PSIRT

Des notifications de vulnérabilités de sécurité potentielles sont expressément bienvenues de tous. Ceci comprend nos clients directs, et également des experts de sécurité, des scientifiques CERTs - Computer Emergency Response Teams (équipes d'intervention en cas d'incident informatique), des autorités, des associations industrielles, des fournisseurs, des concepteurs et utilisateurs des installations.

Une notification à AUMA PSIRT se fait par l'adresse courriel prévue à cet effet : PSIRT@auma.com.

Certains de nos produits sont utilisés dans des infrastructures critiques. Alors, nous vous demandons d'accorder la divulgation de vulnérabilités de sécurité avec notre équipe. Ainsi, un danger de la situation de sécurité dans des installations doit être évité jusqu'à la prise d'actions pour remédier à ou atténuer la situation a été définie et mise à disposition par notre équipe de développement.

Pour coopérer avec notre équipe sur la divulgation de vulnérabilités de sécurité, ni un accord de non-divulgation (NDA) ni un autre contrat est requis. Concernant les vulnérabilités de sécurité potentielles, notre objectif pour les produits et services AUMA est la collaboration avec les notificateurs respectifs en toute confiance et de manière professionnelle.

Veuillez nous fournir les informations suivantes dans votre courriel pour accélérer le traitement: 

• Nom du notificateur : Nous respectons vos intérêts si vous souhaitez l'anonymat
• Détails de contact : Courriel, numéro de téléphone pour vous contacter en cas de questions ou retours d'informations
• Appartenance : Nom de votre organisation (p.ex. nom de société)
• Type de vulnérabilité de sécurité Description du type de vulnérabilité de sécurité (p.ex. XSS, dépassement de la mémoire tampon, données d'accès codées en dur)
• Déclencheur de la vulnérabilité de sécurité : Description comme la vulnérabilité de sécurité peut être déclenchée (outils, processus, procédures, preuves)
• Produit affecté : Dans quel produit ou service AUMA est-ce que la vulnérabilité de sécurité a été détectée ? Veillez joindre toutes les informations disponibles comme désignation du produit avec numéro de commande et de série, version du firmware ou du logiciel, système d'exploitation des composants affectés si disponible, indication du site pour les services (p.ex. URL).
• Impact de la vulnérabilité de sécurité : Veuillez décrire, comment l'agresseur pourrait utiliser la vulnérabilité de sécurité et quels seront les effets.
• Evaluation CVSS ; Evaluation de la vulnérabilité de sécurité selon le système commun de notation des vulnérabilités (Common vulnerability Scoring System CVSS) – si connue.
• Confidentialité de vulnérabilités de sécurité : Est-ce que la vulnérabilité de sécurité a déjà été divulguée ou existent-ils des plans pour la divulgation?

Veuillez nous transmettre votre notification soit en langue allemande ou anglaise.

Etant donné que des vulnérabilités de sécurité sont critiques, nous vous demandons de nous transmettre les informations par chiffrement. A cet effet, utiliser la clé PGP pour le chiffrement de vos informations à PSIRT@auma.com.

Clés publiques AUMA PSIRT

Télécharger notre clé PGP ici :

Empreinte digitale : 64F97ED5674E7BF923018ED87788765AF3FF7089

Analyse et solution

Après réception de la notification, une procédure de traitement standardisée est introduite. AUMA PSIRT accusera réception de la notification de vulnérabilité de sécurité, évaluera et analysera les références reçues et coordonnera les examens et recherches de solutions. Ceci sera effectué en étroite collaboration avec le notificateur de la vulnérabilité de sécurité.

Divulgation

La divulgation des références de sécurité pour les produits et services AUMA se fait par une plateforme IT publiquement accessible CERT@VDE, qui a été créée spécifiquement pour la coordination de vulnérabilités de sécurité des entreprises dans le secteur de l'automatisation industrielle.

Directives de sécurité