Passer au contenu principal
  • Passer des commandes rapidement et facilement
  • Afficher les commandes et suivre l’état de votre expédition
  • Créez et accédez à une liste de vos produits

Politique Dell de réponse aux failles de sécurité

Introduction

Dell s’efforce d’aider ses clients à limiter les risques associés aux failles de sécurité dans ses produits. Notre objectif est de fournir aux clients des informations, des conseils et des options de limitation des risques en temps voulu pour remédier aux failles de sécurité. L'équipe de réponse aux incidents de sécurité des produits Dell (Dell PSIRT) est chargée de communiquer au sujet des failles de sécurité de produits impactant les produits Dell, ainsi que de coordonner la réponse face à ses dernières.

Dell participe activement à diverses démarches collectives(en anglais), y compris le Forum of Incident Response and Response Teams (FIRST)(en anglais) et le Software Assurance Forum for Excellence in Code (SAFECode)(en anglais). Nos processus et procédures s'alignent sur le cadre de services PSIRT FIRST(en anglais), ainsi que sur d'autres normes, telles que les normes ISO/IEC 29147:2018(en anglais) et ISO/IEC 30111:2019(en anglais).


Gestion des rapports de faille de sécurité

Dell reconnaît le travail de ses partenaires du secteur comme de ses chercheurs en sécurité et apprécie toutes les contributions à ses initiatives en matière de sécurité et encourage la divulgation responsable et coordonnée, car la sécurité de ses clients est primordiale. Notre objectif est de nous assurer que des mesures correctives et/ou des stratégies d'atténuation sont disponibles au moment de la divulgation des failles de sécurité spécifiques à Dell, et de travailler avec des fournisseurs tiers lorsque des mesures correctives nécessitent leur collaboration.

Conformément à cette politique, toutes les informations divulguées concernant les nouvelles failles de sécurité sont considérées comme confidentielles et ne doivent être partagées qu'entre Dell et la partie déclarante, si l'information n'est pas déjà portée à la connaissance du grand public, jusqu'à ce qu'une solution soit disponible et que les activités de divulgation aient été coordonnées.


Résolution des failles de sécurité

Après avoir étudié et confirmé une faille de sécurité signalée, nous nous efforçons de développer et de valider une solution appropriée pour les produits pris en charge par le support Dell. Une solution peut prendre une ou plusieurs des formes suivantes :

  • une nouvelle version du produit concerné fournie par Dell ;
  • un correctif fourni par Dell qui peut être installé en plus du produit concerné ;
  • des instructions pour télécharger et installer une mise à jour ou un correctif provenant d'un fournisseur tiers et requis pour résoudre la faille de sécurité ;
  • une procédure corrective ou une solution de contournement publiée par Dell indiquant aux utilisateurs les mesures disponibles pour résoudre la faille de sécurité.

Dell fait tout son possible pour fournir la solution ou les mesures correctives dans les plus brefs délais commerciaux. Les délais de réponse dépendent de nombreux facteurs, tels que :

  • la gravité de la faille de sécurité ;
  • la complexité de la faille de sécurité ;
  • l'étendue de son impact ;
  • l'effort/l'impact des mesures correctives ;
  • le cycle de vie des produits.

Évaluation de la gravité et de l'impact des failles de sécurité par Dell

Dell utilise la norme Common Vulnerability Scoring System(en anglais), version 3.1 (CVSS v3.1) pour communiquer les caractéristiques des failles de sécurité des produits Dell. La norme est tenue à jour par les équipes FIRST.

Le score CVSS fournit un moyen numérique de quantifier la gravité de la faille de sécurité en prenant en compte plusieurs facteurs, y compris le niveau d'effort requis pour exploiter une faille de sécurité, ainsi que l'impact potentiel si la faille de sécurité est exploitée. Dell résume l'impact évalué d'une faille de sécurité via un score numérique, une chaîne vectorielle et une représentation qualitative de la gravité (critique, élevée, moyenne ou faible), conformément à l'échelle indiquée ci-dessous :

Sévérité

Score CVSS v3.1

Critique

9,0 – 10

High

7,0 – 8,9

Moyenne

4,0 – 6,9

Basse

0,1 – 3,9

Dell recommande à tous les clients d'utiliser ces informations dans le calcul des mesures environnementales pouvant être pertinentes pour leur environnement, afin d'évaluer avec précision les risques propres à leurs actifs ou à la mise en œuvre de produits Dell.

Notez qu'il n'est pas rare que l'évaluation par Dell d'une faille de sécurité, d'un score CVSS et/ou d'une chaîne vectorielle diffère de celle fournie par d'autres sources. En cas de divergence, Dell utilisera les informations contenues dans les conseils de sécurité Dell comme source d'informations faisant autorité.


Communications externes

Dell publie des conseils de sécurité, des avis et des articles d'information pour communiquer avec les clients sur les failles de sécurité qui affectent ses produits.

Les conseils de sécurité sont publiés pour fournir des conseils ou des instructions sur la façon dont les clients peuvent se protéger, atténuer et/ou corriger les failles de sécurité une fois que Dell a analysé et identifié des solutions.

Les conseils de sécurité sont destinés à fournir des détails suffisants pour permettre d’évaluer l’impact des failles de sécurité et de les résoudre pour les produits potentiellement affectés. Cependant, les détails complets peuvent être limités afin de réduire la probabilité que des parties malveillantes puissent tirer profit des informations fournies et les exploiter au détriment de nos clients.

Le cas échéant, les conseils de sécurité Dell comprendront généralement les informations suivantes :

  • L'impact global, qui est une représentation textuelle de la gravité (critique, élevée, moyenne et faible) calculée à l'aide de l'échelle d'évaluation qualitative de gravité CVSS pour le score de base CVSS le plus élevé de toutes les failles de sécurité identifiées ;
  • les produits et versions affectés ;
  • le vecteur et le score de base CVSS de toutes les failles de sécurité identifiées ;
  • l'ID CVE (Common Vulnerability Enumeration)(en anglais) pour toutes les failles de sécurité identifiées afin que les informations relatives à chaque faille de sécurité unique puissent être partagées entre différentes fonctionnalités de gestion des failles de sécurité (par exemple, des outils tels que les scanners de failles de sécurité, les référentiels et les services) ;
  • la brève description de la faille de sécurité et de son impact potentiel si elle est exploitée ;
  • les détails de la mesure corrective avec les informations de mise à jour/contournement ;
  • Informations sur les catégories de failles de sécurité :
    • Code propriétaire : matériel, logiciels ou firmwares développés par Dell.
    • le composant tiers : matériel, logiciel ou firmware distribué librement sous forme de package ou incorporé dans un produit Dell ;
  • les références supplémentaires, le cas échéant.

Au cas par cas, Dell peut publier un avis de sécurité pour reconnaître une faille de sécurité connue publiquement et fournir une déclaration ou d'autres conseils pour indiquer quand (ou où) des informations supplémentaires seront disponibles.

Dell peut publier des articles d’information relatifs à la sécurité pour partager des informations sur des sujets liés à la sécurité, notamment :

  • De nouvelles fonctionnalités de renforcement de la sécurité introduites ;
  • des pratiques d'excellence et des guides de configuration de la sécurité spécifiques à des produits ;
  • des failles de sécurité affectant des composants tiers, identifiées par des outils d'analyse des failles de sécurité, mais inexploitables à partir du produit spécifié ;
  • des instructions d'installation pour l'application de mises à jour de sécurité spécifiques.
  • des informations relatives à l’impact de mises à jour de sécurité qui modifieraient les conditions requises pour utiliser des produits tiers et pourraient avoir une incidence sur les produits Dell.

Les conseils et avis de sécurité Dell sont disponibles sur www.dell.com/support/security. Ce lien permet également d’accéder à des articles d’information (authentification requise).


Comment signaler une faille de sécurité

Si vous identifiez une faille de sécurité dans un produit Dell, veuillez nous la signaler immédiatement. L’identification et le signalement rapides des failles de sécurité sont essentiels pour limiter les risques éventuels qui peuvent affecter nos clients. Les chercheurs en sécurité doivent envoyer leurs rapports sur les failles de sécurité des produits via le site Dell Bugcrowd(en anglais).  Les clients et partenaires de produits d’entreprise et professionnels doivent contacter leur équipe de support technique respective afin de signaler tout problème de sécurité détecté dans les produits Dell. L’équipe de support technique, l’équipe de produits correspondante et l’équipe Dell PSIRT collaboreront pour résoudre le problème signalé et accompagner les clients dans les étapes à suivre.

Les groupes industriels, les fournisseurs et les autres utilisateurs qui n'ont pas accès au support technique et/ou qui ne souhaitent pas passer par le programme de prime aux bogues peuvent envoyer leurs rapports concernant les failles de sécurité directement à l'équipe Dell PSIRT par e-mail. En cas de transmission de données sensibles, les e-mails et les pièces jointes doivent être chiffrés à l’aide de PGP et d’une clé PGP Dell PSIRT téléchargeable ici. Dell accusera réception de votre signalement d’une faille de sécurité dès que la situation le permettra.

Dans tous les cas, Dell s’efforcera d’accuser réception de votre rapport de divulgation des failles de sécurité dans un délai de trois (3) jours ouvrés à compter de la réception et vous tiendra informé des mesures correctives dans un délai de trente (30) jours civils ou moins.

Lorsque vous signalez une faille de sécurité potentielle, veuillez inclure autant d’informations que possible pour nous aider à mieux comprendre la nature et la portée du problème signalé :

  • Le nom et la version du produit contenant le point faible/la faille de sécurité suspectée ;
  • des informations sur l'environnement ou le système dans lequel le problème a été reproduit (par exemple : numéro de modèle du produit, version du système d'exploitation et autres informations associées) ;
  • l'énumération des points faibles courants (CWE) ainsi que le type et/ou la classe de la faille de sécurité (par exemple : XSS, débordement de la mémoire tampon, déni de service, exécution de code à distance) ;
  • des instructions étape par étape pour reproduire la faille de sécurité ;
  • la validation technique ou le code d'exploitation ;
  • l'impact potentiel de la faille de sécurité.

Directives de comportement des chercheurs

Si une faille de sécurité vous donne accès à des données confidentielles ou non publiques (y compris des données tierces, des données personnelles ou des informations marquées par Dell comme à usage interne, restreint ou hautement restreint), l’accès à ces données doit se restreindre au minimum nécessaire afin de signaler la faille de sécurité auprès de Dell. À part dans le cadre de l’envoi à Dell, il est interdit de stocker, transférer, utiliser, conserver, divulguer ou copier ces données.

Vous ne devez pas non plus entreprendre toute action qui affecte l’intégrité ou la disponibilité de systèmes Dell, sauf si vous disposez de l’autorisation explicite du propriétaire. Effectuez uniquement le minimum nécessaire pour obtenir une validation technique. Si vous remarquez une dégradation des performances au cours de vos recherches ou provoquez par inadvertance une violation ou une interruption (par exemple, l’accès aux données client ou aux configurations de service), arrêtez toute utilisation d’outils automatisés et signalez l’incident immédiatement. Si, à tout moment, vous avez des inquiétudes ou n’êtes pas sûr que vos recherches en matière de sécurité sont cohérentes avec cette politique, veuillez contacter secure@dell.com avant de poursuivre.


Signaler à Dell d’autres problèmes de sécurité

Utilisez les coordonnées appropriées répertoriées ci-dessous pour signaler d’autres types de problèmes de sécurité à Dell :

Problème de sécurité

Coordonnées

Pour signaler une faille de sécurité ou un problème de sécurité sur Dell.com ou dans un autre service en ligne, une application Web ou une propriété :

envoyez un rapport sur https://bugcrowd.com/dell-com(en anglais) avec des instructions étape par étape pour reproduire le problème.

Si vous soupçonnez une usurpation d'identité ou si vous avez été victime d'une transaction frauduleuse liée à Dell Financial Services :

consultez la page Dell Financial Services relative à la sécurité(en anglais).

Pour toute demande ou question relative à la confidentialité :

consultez la page Dell relative à la confidentialité(en anglais).


Limites

Dell s’efforce d’être aussi transparent que possible en fournissant des informations sur ses efforts en matière de résolution des failles de sécurité dans les conseils de sécurité et la documentation connexe, comme les notes de mise à jour, les articles de la base de connaissances et les Questions fréquentes.  Dell ne partage pas le code d’exploitation vérifié ni de validation technique pour les failles de sécurité identifiées. De plus, conformément aux pratiques du secteur, Dell ne partage pas les résultats ni les validations techniques issu(e)s des tests de sécurité internes ou d’autres types de données privilégiées avec des entités externes.


Droits des clients : garanties, support et maintenance

Les droits des clients Dell en ce qui concerne les garanties, le support et la maintenance, y compris pour le traitement des failles de sécurité de tout produit logiciel Dell, sont uniquement régis par le contrat applicable conclu entre Dell et le client. Les éléments mentionnés sur la présente page Web ne modifient, n’amplifient ni n’altèrent les droits des clients, quels qu’ils soient, et ils ne créent aucune garantie supplémentaire.


Avis de non-responsabilité

Tous les aspects de cette politique de réponse aux failles de sécurité peuvent être modifiés sans préavis. Dell ne peut garantir de réponse pour un problème ou une catégorie de problèmes spécifique. Vous utilisez les informations de ce document ou les éléments associés à vos propres risques.