Introduction

Chez Sonova, nous nous engageons à assurer la sécurité et la résilience de nos produits et services connexes. Nous comprenons que malgré nos efforts, des vulnérabilités peuvent survenir. Tout le monde est encouragé à signaler les vulnérabilités suspectées ou les préoccupations de sécurité liées à nos produits ou à leurs logiciels ou infrastructures sous-jacentes. Cela inclut les chercheurs en sécurité, les clients et consommateurs finaux, les CERT (équipes d’intervention d’urgence informatique), les groupes industriels, les partenaires et toutes les autres parties prenantes.

Avant de soumettre un rapport, veuillez lire attentivement cette politique et vous assurer que vos actions respectent ses directives.

Signaler une vulnérabilité

Nous demandons à toute personne qui croit avoir découvert une vulnérabilité potentielle de sécurité dans nos produits ou services connexes de nous la signaler dès que possible par l’entremise de notre service à la clientèle.

Lors de la soumission d’un rapport, veuillez suivre ces directives :

  • Fournir des informations détaillées sur la vulnérabilité potentielle, incluant une description claire et des étapes pour reproduire la conclusion. Veuillez trouver un modèle pour signaler votre découverte dans l’annexe.
  • Évitez toute action qui pourrait nuire à la confidentialité, à l’intégrité, à la disponibilité ou à la sécurité de nos produits, services ou données. Veuillez vous abstenir de causer des dommages matériels, de modifier des données, d’abuser de l’escalade de privilèges ou de télécharger plus de données que nécessaire pour démontrer la vulnérabilité.
  • Maintenez la confidentialité de vos conclusions jusqu’à ce que nous ayons terminé notre enquête et mis en place les mesures nécessaires. Cela aide à protéger nos utilisateurs et assure une gestion responsable des problèmes de sécurité.
  • Veuillez nous informer à l’avance de votre intention de divulguer publiquement cette vulnérabilité.
  • Veuillez fournir vos coordonnées, comme une adresse courriel ou un numéro de téléphone, afin que nous puissions faire un suivi avec vous pour une enquête plus approfondie.

Notre engagement

Après avoir reçu un signalement d’une vulnérabilité de sécurité, Sonova s’engage dans ce qui suit :

  • Nous accuserons réception de votre rapport, confirmant que votre soumission a été reçue et est en cours de traitement.
  • Notre équipe de sécurité dévouée mènera une enquête approfondie sur la vulnérabilité signalée. Nous pouvons vous contacter pour obtenir plus d’informations ou des clarifications afin d’assurer une compréhension complète de la vulnérabilité.
  • Nous priorisons la résolution des vulnérabilités signalées selon leur gravité et leur complexité. Notre équipe s’engage à prendre les mesures nécessaires pour traiter et atténuer les risques rapidement et efficacement.
  • Nous maintiendrons une communication ouverte et transparente avec vous tout au long du processus. Vous serez tenu informé de nos progrès dans l’enquête et la résolution du problème, avec des mises à jour régulières aux étapes clés.

Exclusions

Bien que nous encourageons à signaler toute vulnérabilité de sécurité détectée, veuillez noter que les actions suivantes sont strictement interdites :

  • Utiliser un scan automatisé invasif ou perturbateur contre notre infrastructure.
  • Accéder, télécharger, modifier ou autrement interférer avec des données dans des comptes ou systèmes que vous ne possédez pas ou avec lesquels vous n’avez pas la permission explicite d’interagir.
  • Effectuer des activités qui perturbent, dégradent ou menacent intentionnellement l’intégrité opérationnelle de nos produits et des services ou systèmes connexes.
  • Divulguer la vulnérabilité identifiée en public avant notre résolution.
  • Engager toute forme d’ingénierie sociale, d’attaques de phishing ou de pratiques trompeuses contre nos employés, utilisateurs ou infrastructures.
  • Mener des attaques de sécurité physique contre les actifs de Sonova.

Vulnérabilités hors du champ de ce programme

Ce programme de divulgation des vulnérabilités se concentre sur les vulnérabilités liées aux produits Sonova, à leur infrastructure sous-jacente et aux services connexes. Ainsi, les vulnérabilités sur notre site web ou sur l’infrastructure publique ne font actuellement pas partie du cadre de ce programme.

Pour permettre une allocation efficace des ressources et se concentrer sur l’atténuation des vulnérabilités à impact significatif, nous définissons les catégories suivantes comme hors du cadre de ce programme de divulgation des vulnérabilités. Signaler ces éléments peut ne pas entraîner de reconnaissance ou d’actions correctives :

  • Soumissions résultant d’outils de numérisation automatisés ou d’analyses automatisées.
  • Observations concernant les faibles algorithmes cryptographiques SSL/TLS et les vulnérabilités dans les configurations TLS, à moins qu’un risque réel et exploitable spécifique à notre environnement puisse être démontré.
  • Absence de mesures de sécurité recommandées, implémentation de bibliothèques connues pour leurs vulnérabilités, ou messages d’erreur détaillés, sauf si ceux-ci incluent des voies claires et démontrables pour l’exploitation.

Déclaration légale / Safe Harbour

Chez Sonova, nous valorisons les contributions des chercheurs en sécurité et reconnaissons l’importance de leurs efforts pour améliorer la sécurité de nos produits.

Si vous respectez les lignes directrices de notre politique de divulgation des vulnérabilités, vos actions seront considérées comme autorisées et nous n’engagerons aucune action en justice contre vous. Bien que nous soutenions la recherche responsable en sécurité, veuillez noter que le respect de cette politique ne vous exempte pas de respecter les lois locales applicables. Si une action en justice est intentée par un tiers en lien avec vos activités en vertu de cette politique, veuillez noter que, bien que nous cherchions à clarifier la nature de votre conformité à notre politique, nous ne pouvons pas exercer de représentation légale ni d’intervention directe en votre nom.

Contactez-nous

Pour toute question ou soumission concernant des vulnérabilités de sécurité, veuillez contacter notre service à la clientèle https://www.ca.sennheiser-hearing.com/pages/contact/.