Respon­sible Dis­closure:
Traiter les vulnéra­bilités
de manière respon­sable

Dans le cadre de leur travail, nos experts en sécurité informatique identifient régulièrement des vulnérabilités inconnues (appelées « zero-day » ou « 0-day ») ou des vulnérabilités et configurations erronées déjà connues dans les produits logiciels, les environnements réseau et directement sur Internet. Nos experts utilisent ces connaissances de manière très responsable. Avec Responsible Disclosure, la DGC mise ici sur un processus établi dans le monde de la cybersécurité : les fabricants ou les exploitants sont informés rapidement de l’existence d’une faille et soutenus par des informations ciblées pour la combler. Ensuite, les utilisateurs du produit ou du service concerné ainsi que le public sont informés.

Disclosure Policy: Notre approche en détail

  • Afin d’exploiter durablement les opportunités offertes par le changement numérique et de minimiser les risques, la DGC identifie – même sans mandat concret – les points faibles des produits logiciels, des environnements de réseau ou directement sur Internet.
  • Si nous avons identifié une faille de sécurité connue ou nouvelle, voire une mauvaise configuration, le fabricant/fournisseur est informé par écrit de la vulnérabilité découverte et des détails nécessaires, et est ainsi activement soutenu pour combler cette faille gratuitement.
  • Après que le fabricant/fournisseur a fourni une solution, que la faille a été comblée ou au plus tard 28 jours après avoir été informé confidentiellement de la faille, la DGC publie des informations détaillées à cet endroit de notre site web. 
  • En outre, nous inscrivons la vulnérabilité dans le répertoire CVE des vulnérabilités connues de tous. En outre, nous informons le grand public dans les médias concernés. Le délai peut être prolongé si le fabricant/fournisseur fournit une déclaration écrite à cet effet et qu’une nouvelle date est convenue pour la publication responsable de la vulnérabilité.

Notre approche est basée sur les directives coordonnées de divulgation des vulnérabilités (Coordinated Vulnerability Disclosure Guidance) de l’équipe nationale d’intervention en cas d’urgence informatique (Computer Emergency Response Team, CERT). Nous répondons ainsi à notre souhait de fournir à temps et de manière conséquente des informations aux utilisateurs potentiellement concernés afin de les protéger. Dans le même temps, nous parvenons à un compromis équitable entre les intérêts publics et ceux des entreprises.

Articles actuels dans le domaine
de Responsible Disclosure

(uniquement disponible en anglais)

Ce quoi Responsible Disclosure?

Si une vulnérabilité de sécurité est découverte et vérifiée dans des produits logiciels, il est important d’agir au sens de la cybersécurité générale. Les analystes de sécurité utilisent de manière standard la procédure dite de Responsible Disclosure: Les détails d’une vulnérabilité ne sont publiés qu’après l’écoulement d’un délai déterminé, au cours duquel le fabricant est autorisé à résoudre lui-même le problème. La communication avec le fabricant est cryptée pendant cette période. Après avoir comblé la vulnérabilité, une analyse détaillée et des recommandations pour corriger l’erreur – par exemple, par des mises à jour – sont idéalement publiées ensemble.

Full Disclosure vs. Responsible Disclosure?

Contrairement à Responsible Disclosure, les vulnérabilités de sécurité inconnues qui pourraient être exploitées par des cybercriminels sont publiées immédiatement dans Full Disclosure (divulgation complète). Ceux qui choisissent cette approche partent généralement du principe que la situation de menace sera éliminée plus rapidement en raison de la pression publique et de la menace d’une perte d’image.

Les deux procédures mettent l’accent sur la transparence : les entreprises, les utilisateurs et le public doivent être informés afin de pouvoir se préparer aux failles de sécurité – seul le moment de la publication est différent.

Suivez nous sur