d'autres types d'activit\u00e9s de s\u00e9curit\u00e9 avec des entit\u00e9s externes..<\/a><\/p>\n Si vous devez signaler un autre probl\u00e8me de s\u00e9curit\u00e9 \u00e0 RSA, veuillez utiliser les contacts appropri\u00e9s \u00e9num\u00e9r\u00e9s ci-dessous :<\/p>\n\n
Traitement des rapports de vuln\u00e9rabilit\u00e9<\/h3>\n
Rem\u00e9diation aux vuln\u00e9rabilit\u00e9s<\/h3>\n
\n
\u00c9valuation de l'impact et de la gravit\u00e9<\/h3>\n
Rem\u00e8de Communication<\/h3>\n
\n
Informations suppl\u00e9mentaires sur la divulgation<\/h3>\n
Notifier \u00e0 l'ASR d'autres probl\u00e8mes de s\u00e9curit\u00e9<\/h3>\n