Politique de divulgation de vulnérabilités

 

Nous considérons que la sûreté et la sécurité de nos clients est l'une de nos principales priorités. C'est pourquoi nous concevons et fabriquons des produits et services de la meilleure qualité et fiabilité possible. Malgré nos efforts pour mettre en œuvre les meilleures mesures de sécurité possibles, des vulnérabilités peuvent encore être présentes dans nos produits, services et systèmes.

Ce document décrit la politique du Groupe Renault en matière de réception de rapports sur les vulnérabilités potentielles de ses produits et services en matière de sécurité ainsi que ses pratiques habituelles en matière d'information des clients sur les vulnérabilités vérifiées.

Chacun est encouragé à signaler les vulnérabilités identifiées, quel que soit le type de service ou de produit. Chercheurs, partenaires, CERTS, clients ou toute autre source sont les bienvenus pour signaler les vulnérabilités.

Quand contacter l'équipe opérationnelle de sécurité

La méthode privilégiée pour contacter l'équipe opérationnelle de sécurité du Groupe Renault est d'envoyer un e-mail à alert.cyber-security@renault.com si vous avez identifié une vulnérabilité potentielle de sécurité avec l'un de nos produits ou services.

Pour faciliter notre gestion de la vulnérabilité, nous attendons des rapports bien rédigés en anglais ou en français contenant les informations suivantes :  

  • Heure et date de la découverte
  • Modèle et numéro du produit selon la nomenclature du fournisseur si possible
  • URL, informations sur le navigateur, y compris le type et la version du navigateur, ainsi que les données nécessaires pour reproduire la vulnérabilité ;
  • Description technique - indiquez les mesures qui ont été prises et le résultat avec le plus de détails possibles ;
  • Exemple de code - si possible, fournissez le code qui a été utilisé dans le test pour créer la vulnérabilité ;
  • Coordonnées de la partie déclarante - pour nous permettre de vous joindre facilement ;
  • Plan(s) de divulgation - plan(s) actuel(s) de divulgation ;
  • Évaluation de la menace/risque – veuillez fournir des détails sur les menaces et/ou les risques identifiés, ainsi que des informations sur le niveau de risque (élevé, moyen, faible) pour les résultats de l'évaluation ;
  • Configuration du logiciel - détails de la configuration de l'ordinateur/de l'appareil au moment où la vulnérabilité a été identifiée ;
  • Informations pertinentes sur les périphériques connectés en cas de vulnérabilité au cours de l'interaction. Lorsqu'un dispositif secondaire déclenche la vulnérabilité, ces détails doivent être fournis.

Veuillez ne pas inclure de données personnelles dans vos rapports, en dehors des informations nécessaires pour vous contacter.

La participation à ce programme ne vous confère aucun droit de propriété intellectuelle appartenant au Groupe Renault ou à un tiers.

Quelles seront les prochaines étapes ?

Après réception de votre rapport d'incident, le personnel compétent prendra contact avec vous pour le suivi de votre dossier. Pour des raisons de confidentialité, nous vous encourageons à crypter toute information sensible que vous nous envoyez par courriel. Nous sommes équipés pour recevoir des messages chiffrés à l'aide de PGP. Notre clé publique PGP peut être utilisée pour envoyer des courriels chiffrés.

Le Groupe Renault s'efforce d'accuser réception de tous les rapports soumis dans un délai de sept jours.

Le Groupe Renault engagera ensuite un dialogue ouvert pour discuter des problèmes identifiés et vous informer de chaque étape de l'enquête.

Le Groupe Renault reste libre d'accepter ou non un rapport dans le cadre de ce programme. Par exemple, le Groupe Renault n'acceptera pas dans ce programme des vulnérabilités ayant un impact minimal sur la sécurité ou une faible exploitabilité, des vulnérabilités indépendantes de sa volonté, des vulnérabilités pouvant être découvertes par des analyses automatiques qui n'ont pas été vérifiées manuellement, ou des vulnérabilités liées à une violation des exigences du programme.

A quoi n'est pas destiné alert.cyber-security@renault.com ?

L'adresse électronique alert.cyber-security@renault.com est destinée UNIQUEMENT aux fins de signaler les vulnérabilités en matière de sécurité des produits ou services. Il ne s'agit pas d'informations d'assistance technique sur nos produits ou services. Tout contenu autre que celui spécifique aux vulnérabilités de sécurité de nos produits ou services ne sera pas traité.

Exigences en matière de divulgation

Le Groupe Renault s'engage à ne pas poursuivre en justice les parties déclarantes qui soumettent des rapports dans le champ de l'enquête et :

  • Effectuent des essais/recherches sur les systèmes sans nuire au Groupe Renault, à ses clients, à ses employés ou à des tiers ;
  • N'utilisent, ni modifient aucune donnée à laquelle elles pourraient accéder pendant sa découverte ;
  • N'effectuent pas d'ingénierie sociale, de spam ou d'attaques de phishing ;
  • Ne testent pas la sécurité physique des biens de Groupe Renault ou de tiers ;
  • N'effectuent pas d'attaques par déni de service ou par épuisement des ressources ;
  • Se conforment aux lois pénales applicables ;
  • Respectent les autres lois applicables (autres que celles qui n'entraîneraient que des réclamations de la part du Groupe Renault).

Le(s) déclarant(e)(s) qui soumet(tent) un rapport au Groupe Renault par l'intermédiaire de ce site Web s'engage(nt) à ne pas divulguer à un tiers les informations relatives à ce rapport, la vulnérabilité signalée, ni le fait qu'une vulnérabilité a été signalée au Groupe. Cet engagement de non divulgation s'applique indépendamment du fait que le Groupe Renault ait eu connaissance ou non de l'information préalablement.

Vous acceptez que le Groupe Renault puisse divulguer les informations contenues dans un rapport que vous soumettez via ce site Web. Le Groupe Renault examinera toute demande de divulgation émanant d'un trouveur, mais se réserve le droit de refuser cette demande.

Le Groupe Renault apprécie les efforts déployés par l'auteur du rapport pour identifier la vulnérabilité. Nous vous remercions de faire tout votre possible pour améliorer la sécurité de nos produits et systèmes et de la communauté Internet dans son ensemble.

Tous les aspects de ce processus sont sujets à changement sans préavis, ainsi qu'à des exceptions au cas par cas. Aucun niveau particulier de réponse n'est garanti pour une question ou une catégorie de questions particulières.