Responsible Disclosure:
Traitement responsable
des vulnérabilités

Dans le cadre de leur travail, nos experts en sécurité informatique identifient régulièrement des vulnérabilités inconnues dans les produits logiciels et traitent ces connaissances de façon responsable. Avec Responsible Disclosure (divulgation responsable) la DGC s’appuie sur un processus établi en matière de cybersécurité: les fabricants sont aidés à combler les vulnérabilités en temps opportun, les utilisateurs du produit concerné et le public sont informés – et les cyberattaques contre les entreprises sont contrées de manière ciblée.

Disclosure Policy: Notre approche en détail

Afin d’exploiter durablement les opportunités de la transformation numérique et de minimiser les risques, la DGC identifie les vulnérabilités dans les produits logiciels et les environnements réseau – même sans commande spécifique. Une fois que nous avons identifié une vulnérabilité inconnue, elle sera publiée de manière responsable dans cette section de notre site web et sera inscrite dans le répertoire CVE des vulnérabilités globalement connues.

Notre approche est basée sur le Guide de Divulgation Coordonnée des Vulnérabilités (Coordinated Vulnerability Disclosure Guidance) de l’équipe nationale d’intervention en cas d’urgence informatique, ou CERT en abrégé:

Le fabricant est informé par écrit de la vulnérabilité découverte. Une fois que ce dernier a fourni une solution – ou 28 jours après avoir été informé de la vulnérabilité de manière confidentielle – la DGC publiera des informations détaillées. Le délai peut être prolongé si le fabricant fournit une explication écrite à ce sujet et si une nouvelle date pour la publication responsable de la vulnérabilité est convenue.

De cette manière, nous répondons à notre souci de fournir aux utilisateurs potentiellement concernés des informations opportunes et cohérentes pour leur protection. Dans le même temps, il existe un compromis équitable entre les intérêts publics et ceux des entreprises.

Articles actuels dans le domaine
de Responsible Disclosure

(uniquement disponible en anglais)

Ce quoi Responsible Disclosure?

Si une vulnérabilité de sécurité est découverte et vérifiée dans des produits logiciels, il est important d’agir au sens de la cybersécurité générale. Les analystes de sécurité utilisent de manière standard la procédure dite de Responsible Disclosure: Les détails d’une vulnérabilité ne sont publiés qu’après l’écoulement d’un délai déterminé, au cours duquel le fabricant est autorisé à résoudre lui-même le problème. La communication avec le fabricant est cryptée pendant cette période. Après avoir comblé la vulnérabilité, une analyse détaillée et des recommandations pour corriger l’erreur – par exemple, par des mises à jour – sont idéalement publiées ensemble.

Full Disclosure vs. Responsible Disclosure?

Contrairement à Responsible Disclosure, les vulnérabilités de sécurité inconnues qui pourraient être exploitées par des cybercriminels sont publiées immédiatement dans Full Disclosure (divulgation complète). Ceux qui choisissent cette approche partent généralement du principe que la situation de menace sera éliminée plus rapidement en raison de la pression publique et de la menace d’une perte d’image.

Les deux procédures mettent l’accent sur la transparence : les entreprises, les utilisateurs et le public doivent être informés afin de pouvoir se préparer aux failles de sécurité – seul le moment de la publication est différent.

Suivez-nous sur