Dell participe activement à diverses démarches collectives(en anglais), y compris le Forum of Incident Response and Response Teams (FIRST)(en anglais) et le Software Assurance Forum for Excellence in Code (SAFECode)(en anglais). Nos processus et procédures s'alignent sur le cadre de services PSIRT FIRST(en anglais), ainsi que sur d'autres normes, telles que les normes ISO/IEC 29147:2018(en anglais) et ISO/IEC 30111:2019(en anglais).
Dell reconnaît le travail de ses partenaires du secteur comme de ses chercheurs en sécurité et apprécie toutes les contributions à ses initiatives en matière de sécurité et encourage la divulgation responsable et coordonnée, car la sécurité de ses clients est primordiale. Notre objectif est de nous assurer que des mesures correctives et/ou des stratégies d'atténuation sont disponibles au moment de la divulgation des failles de sécurité spécifiques à Dell, et de travailler avec des fournisseurs tiers lorsque des mesures correctives nécessitent leur collaboration.
Conformément à cette politique, toutes les informations divulguées concernant les nouvelles failles de sécurité sont considérées comme confidentielles et ne doivent être partagées qu'entre Dell et la partie déclarante, si l'information n'est pas déjà portée à la connaissance du grand public, jusqu'à ce qu'une solution soit disponible et que les activités de divulgation aient été coordonnées.
Après avoir étudié et confirmé une faille de sécurité signalée, nous nous efforçons de développer et de valider une solution appropriée pour les produits pris en charge par le support Dell. Une solution peut prendre une ou plusieurs des formes suivantes :
Dell fait tout son possible pour fournir la solution ou les mesures correctives dans les plus brefs délais commerciaux. Les délais de réponse dépendent de nombreux facteurs, tels que :
Dell utilise la norme Common Vulnerability Scoring System(en anglais), version 3.1 (CVSS v3.1) pour communiquer les caractéristiques des failles de sécurité des produits Dell. La norme est tenue à jour par les équipes FIRST.
Le score CVSS fournit un moyen numérique de quantifier la gravité de la faille de sécurité en prenant en compte plusieurs facteurs, y compris le niveau d'effort requis pour exploiter une faille de sécurité, ainsi que l'impact potentiel si la faille de sécurité est exploitée. Dell résume l'impact évalué d'une faille de sécurité via un score numérique, une chaîne vectorielle et une représentation qualitative de la gravité (critique, élevée, moyenne ou faible), conformément à l'échelle indiquée ci-dessous :
Sévérité | Score CVSS v3.1 |
Critique | 9,0 – 10 |
High | 7,0 – 8,9 |
Moyenne | 4,0 – 6,9 |
Basse | 0,1 – 3,9 |
Dell recommande à tous les clients d'utiliser ces informations dans le calcul des mesures environnementales pouvant être pertinentes pour leur environnement, afin d'évaluer avec précision les risques propres à leurs actifs ou à la mise en œuvre de produits Dell.
Notez qu'il n'est pas rare que l'évaluation par Dell d'une faille de sécurité, d'un score CVSS et/ou d'une chaîne vectorielle diffère de celle fournie par d'autres sources. En cas de divergence, Dell utilisera les informations contenues dans les conseils de sécurité Dell comme source d'informations faisant autorité.
Dell publie des conseils de sécurité, des avis et des articles d'information pour communiquer avec les clients sur les failles de sécurité qui affectent ses produits.
Les conseils de sécurité sont publiés pour fournir des conseils ou des instructions sur la façon dont les clients peuvent se protéger, atténuer et/ou corriger les failles de sécurité une fois que Dell a analysé et identifié des solutions.
Les conseils de sécurité sont destinés à fournir des détails suffisants pour permettre d’évaluer l’impact des failles de sécurité et de les résoudre pour les produits potentiellement affectés. Cependant, les détails complets peuvent être limités afin de réduire la probabilité que des parties malveillantes puissent tirer profit des informations fournies et les exploiter au détriment de nos clients.
Le cas échéant, les conseils de sécurité Dell comprendront généralement les informations suivantes :
Au cas par cas, Dell peut publier un avis de sécurité pour reconnaître une faille de sécurité connue publiquement et fournir une déclaration ou d'autres conseils pour indiquer quand (ou où) des informations supplémentaires seront disponibles.
Dell peut publier des articles d’information relatifs à la sécurité pour partager des informations sur des sujets liés à la sécurité, notamment :
Les conseils et avis de sécurité Dell sont disponibles sur www.dell.com/support/security. Ce lien permet également d’accéder à des articles d’information (authentification requise).
Si vous identifiez une faille de sécurité dans un produit Dell, veuillez nous la signaler immédiatement. L’identification et le signalement rapides des failles de sécurité sont essentiels pour limiter les risques éventuels qui peuvent affecter nos clients. Les chercheurs en sécurité doivent envoyer leurs rapports sur les failles de sécurité des produits via le site Dell Bugcrowd(en anglais). Les clients et partenaires de produits d’entreprise et professionnels doivent contacter leur équipe de support technique respective afin de signaler tout problème de sécurité détecté dans les produits Dell. L’équipe de support technique, l’équipe de produits correspondante et l’équipe Dell PSIRT collaboreront pour résoudre le problème signalé et accompagner les clients dans les étapes à suivre.
Les groupes industriels, les fournisseurs et les autres utilisateurs qui n'ont pas accès au support technique et/ou qui ne souhaitent pas passer par le programme de prime aux bogues peuvent envoyer leurs rapports concernant les failles de sécurité directement à l'équipe Dell PSIRT par e-mail. En cas de transmission de données sensibles, les e-mails et les pièces jointes doivent être chiffrés à l’aide de PGP et d’une clé PGP Dell PSIRT téléchargeable ici. Dell accusera réception de votre signalement d’une faille de sécurité dès que la situation le permettra.
Dans tous les cas, Dell s’efforcera d’accuser réception de votre rapport de divulgation des failles de sécurité dans un délai de trois (3) jours ouvrés à compter de la réception et vous tiendra informé des mesures correctives dans un délai de trente (30) jours civils ou moins.
Lorsque vous signalez une faille de sécurité potentielle, veuillez inclure autant d’informations que possible pour nous aider à mieux comprendre la nature et la portée du problème signalé :
Si une faille de sécurité vous donne accès à des données confidentielles ou non publiques (y compris des données tierces, des données personnelles ou des informations marquées par Dell comme à usage interne, restreint ou hautement restreint), l’accès à ces données doit se restreindre au minimum nécessaire afin de signaler la faille de sécurité auprès de Dell. À part dans le cadre de l’envoi à Dell, il est interdit de stocker, transférer, utiliser, conserver, divulguer ou copier ces données.
Vous ne devez pas non plus entreprendre toute action qui affecte l’intégrité ou la disponibilité de systèmes Dell, sauf si vous disposez de l’autorisation explicite du propriétaire. Effectuez uniquement le minimum nécessaire pour obtenir une validation technique. Si vous remarquez une dégradation des performances au cours de vos recherches ou provoquez par inadvertance une violation ou une interruption (par exemple, l’accès aux données client ou aux configurations de service), arrêtez toute utilisation d’outils automatisés et signalez l’incident immédiatement. Si, à tout moment, vous avez des inquiétudes ou n’êtes pas sûr que vos recherches en matière de sécurité sont cohérentes avec cette politique, veuillez contacter secure@dell.com avant de poursuivre.
Utilisez les coordonnées appropriées répertoriées ci-dessous pour signaler d’autres types de problèmes de sécurité à Dell :
Problème de sécurité | Coordonnées |
Pour signaler une faille de sécurité ou un problème de sécurité sur Dell.com ou dans un autre service en ligne, une application Web ou une propriété : | envoyez un rapport sur https://bugcrowd.com/dell-com(en anglais) avec des instructions étape par étape pour reproduire le problème. |
Si vous soupçonnez une usurpation d'identité ou si vous avez été victime d'une transaction frauduleuse liée à Dell Financial Services : | consultez la page Dell Financial Services relative à la sécurité(en anglais). |
Pour toute demande ou question relative à la confidentialité : | consultez la page Dell relative à la confidentialité(en anglais). |
Dell s’efforce d’être aussi transparent que possible en fournissant des informations sur ses efforts en matière de résolution des failles de sécurité dans les conseils de sécurité et la documentation connexe, comme les notes de mise à jour, les articles de la base de connaissances et les Questions fréquentes. Dell ne partage pas le code d’exploitation vérifié ni de validation technique pour les failles de sécurité identifiées. De plus, conformément aux pratiques du secteur, Dell ne partage pas les résultats ni les validations techniques issu(e)s des tests de sécurité internes ou d’autres types de données privilégiées avec des entités externes.
Les droits des clients Dell en ce qui concerne les garanties, le support et la maintenance, y compris pour le traitement des failles de sécurité de tout produit logiciel Dell, sont uniquement régis par le contrat applicable conclu entre Dell et le client. Les éléments mentionnés sur la présente page Web ne modifient, n’amplifient ni n’altèrent les droits des clients, quels qu’ils soient, et ils ne créent aucune garantie supplémentaire.
Tous les aspects de cette politique de réponse aux failles de sécurité peuvent être modifiés sans préavis. Dell ne peut garantir de réponse pour un problème ou une catégorie de problèmes spécifique. Vous utilisez les informations de ce document ou les éléments associés à vos propres risques.