{"id":14915,"date":"2020-05-19T14:54:52","date_gmt":"2020-05-19T14:54:52","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=14915"},"modified":"2020-05-19T15:00:58","modified_gmt":"2020-05-19T15:00:58","slug":"vulnerability-disclosure-ethics","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/vulnerability-disclosure-ethics\/14915\/","title":{"rendered":"Principes \u00e9thiques de divulgation des vuln\u00e9rabilit\u00e9s"},"content":{"rendered":"<p>Les erreurs et les vuln\u00e9rabilit\u00e9s deviennent presque in\u00e9vitables lors du d\u00e9veloppement de tout syst\u00e8me, logiciel ou mat\u00e9riel informatique complexe. Elles sont souvent d\u00e9couvertes non pas par les employ\u00e9s et les experts techniques de l\u2019entreprise qui produit le logiciel ou le mat\u00e9riel, mais par des chercheurs externes. L\u2019\u00e9limination de ces erreurs et de ces vuln\u00e9rabilit\u00e9s potentielles est primordiale pour une bonne cybers\u00e9curit\u00e9, ce pour quoi nos chercheurs et nos experts travaillent \u00e9galement. Ainsi, la principale source d\u2019erreurs et de d\u00e9faillances \u2013 l\u2019\u00eatre humain \u2013 est \u00e9galement un facteur cl\u00e9 pour leur d\u00e9tection et leur correction en temps utile. Parall\u00e8lement, il est important de comprendre que ce processus de correction des erreurs peut potentiellement cr\u00e9er de nouveaux risques et de nouvelles d\u00e9faillances au lieu de r\u00e9soudre le probl\u00e8me.<\/p>\n<p>Chez Kaspersky, nous adh\u00e9rons \u00e0 des principes \u00e9thiques clairs et transparents en mati\u00e8re de divulgation responsable des vuln\u00e9rabilit\u00e9s (DRV) : le processus que nous suivons lorsque nous constatons des vuln\u00e9rabilit\u00e9s dans les syst\u00e8mes d\u2019autres organisations. Nos cinq principes reposent sur plus de 23 ans de travail \u00e0 l\u2019\u00e9chelle mondiale et nous continuons \u00e0 nous inspirer de certaines bonnes pratiques et, en particulier, au <a href=\"https:\/\/www.first.org\/global\/sigs\/ethics\/\" target=\"_blank\" rel=\"noopener nofollow\">code \u00e9thique<\/a> du <em>Forum of Incident Response and Security Teams<\/em> (Forum des \u00e9quipes de s\u00e9curit\u00e9 et de r\u00e9action aux incidents \u2013 FIRST). Dans tous les cas, nous accordons une priorit\u00e9 absolue \u00e0 la s\u00e9curit\u00e9 de nos utilisateurs (les personnes et les organisations qui utilisent les produits et les solutions Kaspersky).<\/p>\n<p>D\u2019autre part, nous respectons les int\u00e9r\u00eats de toutes les parties concern\u00e9es : les personnes ou organisations dont le produit est vuln\u00e9rable, leurs clients (en tant que victimes \u00e9ventuelles) et le secteur de la cybers\u00e9curit\u00e9 dans son ensemble.<\/p>\n<p>Suivre ces principes assure que nous agissons de mani\u00e8re <a href=\"https:\/\/www.kaspersky.fr\/transparency-center\" target=\"_blank\" rel=\"noopener\">transparente<\/a>, responsable et coh\u00e9rente pour construire un \u00e9cosyst\u00e8me de technologies de l\u2019information et de la communication (TIC) plus s\u00fbr. Cependant, pour qu\u2019une telle approche fonctionne dans l\u2019ensemble du secteur informatique, les autres fournisseurs (ainsi que leurs utilisateurs, les chercheurs ind\u00e9pendants, les r\u00e9gulateurs et les autres parties int\u00e9ress\u00e9es) doivent \u00e9galement s\u2019orienter selon des principes similaires. C\u2019est pourquoi nous avons d\u00e9cid\u00e9 de publier nos principes pour une divulgation responsable des vuln\u00e9rabilit\u00e9s trouv\u00e9es dans les logiciels d\u2019autres entreprises. Nous sommes \u00e0 l\u2019avant-garde.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-full wp-image-14917\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2020\/05\/19131229\/vulnerability-disclosure-ethics-IG.png\" alt=\"\" width=\"1071\" height=\"1317\"><\/p>\n<h2>Principe #1\u00a0: \u00c9tablir une relation de confiance<\/h2>\n<p>Un certain degr\u00e9 de m\u00e9fiance est la base de la s\u00e9curit\u00e9 de l\u2019information, mais la divulgation des vuln\u00e9rabilit\u00e9s ne peut pas fonctionner sans confiance. Nous supposons donc que la bienveillance est la motivation de toutes les parties, bien que nous prenions bien s\u00fbr le temps et fassions l\u2019effort de coordonner les actions et de r\u00e9duire tout dommage caus\u00e9 par la vuln\u00e9rabilit\u00e9. Nous nous faisons confiance, mais nous v\u00e9rifions ! Nous ne publions pas d\u2019informations sur les vuln\u00e9rabilit\u00e9s pour le plaisir ou par ambition, mais uniquement dans l\u2019int\u00e9r\u00eat et la s\u00e9curit\u00e9 des utilisateurs et de la soci\u00e9t\u00e9.<\/p>\n<h2>Principe #2\u00a0: Informer d\u2019abord la partie concern\u00e9e<\/h2>\n<p>La divulgation des vuln\u00e9rabilit\u00e9s est un processus complexe qui peut rencontrer de nombreux obstacles tels que l\u2019absence de r\u00e9ponse ou m\u00eame l\u2019impossibilit\u00e9 de joindre les participants. Malgr\u00e9 ces probl\u00e8mes, il est essentiel de fournir des informations pr\u00e9cises et en temps utile aux fournisseurs concern\u00e9s. Tout d\u2019abord, nous coordonnons les efforts pour \u00e9liminer la vuln\u00e9rabilit\u00e9 et minimiser le risque pour l\u2019utilisateur. Pour cela, le fournisseur doit lui aussi fournir une fa\u00e7on claire et transparente de signaler et traiter les informations relatives aux vuln\u00e9rabilit\u00e9s (plus d\u2019informations sur la fa\u00e7on dont cela fonctionne chez Kaspersky <a href=\"https:\/\/support.kaspersky.com\/general\/vulnerability.aspx?el=12429#https:\/\/support.kaspersky.com\/general\/vulnerability.aspx?el=12429\" target=\"_blank\" rel=\"noopener\">ici<\/a> et <a href=\"https:\/\/hackerone.com\/kaspersky\" target=\"_blank\" rel=\"noopener nofollow\">l\u00e0<\/a>).<\/p>\n<h2>Principe #3\u00a0: Coordonner les efforts<\/h2>\n<p>Chaque vuln\u00e9rabilit\u00e9 est unique, c\u2019est une \u00e9vidence. Certaines menacent les utilisateurs d\u2019un seul produit, et d\u2019autres peuvent toucher plusieurs parties (par exemple, dans le cas d\u2019entreprises internationales ayant des cha\u00eenes d\u2019approvisionnement complexes). Les vuln\u00e9rabilit\u00e9s peuvent \u00e9galement affecter les infrastructures critiques et les r\u00e9seaux du secteur public, et donc menacer la s\u00e9curit\u00e9 nationale. De plus, les chercheurs et les fournisseurs ne sont pas les seules parties concern\u00e9es ; les r\u00e9gulateurs, les clients, les chercheurs ind\u00e9pendants et les pirates informatiques peuvent \u00e9galement \u00eatre impliqu\u00e9s. Pour une coordination efficace entre tous les acteurs, nous suivons les meilleures pratiques internationales (par exemple <a href=\"https:\/\/blog.ansi.org\/2018\/11\/iso-iec-29147-2018-vulnerability-disclosure\/#gref\" target=\"_blank\" rel=\"noopener nofollow\">la norme ISO \/ CEI 29147:2018<\/a> pour la divulgation de vuln\u00e9rabilit\u00e9s). Nous essayons de donner \u00e0 tous les participants suffisamment de temps pour effectuer une analyse approfondie des vuln\u00e9rabilit\u00e9s et d\u00e9velopper des mesures correctives.<\/p>\n<h2>Principe #4\u00a0: Maintenir la confidentialit\u00e9, quand cela est appropri\u00e9<\/h2>\n<p>Si des informations techniques sur une vuln\u00e9rabilit\u00e9 sont r\u00e9v\u00e9l\u00e9es trop t\u00f4t dans le processus, les cybercriminels peuvent en tirer profit. C\u2019est pourquoi nous partageons les informations de mani\u00e8re confidentielle avec les parties qui doivent mettre en place des mesures de protection, et utilisons les canaux de communication les plus fiables et les plus s\u00fbrs pour travailler et partager les rapports. C\u2019est pour cette m\u00eame raison que nous n\u00e9gocions les conditions et les modalit\u00e9s de la divulgation avec le fournisseur. Toutefois, si un fournisseur ne r\u00e9pond pas, et selon la gravit\u00e9 et l\u2019ampleur de la vuln\u00e9rabilit\u00e9 et le caract\u00e8re imm\u00e9diat du risque, nous utilisons nos propres canaux de communication pour divulguer la vuln\u00e9rabilit\u00e9, conform\u00e9ment \u00e0 nos politiques internes, aux r\u00e9glementations locales et aux meilleures pratiques du secteur, tout en maintenant le fournisseur inform\u00e9.<\/p>\n<h2>Principe #5\u00a0: Encourager le comportement souhait\u00e9<\/h2>\n<p>Malgr\u00e9 les efforts de l\u2019industrie, les cybercriminels ne cessent de rechercher et de trouver des vuln\u00e9rabilit\u00e9s. C\u2019est pourquoi nous consid\u00e9rons qu\u2019il est important de soutenir ouvertement tous ceux qui signalent les vuln\u00e9rabilit\u00e9s de mani\u00e8re responsable et suivent les meilleures pratiques de l\u2019industrie en mati\u00e8re de divulgation responsable.<\/p>\n<h2>Pr\u00e9server la divulgation des vuln\u00e9rabilit\u00e9s<\/h2>\n<p>Je suis convaincu que si toutes les parties adoptent des principes \u00e9thiques similaires, nous pourrons travailler ensemble pour rendre l\u2019\u00e9cosyst\u00e8me des TIC non seulement plus s\u00fbr, mais aussi plus sain et plus pr\u00e9visible pour nos utilisateurs, qui sont les personnes pour lesquelles nous travaillons.<\/p>\n<p>Vous pouvez en savoir plus sur les <a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/92\/2020\/05\/15091233\/RVD-Ethical-Principles-EN.pdf\">principes \u00e9thiques de DRV<\/a> sur le <a href=\"https:\/\/www.kaspersky.fr\/transparency-center\" target=\"_blank\" rel=\"noopener\">site de notre Initiative Mondiale de Transparence de l\u2019information<\/a>.<\/p>\n<p>\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Pour s&rsquo;assurer que la divulgation d&rsquo;une vuln\u00e9rabilit\u00e9 ne cause pas plus de probl\u00e8mes qu&rsquo;elle n&rsquo;en r\u00e9sout, nous recommandons quelques principes simples. <\/p>\n","protected":false},"author":2597,"featured_media":14918,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150],"tags":[3919,322],"class_list":{"0":"post-14915","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-drv","10":"tag-vulnerabilites"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/vulnerability-disclosure-ethics\/14915\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/vulnerability-disclosure-ethics\/21319\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/vulnerability-disclosure-ethics\/16785\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/vulnerability-disclosure-ethics\/22348\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/vulnerability-disclosure-ethics\/20510\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/vulnerability-disclosure-ethics\/18812\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/vulnerability-disclosure-ethics\/22734\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/vulnerability-disclosure-ethics\/21759\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/vulnerability-disclosure-ethics\/28424\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/vulnerability-disclosure-ethics\/8338\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/vulnerability-disclosure-ethics\/35581\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/vulnerability-disclosure-ethics\/15203\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/vulnerability-disclosure-ethics\/13472\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/vulnerability-disclosure-ethics\/24004\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/vulnerability-disclosure-ethics\/11463\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/vulnerability-disclosure-ethics\/25429\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/vulnerability-disclosure-ethics\/22319\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/vulnerability-disclosure-ethics\/27607\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/vulnerability-disclosure-ethics\/27440\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/vulnerabilites\/","name":"Vuln\u00e9rabilit\u00e9s"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/14915","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2597"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=14915"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/14915\/revisions"}],"predecessor-version":[{"id":14921,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/14915\/revisions\/14921"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/14918"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=14915"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=14915"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=14915"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}