Lignes directrices pour la réponse aux vulnérabilités de Symantec

Introduction

Symantec s'engage à résoudre les vulnérabilités de sécurité de ses produits, dans les plus brefs délais et avec le plus grand soin. Nous prenons les mesures nécessaires pour limiter les risques pour les clients, donner rapidement des informations et mettre à disposition des correctifs et dispositifs de prévention des vulnérabilités pour répondre aux menaces de sécurité portant sur les logiciels Symantec.

En tant que membre fondateur de l'OIS (Organization for Internet Safety), Symantec a à cœur de respecter les recommandations en matière de divulgation responsable développées par l'OIS et décrites dans la norme ISO 29417 en cas de signalement de vulnérabilités dans des produits Symantec par des sources externes. Ces recommandations encouragent une communication ouverte entre les personnes à l'origine de la découverte et les fournisseurs, mettent au clair les responsabilités de chaque partie et protègent les individus, les entreprises et l'infrastructure Internet de tout exploit, dans la mesure du possible. Nous travaillons en étroite collaboration avec des chercheurs qui nous transmettent des informations sur les vulnérabilités, et nous mentionnons les personnes ayant signalé un problème de manière responsable.

Comment signaler une vulnérabilité de sécurité

Si vous pensez avoir trouvé une vulnérabilité non résolue dans un produit, un service cloud ou une infrastructure informatique Symantec, veuillez contacter Symantec au moyen des adresses électroniques suivantes :

  • Les signalements de vulnérabilité dans les produits Symantec sur site doivent être envoyés à l'équipe d'intervention en cas d'incident de sécurité (PSIRT) de Symantec, à l'adresse secure@symantec.com.
  • Les signalements de vulnérabilité dans les services cloud et infrastructures informatiques Symantec doivent être envoyés au centre d'exploitation de sécurité (SOC) GSO de Symantec, à l'adresse security@symantec.com.

Pour permettre une vérification rapide de vos signalements, veuillez fournir les informations suivantes dans votre premier courrier à Symantec :

  • Nom et numéro de version du produit ou nom du service
  • Date de découverte de la vulnérabilité
  • Description de la vulnérabilité
  • Instructions pour la reproduction de la vulnérabilité (par écrit, par vidéo ou par captures d'écran détaillant la preuve de concept)
  • Votre nom et votre entreprise (le cas échéant)
  • Manière dont vous préférez être contacté (message électronique, téléphone, anonymat)
  • Votre clé publique PGP ou GPG, pour la communication chiffrée (le cas échéant)

L'équipe PSIRT de Symantec accusera réception de votre signalement dans un délai de 3 jours ouvrés. Avec nos équipes internes, nous procéderons à la vérification du problème signalé et vous répondrons dès que possible pour vous tenir au courant ou vous demander davantage d'informations.

Informations sur les clés PGP

Nous vous encourageons à utiliser des moyens de communication chiffrés pour assurer la confidentialité des rapports de vulnérabilité. Vous trouverez notre clé publique PGP en cliquant sur le lien suivant :

Clé PGP de l'équipe PSIRT pour communication sécurisée sur symantec.com

Remarque : Symantec peut échanger des messages électroniques chiffrés avec vous via PGP et GPG

Prévention et remédiation du problème

Si la validité des informations transmises est confirmée, Symantec procédera à la remédiation ou à la prévention du problème, en fonction de son type, de sa gravité et du nombre de produits ou services affectés. L'équipe PSIRT de Symantec informera la personne ayant signalé la vulnérabilité de la progression des opérations, jusqu'à ce que le problème soit réglé.

Informations complémentaires et divulgation responsable

Au cours de leur travail, il se peut que les employés Symantec trouvent une vulnérabilité dans le produit d'un autre fournisseur. Symantec respectera alors les recommandations en matière de divulgation responsable pour la résolution de la vulnérabilité par le fournisseur concerné. Nous avons pour objectif d'être un membre ouvert sur la collaboration et responsable de la communauté de recherche en sécurité. Nous apprécions réellement le travail que les chercheurs effectuent en notre nom et nous souhaitons faciliter la communication avec des membres de la communauté de sécurité dans son ensemble, pour veiller à établir un environnement professionnel et collaboratif pour toutes les entités du domaine technique.

Conclusion

En tant que leader du marché des technologies de sécurité, Symantec s'engage à traiter et résoudre toute vulnérabilité de sécurité découverte dans nos logiciels. Nous travaillons avec les individus à l'origine de ces signalements pour vérifier la présence de ces problèmes de sécurité, les valider et procéder à leur prévention, conformément aux recommandations en matière de divulgation responsable, afin de rassurer pleinement nos clients.