Nous considérons que la sûreté et la sécurité de nos clients est l'une de nos principales priorités. C'est pourquoi nous concevons et fabriquons des produits et services de la meilleure qualité et fiabilité possible. Malgré nos efforts pour mettre en œuvre les meilleures mesures de sécurité possibles, des vulnérabilités peuvent encore être présentes dans nos produits, services et systèmes.
Ce document décrit la politique du Groupe Renault en matière de réception de rapports sur les vulnérabilités potentielles de ses produits et services en matière de sécurité ainsi que ses pratiques habituelles en matière d'information des clients sur les vulnérabilités vérifiées.
Chacun est encouragé à signaler les vulnérabilités identifiées, quel que soit le type de service ou de produit. Chercheurs, partenaires, CERTS, clients ou toute autre source sont les bienvenus pour signaler les vulnérabilités.
La méthode privilégiée pour contacter l'équipe opérationnelle de sécurité du Groupe Renault est d'envoyer un e-mail à alert.cyber-security@renault.com si vous avez identifié une vulnérabilité potentielle de sécurité avec l'un de nos produits ou services.
Pour faciliter notre gestion de la vulnérabilité, nous attendons des rapports bien rédigés en anglais ou en français contenant les informations suivantes :
Veuillez ne pas inclure de données personnelles dans vos rapports, en dehors des informations nécessaires pour vous contacter.
La participation à ce programme ne vous confère aucun droit de propriété intellectuelle appartenant au Groupe Renault ou à un tiers.
Après réception de votre rapport d'incident, le personnel compétent prendra contact avec vous pour le suivi de votre dossier. Pour des raisons de confidentialité, nous vous encourageons à crypter toute information sensible que vous nous envoyez par courriel. Nous sommes équipés pour recevoir des messages chiffrés à l'aide de PGP. Notre clé publique PGP peut être utilisée pour envoyer des courriels chiffrés.
Le Groupe Renault s'efforce d'accuser réception de tous les rapports soumis dans un délai de sept jours.
Le Groupe Renault engagera ensuite un dialogue ouvert pour discuter des problèmes identifiés et vous informer de chaque étape de l'enquête.
Le Groupe Renault reste libre d'accepter ou non un rapport dans le cadre de ce programme. Par exemple, le Groupe Renault n'acceptera pas dans ce programme des vulnérabilités ayant un impact minimal sur la sécurité ou une faible exploitabilité, des vulnérabilités indépendantes de sa volonté, des vulnérabilités pouvant être découvertes par des analyses automatiques qui n'ont pas été vérifiées manuellement, ou des vulnérabilités liées à une violation des exigences du programme.
L'adresse électronique alert.cyber-security@renault.com est destinée UNIQUEMENT aux fins de signaler les vulnérabilités en matière de sécurité des produits ou services. Il ne s'agit pas d'informations d'assistance technique sur nos produits ou services. Tout contenu autre que celui spécifique aux vulnérabilités de sécurité de nos produits ou services ne sera pas traité.
Le Groupe Renault s'engage à ne pas poursuivre en justice les parties déclarantes qui soumettent des rapports dans le champ de l'enquête et :
Le(s) déclarant(e)(s) qui soumet(tent) un rapport au Groupe Renault par l'intermédiaire de ce site Web s'engage(nt) à ne pas divulguer à un tiers les informations relatives à ce rapport, la vulnérabilité signalée, ni le fait qu'une vulnérabilité a été signalée au Groupe. Cet engagement de non divulgation s'applique indépendamment du fait que le Groupe Renault ait eu connaissance ou non de l'information préalablement.
Vous acceptez que le Groupe Renault puisse divulguer les informations contenues dans un rapport que vous soumettez via ce site Web. Le Groupe Renault examinera toute demande de divulgation émanant d'un trouveur, mais se réserve le droit de refuser cette demande.
Le Groupe Renault apprécie les efforts déployés par l'auteur du rapport pour identifier la vulnérabilité. Nous vous remercions de faire tout votre possible pour améliorer la sécurité de nos produits et systèmes et de la communauté Internet dans son ensemble.
Tous les aspects de ce processus sont sujets à changement sans préavis, ainsi qu'à des exceptions au cas par cas. Aucun niveau particulier de réponse n'est garanti pour une question ou une catégorie de questions particulières.