Reporting coordonné de divulgation des vulnérabilités (v1.0)

PTC soutient la recherche en faveur de la sécurité

La sécurité est d'une importance vitale pour PTC et ses écosystèmes. Face à la convergence accrue des mondes physique et numérique, nous avons tous notre part de responsabilité pour développer et maintenir des systèmes offrant davantage de sécurité, de défense et de résilience. PTC s'engage à prendre ses responsabilités via des programmes et des initiatives de sécurité aussi solides que complets. PTC souhaite aller plus loin encore et s'associer à des partenaires volontaires et de bonne foi. Dès lors, nous accueillons toutes les contributions des chercheurs en sécurité. Pour assurer un processus souple et fluide, nous avons créé notre programme coordonné de divulgation des vulnérabilités.

Cadre initial

Dans le cadre initial, ce programme pilote portera sur les produits de la marque ThingWorx afin de concentrer toute l'attention sur les points où les vulnérabilités pourraient toucher des environnements industriels sensibles. Nous avons l'intention d'élargir ensuite ce cadre de manière à inclure d'autres produits lorsque le programme gagnera en maturité.

Action juridique

PTC n'intentera aucune action juridique à l'encontre des personnes qui agissent en toute bonne foi, conformément aux instructions de coordination et aux directives décrites dans ce règlement, ainsi qu'aux lois applicables.

Communication avec PTC

Pour une divulgation correcte dans les deux sens, veuillez suivre les instructions ci-dessous :

  • Envoyez votre rapport en anglais à cvd@ptc.com
  • Utilisez notre clé publique PGPdisponible sur cette page Web ou une autre méthode de cryptage de message.
  • Les captures d'écran ou tout autre document ou contenu que vous nous faites parvenir ne doivent comporter aucune information sensible (autre que les données relatives à la vulnérabilité).

Un agent PTC accuse réception de votre message dans un délai de sept (7) jours calendaires.

Ce que nous attendons de vous

Nous souhaitons collaborer avec des chercheurs en sécurité qui respectent les règles suivantes :

  • Éviter tout test (ou toute opération de piratage informatique) dans des environnements de production (réaliser les tests de vulnérabilité dans des environnements de test ou en cours de développement)
  • Respecter toutes les lois et réglementations applicables
  • Ne pas accéder aux données (ni les modifier) dans un compte ou un système pour lequel vous ne disposez pas de contrôle légal
  • Ne pas profiter de la vulnérabilité ou du problème découvert ; ne pas prendre de mesure disproportionnée ou non autorisée
  • Collaborer avec PTC pour déterminer les dates de divulgation des informations sur les failles découvertes afin de diminuer les risques en termes de sécurité (sécurité publique y compris) et de confidentialité
    • Informer PTC de tout plan de divulgation avant de rendre les informations publiques
    • Impliquer DHS-ICS-CERT, CERT/CC, les autorités de réglementation pertinentes ou tout autre organisme gouvernemental approprié, par mesure de prudence
    • Fournir à PTC les détails des communications relatives aux vulnérabilités (et aux failles de sécurité connues CVE) avec les responsables de la coordination
  • Préférence : Les rapports bien rédigés en anglais ont une probabilité plus élevée de bénéficier d'une résolution rapide
  • Préférence : Les rapports qui contiennent du code permettant une démonstration de faisabilité offrent de meilleures possibilités de tri

Ce que vous pouvez attendre de PTC

Dès la réception du rapport, PTC va :

  • Accuser réception dans un délai de sept (7) jours calendaires.
  • Réaliser une première évaluation des résultats potentiels afin d'en déterminer l'exactitude, et d'estimer la nécessité d'une transmission à la hiérarchie et pour quel groupe de produits. Au cours de cette phase, vous pouvez :
    • recevoir des demandes d'informations supplémentaires, ou
    • recevoir une notification vous informant que la vulnérabilité n'est pas acceptée dans le programme car elle ne répond pas aux critères de ce dernier ou ne comporte pas assez de détails. (Vous pouvez réagir aux notifications de refus en contactant cvd@ptc.com)
  • Développer une résolution et prendre la mesure appropriée en fonction de la criticité de la vulnérabilité.
  • Donner au chercheur la reconnaissance publique (si souhaitée), si le rapport aboutit à la publication d'un correctif ou d'une communication.

Si nécessaire, ou si nous ne pouvons pas résoudre de problèmes de communication ou d'autre nature, PTC peut demander l'intervention d'une tierce partie neutre (notamment CERT/CC, DHS-ICS-CERT ou le régulateur approprié) afin de déterminer la meilleure manière de gérer la vulnérabilité.

Remarque : Toute information partagée avec PTC peut être utilisée par PTC de la façon qui lui semble appropriée. La soumission d'informations ne crée aucun droit pour l'émetteur ni aucune obligation pour PTC.