Dell participe activement à diverses initiatives, notamment le Forum of Incident Response and Response Teams (FIRST)(en anglais) et le Software Assurance Forum for Excellence in Code (SAFECode)(en anglais). Nos processus et procédures sont conformes au cadre de services FIRST PSIRT(en anglais), ainsi qu’à d’autres normes, notamment ISO/IEC 29147:2018(en anglais) et ISO/IEC 30111:2019(en anglais).
Dell apprécie ses partenaires du secteur et les chercheurs en sécurité, apprécie toutes les contributions à ses initiatives de sécurité et encourage une divulgation responsable et coordonnée, car la sécurité de ses clients est une préoccupation primordiale. Notre objectif est de nous assurer que des mesures correctives ou des stratégies d’atténuation sont disponibles au moment de la divulgation des vulnérabilités propres à Dell, et de travailler avec des fournisseurs tiers lorsque la correction nécessite leur collaboration.
Conformément à cette politique, toutes les informations divulguées sur les nouvelles vulnérabilités sont considérées comme confidentielles et ne seront partagées qu’entre Dell et la partie qui les a signalées, si ces informations ne sont pas déjà connues du public, jusqu’à ce que des mesures correctives soient disponibles et que les activités de divulgation soient coordonnées.
Après avoir mené une enquête et validé la faille signalée, nous nous efforçons de développer et d’approuver un remède approprié pour les produits bénéficiant du soutien actif de Dell. Une solution peut prendre une ou plusieurs des formes suivantes :
Dell fait tout son possible pour fournir une solution ou des mesures correctives dans les délais les plus raisonnables sur le plan commercial. Les délais d’intervention dépendent de nombreux facteurs, notamment :
Dell utilise la version 3.1 de la norme Common Vulnerability Scoring System(en anglais) (CVSS 3.1) pour communiquer les détails des vulnérabilités des produits Dell. La norme est maintenue par FIRST.
La notation CVSS est un moyen numérique de quantifier la gravité de la vulnérabilité et prend en compte plusieurs facteurs, notamment le niveau d’effort requis pour exploiter une vulnérabilité ainsi que les conséquences potentielles si la vulnérabilité est exploitée. Dell résumera les incidences évaluées d’une vulnérabilité au moyen d’un score numérique, d’une chaîne de vecteurs et d’une représentation qualitative de la gravité (c.-à-d. critique, élevée, moyenne, faible), conformément à l’échelle fournie ci-dessous :
Gravité | Note CVSS 3.1 |
Critique | 9,0 – 10 |
Élevée | 7,0 – 8,9 |
Moyenne | 4,0 – 6,9 |
Faible | 0,1 – 3,9 |
Dell recommande à tous ses clients d’utiliser ces informations pour le calcul des indicateurs qui pourraient s’appliquer à leur environnement, afin d’évaluer avec précision le risque spécifique à leurs actifs ou à la mise en œuvre des produits Dell.
Veuillez noter qu’il n’est pas rare que l’évaluation de Dell d’une vulnérabilité, le score CVSS ou la chaîne vectorielle diffèrent de ceux fournis par d’autres sources. En cas de divergence, Dell utilisera les informations contenues dans les avis de sécurité de Dell comme source d’information faisant autorité.
Dell publie des avis de sécurité, des avis et des articles pour communiquer avec les clients sur les failles de sécurité qui affectent nos produits.
Les avis de sécurité sont publiés pour fournir des conseils ou des instructions sur la manière dont les clients peuvent se protéger contre les vulnérabilités, atténuer les risques ou corriger les vulnérabilités une fois que Dell a analysé et identifié les solutions.
Les avis de sécurité sont destinés à fournir suffisamment de détails pour pouvoir évaluer l’incidence des failles et corriger les failles potentielles dans les produits. Toutefois, il se peut que les détails ne soient pas divulgués dans leur totalité, afin d’éviter que des acteurs malveillants tirent profit de l’information en question pour nuire à nos clients.
Les avis de sécurité Dell comprennent habituellement l’information qui suit, s’il y a lieu :
Selon le cas, Dell peut publier une notification de sécurité pour reconnaître une faille de sécurité connue du public et fournir une déclaration ou d’autres indications concernant le moment (ou le lieu) où des renseignements supplémentaires seront disponibles.
Dell peut publier des articles relatifs à la sécurité afin de partager des renseignements sur des sujets liés à la sécurité tels que :
Les avis et notifications de sécurité Dell peuvent être consultés au www.dell.com/support/security. Des articles informatifs sont disponibles sur ce lien après authentification.
Si vous détectez une faille de sécurité dans n’importe quel produit Dell, veuillez nous la signaler immédiatement. Le repérage et le signalement rapides des failles de sécurité sont essentiels pour mitiger les risques pour nos clients. Les chercheurs en sécurité doivent envoyer des rapports sur la vulnérabilité des produits par l’intermédiaire du site Dell Bugcrowd(en anglais). Les clients de produits commerciaux et d’entreprise et les partenaires doivent communiquer avec l’équipe de soutien technique appropriée afin de signaler tout problème de sécurité détecté dans un produit Dell. Ensemble, l’équipe de soutien technique, l’équipe de produit appropriée et l’équipe d’intervention Dell PSIRT se pencheront sur le problème signalé et indiqueront aux clients les étapes à suivre.
Les groupes industriels, les fournisseurs et d’autres utilisateurs n’ayant pas accès au soutien technique ou qui ne souhaitent pas passer par le programme de primes à la découverte de bogues peuvent envoyer des rapports de vulnérabilité directement à Dell PSIRT par courriel. Les courriels et les pièces jointes contenant des renseignements sensibles doivent être chiffrés à l’aide de PGP et d’une clé PGP Dell PSIRT, qui peut être téléchargée ici. Dell accusera réception de votre rapport de divulgation de vulnérabilité dès que les circonstances le permettront.
Dans tous les cas, Dell s’efforcera de reconnaître votre rapport de divulgation de vulnérabilité dans les trois (3) jours ouvrables suivant sa réception et de fournir des mises à jour sur les mesures correctives à une fréquence de trente (30) jours civils ou moins.
Lorsque vous créez un rapport sur une faille potentielle, veuillez inclure autant de renseignements que possible parmi ceux qui suivent. Ainsi, nous pourrons mieux comprendre la nature et l’ampleur du problème signalé :
Si une vulnérabilité vous permet d’accéder à des renseignements confidentiels ou non publics (y compris des données de tiers, des données personnelles ou tout renseignement marqué par Dell comme étant à usage interne, restreint ou très restreint), vous ne devez accéder à ces renseignements que dans la mesure minimale nécessaire pour signaler la vulnérabilité à Dell. En dehors de votre soumission à Dell, vous ne devez pas stocker, transférer, utiliser, conserver, divulguer ou copier de telles informations.
Vous ne devez pas non plus prendre de mesures affectant l’intégrité ou la disponibilité des systèmes Dell à moins que vous n’ayez les autorisations explicites du propriétaire. Faites seulement le minimum nécessaire pour obtenir une preuve de concept. Si vous remarquez une dégradation des performances durant vos recherches ou causez par mégarde une violation ou une perturbation (comme l’accès aux données du client ou aux configurations de service), veuillez cesser toute utilisation d’outils automatisés et signaler l’incident immédiatement. Si, à tout moment, vous avez des inquiétudes ou des doutes quant à la conformité de votre recherche en matière de sécurité avec la présente politique, veuillez vous adresser à secure@dell.com avant de continuer.
Utilisez les coordonnées ci-dessous pour signaler à Dell d’autres types de problèmes de sécurité :
Problème de sécurité | Coordonnées |
Pour signaler une faille ou un problème de sécurité sur Dell.com, dans un service en ligne, une application Web ou une propriété de Dell. | Envoyez un rapport à https://bugcrowd.com/dell-com(en anglais) avec des instructions détaillées pour reproduire le problème. |
Si vous soupçonnez un vol d’identité ou si vous avez été victime d’une transaction frauduleuse liée à Dell Financial Services. | Consultez la page sur la sécurité de Dell Financial Services. |
Pour soumettre des demandes ou des questions relatives à la confidentialité. | Consultez la page de confidentialité de Dell. |
Dell s’efforce d’être aussi transparente que possible en fournissant des informations sur les efforts de remédiation des vulnérabilités dans ses avis de sécurité et dans la documentation connexe, qui peut inclure des notes de mise à jour, des articles de la base de connaissances et des FAQ (Foire aux questions). Dell ne partage aucun code d’exploitation vérifié ou de preuve de concept pour les vulnérabilités identifiées. De plus, conformément aux pratiques de l’industrie, Dell ne communique pas avec des entités externes les résultats des tests ni la preuve de concepts provenant d’essais de sécurité interne ou d’autres types d’informations privilégiées.
Les droits des clients de Dell relativement aux garanties, à l’assistance et à la maintenance, y compris ceux relatifs aux failles dans tout produit logiciel de Dell, sont régis uniquement par l’entente applicable entre Dell et le client individuel. Les énoncés sur la présente page Web ne modifient pas les droits du client, n’ajoutent aucunement à ces droits, ne modifient aucunement ces droits et ne créent aucune garantie supplémentaire.
Tous les aspects de cette politique d’intervention en cas de faille de sécurité peuvent être modifiés sans préavis. Une réponse n’est pas garantie pour une question ou une catégorie de questions particulières. Votre utilisation des renseignements contenus dans ce document ou les documents qui y sont liés est à vos propres risques.