Signaler un problème de sécurité

La sécurité de nos produits, de nos services, de nos applications métier et de notre infrastructure constitue la priorité de FireEye. En tant que chercheurs en sécurité, nous sommes conscients de l'importance que revêt l'investigation et la neutralisation des problèmes de sécurité. Nous savons également que malgré tous nos efforts pour éliminer les vulnérabilités de sécurité de tous les produits et services que nous concevons, ainsi que de l'infrastructure et des applications métier sur lesquelles nous nous appuyons, de nouvelles vulnérabilités et menaces verront inévitablement le jour, tout comme les possibilités d'amélioration. FireEye croit fermement à l'inclusion de l'ensemble de la communauté des chercheurs lors de la découverte de problèmes de sécurité, ainsi qu'à la collaboration avec les chercheurs en sécurité pour résoudre le problème identifié et corriger les éventuels problèmes systémiques connexes et/ou sous-jacents afin d'améliorer notre sécurité.

Dans l'intérêt de la protection de nos clients, nous offrons à l'ensemble de la communauté des chercheurs l'opportunité d'interagir avec FireEye, de signaler les éventuels problèmes de sécurité et d'être crédités pour leur travail. Dans le cadre de leurs relations avec FireEye, nous demandons aux auteurs de signalement d'honorer notre politique et notre processus de divulgation responsable, et de nous donner la possibilité d'évaluer, réagir et, si nécessaire, corriger les vulnérabilités de sécurité avérées avant toute divulgation publique.

Contacter l'équipe de sécurité de FireEye

Pour signaler une vulnérabilité présumée affectant des produits, des services, des sites Web ou l'infrastructure FireEye, ou pour signaler des abus liés à FireEye, contactez : france@FireEye.com.

Communiquer en toute sécurité

Vous pouvez si nécessaire utiliser les clés PGP et S/MIME de l'équipe de sécurité de FireEye.

Politique de divulgation responsable de FireEye

FireEye encourage les chercheurs à signaler les problèmes de sécurité identifiés dans les produits, services, sites Web ou l'infrastructure de FireEye. La procédure de divulgation responsable de FireEye s'articule autour de cinq grandes étapes : 1) classification initiale, 2) remédiation/développement d'un correctif, 3) information des clients et mise à disposition du correctif, 4) délai de grâce de 90 jours pour les clients, 5) divulgation et notification.

Lorsqu'un chercheur signale un problème de sécurité, il est contacté par e-mail tandis que FireEye procède à la classification et l'analyse initiales du problème (étape 1). La classification initiale est généralement réalisée dans un délai maximum d'une semaine et varie en fonction du produit et du service. Une fois la classification terminée et l'existence d'un problème avérée, FireEye confirme le problème au chercheur et entame le processus de remédiation/développement d'un correctif (étape 2). Au cours de cette étape, FireEye ajoute des annotations à titre de référence (titre de la vulnérabilité, notes internes ou numéro CVE [Common Vulnerability and Exposures]) pour les vulnérabilités de sécurité signalées par un tiers ou publiquement connues et identifiées dans les produits FireEye, . De nombreux facteurs influent sur notre délai de mise à disposition des correctifs, notamment la complexité du problème, sa gravité et la dépendance vis-à-vis de fournisseurs externes. Néanmoins, FireEye publie généralement les correctifs dans un délai de 30 à 90 jours. Lorsqu'un correctif est disponible, FireEye fournit à ses seuls clients les informations sur la disponibilité du correctif, et les encourage à le télécharger et l'appliquer sur leurs systèmes/ressources (pour les ressources qui dépendent de l'application du correctif par les clients) (étape 3). Cette notification informe les clients FireEye de la disponibilité du correctif et des éventuelles mesures de prévention recommandées, le cas échéant. À ce stade, FireEye ne divulgue pas d'informations détaillées sur le problème dans la mesure où il relève de la responsabilité du chercheur pendant 90 jours à compter de la date à laquelle le correctif est disponible pour tous nos produits concernés, et implémenté dans nos services, nos sites Web ou notre infrastructure (étape 4). Nous demandons aux chercheurs d'honorer eux aussi ce délai de non-divulgation de 90 jours par respect pour nos clients, afin de leur laisser suffisamment de temps pour appliquer le correctif et mettre à jour leurs systèmes. En ce qui concerne les produits pour lesquels nous disposons des données télémétriques de nos clients, FireEye continuera de surveiller la situation de mise à jour de leur environnement et travaillera avec notre équipe de Support client pour notifier régulièrement nos clients du calendrier de divulgation et les inciter à effectuer les mises à jour nécessaires avant l'échéance de la période de non-divulgation de 90 jours. Au terme de cette période de 90 jours, ou plus tôt, FireEye publie un avis de sécurité et divulgue le problème sous la forme de notes de version ou d'avertissements de sécurité assortis d'informations supplémentaires sur le problème de sécurité en question. Si notre politique de divulgation responsable a été suivie, nous créditons par ailleurs le chercheur qui a identifié le problème (étape 5) . Si le chercheur souhaite rester anonyme, nous lui demandons de nous en faire part au cours des communications initiales.

FireEye restera en contact avec le chercheur au fil des différentes étapes du processus. Dans un souci de protection de nos clients, FireEye s'interdit de confirmer, discuter ou divulguer tout problème ou vulnérabilité de sécurité avant qu'un correctif n'ait été publié pour tous les produits concernés, ou implémenté dans les services, les sites Web ou l'infrastructure. De la même façon, FireEye demande aux chercheurs de ne divulguer aucune information sur la découverte, publiquement ou de toute autre façon, au cours de cette période, et ce pour donner à FireEye le temps d'évaluer et corriger le problème, puis de déployer les correctifs pour ses clients, conformément à la présente politique. FireEye est convaincu qu'il s'agit de la ligne de conduite la plus judicieuse pour continuer de protéger efficacement nos clients et partenaires qui utilisent nos produits et services pour assurer la sécurité de leur entreprise, ainsi que ceux qui s'appuient sur notre infrastructure et nos applications.

Au cours du processus de communication et divulgation, FireEye indiquera aux chercheurs la date du prochain contact, ainsi que les délais estimés, le cas échéant. Les chercheurs peuvent à tout moment demander des informations sur l'état d'avancement.

Merci.

Nous vous remercions par avance pour votre participation, votre collaboration et votre volonté d'améliorer la sécurité de nos produits et de nous aider à maintenir la protection de nos clients.