Products & Services

Politique relative aux vulnérabilités de sécurité

Politique relative aux vulnérabilités de sécurité

Si vous êtes confronté(e) à une vulnérabilité de sécurité nécessitant une intervention d’urgence, consultez la section Signaler une vulnérabilité de sécurité présumée ou obtenir une assistance du présent document.

Table des matières

Réponse aux incidents liés à la sécurité des produits Cisco

La réponse aux incidents liés à la sécurité des produits Cisco est la responsabilité de l’équipe PSIRT (Product Security Incident Response Team, équipe de réponse aux incidents liés à la sécurité des produits) de Cisco. L’équipe PSIRT de Cisco est une équipe mondiale dédiée, responsable de la réception, de l’étude et de la divulgation au public des renseignements sur les vulnérabilités de sécurité affectant les produits et réseaux Cisco. L’assistance téléphonique de l’équipe PSIRT de Cisco travaille 24 heures sur 24 avec les clients de Cisco, des chercheurs en sécurité indépendants, des conseillers, des entreprises du secteur et d’autres fournisseurs afin de détecter les problèmes de sécurité potentielles des produits et réseaux Cisco.

Haut de la page

Signaler une vulnérabilité de sécurité présumée ou obtenir une assistance

Nous encourageons vivement les particuliers et les entreprises confrontés à un problème de sécurité sur un produit à le signaler à l’équipe PSIRT de Cisco. Tous les signalements sont les bienvenus, qu’ils proviennent de chercheurs indépendants, d’entreprises du secteur, de fournisseurs, de clients ou de toute autre source concernée par la sécurité des produits et des réseaux. Le signalement d’un problème de sécurité nécessite au moins une description de la vulnérabilité potentielle.
Pour communiquer avec l’équipe PSIRT de Cisco, utilisez l’une des méthodes suivantes :

Assistance d'urgence

Téléphone

+1 877 228‑7302 (numéro gratuit en Amérique du Nord)
+1 408 525‑6532 (ligne directe internationale)

Intervention

24 heures sur 24, 7 jours sur 7


Assistance standard

Email

psirt@cisco.com

Intervention

Les demandes d’assistance reçues par courriel sont généralement traitées sous 48 heures. La situation courante des problèmes signalés sera déterminée le cas échéant.


Cisco encourage le cryptage des renseignements confidentiels qui lui sont envoyés par courriel. L’équipe PSIRT de Cisco prend en charge les messages cryptés par l’entremise de PGP/GNU Privacy Guard (GPG). La clé publique leavingcisco.com (ID de clé 0xA2D4CC77) de l’équipe PSIRT de Cisco est fournie sur de nombreux serveurs de clés publiques.

Haut de la page

Questions d’ordre général sur la sécurité

Pour les questions générales relatives à la sécurité des produits Cisco, le centre d’assistance technique (TAC) de Cisco peut vous aider à effectuer les configurations et offrir une assistance technique afin de résoudre les problèmes liés à la sécurité. En outre, le TAC peut vous aider à résoudre les incidents de sécurité non sensibles et à effectuer les mises à niveau logicielles en vue d’obtenir des corrections de bogues de sécurité. Pour communiquer avec le centre Cisco TAC, utilisez les coordonnées ci-après.

Centre d'assistance technique

Téléphone

+1 800 553‑2447 (numéro gratuit en l’Amérique du Nord)
+1 408 526‑7209 (ligne directe internationale)
Autres numéros du TAC : coordonnées du service à la clientèle

Courriel

tac@cisco.com

Heures

24 heures sur 24, 7 jours sur 7

Haut de la page


Recevoir des renseignements sur les vulnérabilités de sécurité de la part de Cisco

Cisco vous tient informé(e) de différentes façons des dernières vulnérabilités de sécurité identifiées. Consultez le tableau suivant et les résumés qui suivent pour déterminer l’option appropriée.

URL directes

Cisco.com

http://www.cisco.com/security/

Courriel

cust-security-announce@cisco.com

RSS

http://tools.cisco.com/security/center/rss.x?i=44

Service de notification Cisco

http://www.cisco.com/cisco/support/notifications.html


Haut de la page

Cisco.com

Le portail de sécurité Cisco sur Cisco.com fournit des documents sur les vulnérabilités de sécurité de Cisco et des renseignements sur les fonctions de sécurité de Cisco, y compris les produits et services de sécurité adéquats.
Les liens directs vers les fonctions de sécurité particulières sont fournis à la section Types de publications sur la sécurité du présent document.

Haut de la page

Courriel

Les avis de sécurité Cisco sont signés avec la clé PGP du PSIRT leavingcisco.com et diffusés aux adresses de courriel et aux récipiendaires d’actualités de Usenet suivants :

Seuls les avis de sécurité Cisco initiaux et ceux ayant fait l’objet d’une révision majeure sont envoyés par courriel. En cas de révision mineure d’un document, la mise à jour est publiée sur Cisco.com sans courriel d’accompagnement. Les clients souhaitant être prévenus par alerte automatique des révisions mineures doivent s’abonner au flux RSS des avis de sécurité Cisco ou au service de notification Cisco. Tous les avis de sécurité sur Cisco.com sont affichés par ordre chronologique, les avis les plus récents et les dernières mises à jour figurant en début de page.

Les réponses aux problèmes de sécurité Cisco sont publiées sur Cisco.com et envoyées uniquement à l’alias de courriel cust-security-announce@cisco.com.
Il s’agit d’une liste d’envoi externe qui permet aux abonnés de recevoir les annonces relatives à la sécurité Cisco.
Pour s’abonner à cette liste d’envoi, envoyez un courriel à l’adresse cust-security-announce-join@cisco.com. (Le contenu du message importe peu.) Vous recevrez une confirmation, ainsi que des instructions et une liste des conditions générales.
Remarque : Les demandes doivent être envoyées à cust-security-announce-join@cisco.com et non à la liste cust-security-announce@cisco.com elle-même.
Vous devez envoyer les messages à partir du compte sur lequel le demandeur souhaite recevoir les messages de la liste. Nous n’acceptons pas les demandes d’abonnement effectuées à partir d’un compte pour un autre compte.
Vous pouvez également soumettre une demande d’accès à la liste d’envoi en envoyant un courriel à psirt@cisco.com.

Haut de la page

Flux RSS

Les renseignements sur les vulnérabilités de sécurité fournis par Cisco sont également accessibles par l’entremise des flux RSS figurant sur le site Cisco.com. Ces flux sont gratuits et il n’est pas nécessaire d’être inscrit sur Cisco.com pour y accéder. Pour savoir comment vous abonner aux flux RSS, consultez la page Flux RSS du portail de sécurité Cisco.

Haut de la page

Service de notification Cisco

Le Service de notification Cisco permet aux utilisateurs de s’abonner pour recevoir des renseignements importants sur les produits et technologies Cisco. Ce service offre une expérience d’abonnement unifiée optimisée qui permet aux utilisateurs de choisir les horaires de notification, ainsi que la méthode d’envoi des notifications (courriel ou flux RSS). Le niveau d’accès est déterminé en fonction de la relation entre Cisco et l’abonné.

Haut de la page

Procédure de création d’une notification

1 : Connectez-vous au site Web du Service de notification de Cisco sur Cisco.com en utilisant votre identifiant et votre mot de passe Cisco.com.

2 : Cliquez sur le bouton Add Notification (Ajouter une notification) et suivez les instructions.

Haut de la page


Contacts presse ou relations publiques pour toutes les questions concernant les renseignements sur les vulnérabilités de sécurité Cisco

Le tableau suivant montre les coordonnées du service de presse de Cisco pour les renseignements sur les vulnérabilités de sécurité Cisco.

Contacts presse

Nigel Glennie

Courriel : nglennie@cisco.com
Téléphone : +1 408 527‑7541

Relations publiques supplémentaires

news@cisco.com

Haut de la page


Engagement de Cisco envers la sécurité et l’intégrité des produits

Cisco adopte des pratiques de développement de produits qui interdisent expressément les comportements intentionnels ou les fonctionnalités de produits visant à permettre un accès non autorisé aux appareils ou aux réseaux, la divulgation de renseignements confidentiels sur un appareil ou le contournement des restrictions ou fonctionnalités de sécurité. Citons, entre autres :

  • les méthodes d’accès cachées des périphériques ou les « portes dérobées »,
  • les identifiants de compte codés en dur ou non documentés,
  • les canaux cachés de communication,
  • un détournement du trafic non documenté.

Cisco considère que de telles pratiques sur les produits représentent des vulnérabilités graves. Cisco accorde une grande importance à tout problème de cet ordre et encourage toutes les parties à signaler toute vulnérabilité présumée à l’équipe PSIRT de Cisco pour une étude immédiate. Les rapports internes et externes de ces vulnérabilités seront gérés et divulgués conformément aux modalités de la Politique de vulnérabilité de sécurité de Cisco


Pratiques de développement sécurisé de Cisco

Cisco a conçu et mis en œuvre le Cycle de développement sécurisé Cisco (Cisco Secure Development Lifecycle, CSDL) qui est un programme de sécurité complet combinant :

  • les meilleurs pratiques, processus et outils de développement sécurisé de logiciels sur le marché,
  • des programmes de formation étendue pour les entreprises du secteur de développement et de test de produit,
  • des exigences rigoureuses en matière de sécurité des produits.

Pour en savoir davantage, visitez le site Web CSDL de Cisco


Processus de réponse aux incidents liés à la sécurité des produits Cisco

Le schéma suivant illustre en détail le processus de l’équipe PSIRT de Cisco et fournit un aperçu du cycle de vie, de la divulgation et de la résolution de la vulnérabilité.
Figure 1. Processus de réponse aux incidents liés à la sécurité des produits Cisco

psirt_01

Voici les étapes du processus illustré dans la figure 1 :

  1. Reconnaissance : l’équipe PSIRT est prévenue de l’incident de sécurité.
  2. Gestion active : l’équipe PSIRT définit des priorités et identifie des ressources.
  3. Détermination d’une solution : l’équipe PSIRT coordonne l’évaluation des correctifs et des incidences.
  4. Plan de communication : l’équipe PSIRT définit un calendrier et le format des notifications.
  5. Intégration et mesure d’atténuation : l’équipe PSIRT fait appel à des experts et aux dirigeants.
  6. Notification : l’équipe PSIRT avise simultanément tous les clients.
  7. Commentaires : l’équipe PSIRT intègre les commentaires des clients et des ressources internes de Cisco.

L’équipe PSIRT de Cisco étudie tous les rapports sans tenir compte de la version de code du logiciel Cisco concerné ou de son cycle de vie. Les problèmes sont hiérarchisés selon la gravité potentielle de la vulnérabilité et d’autres facteurs environnementaux. Au final, la résolution de l’incident signalé pourrait nécessiter des mises à niveau vers des produits bénéficiant d’une assistance active de la part de Cisco.

Si aucun accord ne peut être établi par voie normale, la personne signalant l’incident a la possibilité de faire remonter ce dernier au directeur de l’équipe PSIRT mondiale de Cisco en communiquant avec le centre d’assistance technique de Cisco.
Pendant une étude, l’équipe PSIRT de Cisco gère tous les renseignements sensibles avec un maximum de confidentialité. La diffusion en interne est limitée aux personnes ayant un besoin légitime d’être informées et capables d’aider de manière active à la résolution. De même, l’équipe PSIRT de Cisco demande aux personnes signalant les incidents d’appliquer des règles de confidentialité strictes tant que des résolutions complètes n’ont pas été mises à la disposition des clients et qu’elles n’ont pas fait l’objet d’une publication par l’équipe PSIRT sur le site Web de Cisco par l’entremise de la méthode de divulgation coordonnée adéquate.
Avec l’accord de la personne signalant l’incident, l’équipe PSIRT de Cisco peut citer cette dernière pour sa contribution lors de la divulgation au public de la vulnérabilité.
En cas de signalement à Cisco d’une vulnérabilité pouvant influer sur plusieurs fournisseurs (par exemple, un problème relatif à un protocole communément utilisé), il est dans les pratiques de l’équipe PSIRT de Cisco d’élaborer, avec un centre de coordination tiers comme le CERT/CC, le CERT-FI, le JP-CERT ou le CPNI, un plan de divulgation coordonnée au secteur. Dans ce cas, l’équipe PSIRT de Cisco peut soit aider la personne signalant l’incident à communiquer avec le centre de coordination, soit communiquer avec ce dernier en son nom.
Lorsqu’une vulnérabilité concernant un produit de fournisseur tiers est signalée à l’équipe PSIRT de Cisco, celle-ci en informe directement ledit fournisseur et peut soit se charger de la coordination avec la personne signalant l’incident, soit faire appel à un centre de coordination tiers.
L’équipe PSIRT de Cisco assure la coordination avec la personne signalant l’incident pour déterminer la fréquence des mises à jour de l’état de l’incident et de la documentation.
Si Cisco prend connaissance d’une vulnérabilité qui ne concerne pas un produit Cisco, mais un produit de fournisseur tiers, notre politique de signalement des vulnérabilités aux fournisseurs s’appliquera.


Évaluation des risques de sécurité avec Common Vulnerability Scoring System et évaluation de l’incidence sur la sécurité

Cisco utilise la version 2.0 de CVSS (Common Vulnerability Scoring System) dans le cadre de son processus standard d’évaluation des vulnérabilités potentielles signalées sur les produits Cisco. Le modèle CVSS utilise trois mesures (ou résultats) différentes : la mesure de base, la mesure temporelle et la mesure environnementale. Cisco évalue la vulnérabilité par rapport aux mesures de base et fournit, dans certains cas, un résultat de vulnérabilité temporel. Cisco encourage les utilisateurs finaux à calculer la part environnementale en fonction des paramètres de leur réseau. La combinaison des trois composantes constitue le résultat final qui représente une évaluation de la vulnérabilité à un moment précis dans un environnement spécifique. Nous recommandons aux entreprises de partir de ce résultat pour définir la priorité des réponses à apporter dans l’environnement qui leur est propre. De plus, Cisco utilise le système d’évaluation de l’incidence sur la sécurité (Security Impact Rating, SIR) pour faciliter la classification de la gravité des vulnérabilités. Le système SIR se réfère au résultat de base du CVSS, lequel est ajusté par l’équipe PSIRT afin de prendre en compte les variables propres à Cisco. Ce résultat sera intégré dans chaque avis de sécurité Cisco. Cisco utilise les références suivantes dans la détermination de la publication de sécurité spécifique à une vulnérabilité particulière :

SIR

Résultat CVSS

Publication PSIRT

Critique

9,0 à 10,0

Avis de sécurité Cisco

Élevé

7,0 à 8,9

Moyen

4,0 à 6,9

Faible

3,9 ou moins

Avis de bogues joint aux mises à jour (RNE)

Cisco se réserve le droit de ne pas respecter ces références dans le cas exceptionnel où la note CVSS n’aurait pas pris en compte des facteurs supplémentaires.
Si un problème de sécurité se présente dans le composant d’un logiciel tiers qui est utilisé dans un produit Cisco, Cisco utilise généralement le résultat CVSS fourni par le concepteur du composant. Dans certains cas, Cisco peut ajuster le résultat CVSS afin de refléter ses incidences sur les produits Cisco.
Pour en savoir davantage sur CVSS, visitez le site Web FIRST.org leavingcisco.com.

Vulnérabilités de logiciels tiers

Si une vulnérabilité se présente dans le composant d’un logiciel tiers qui est utilisé dans un produit Cisco, Cisco utilise généralement le résultat CVSS fourni par le concepteur du composant. Cisco peut ajuster le résultat CVSS afin de refléter ses incidences sur les produits Cisco.
Cisco jugera qu’une vulnérabilité d’un fournisseur tiers est à haute visibilité lorsqu’elle correspond aux critères suivants :

  • Cette vulnérabilité est présente dans un composant d’un fournisseur tiers.
  • Plusieurs produits Cisco sont visés.
  • Le résultat CVSS est supérieur ou égal à 5,0.
  • La vulnérabilité a suscité une grande attention du public. Il est probable que des programmes exploits soient offerts et soient très utilisés à l’avenir.

Pour les vulnérabilités à haute visibilité des fournisseurs tiers, Cisco commencera à évaluer tous les produits potentiellement concernés qui n’ont pas atteint la date de fin d’assistance (la priorité étant accordée aux produits qui n’ont pas encore atteint la date de fin de maintenance logicielle) et publiera un avis de sécurité dans les 24 heures de la première divulgation par le fournisseur tiers. Tous les produits Cisco que l’on sait visés seront décrits en détail dans une mise à jour du premier avis de sécurité, qui sera publiée dans les 7 jours de la première divulgation de Cisco. Un avis de bogue sera créé par Cisco pour chaque produit vulnérable afin que les clients enregistrés puissent les voir sur la boîte à outils de recherche de bogues de Cisco. Les vulnérabilités de fournisseurs tiers qui ne sont pas classifiées comme à haute visibilité seront publiées dans un avis joint aux notes de version (RNE).

Haut de la page

Types de publications sur la sécurité

Dans toutes ses publications sur la sécurité, Cisco s’attache à divulguer la quantité minimale de renseignements nécessaires à un utilisateur final pour évaluer l’incidence d’une vulnérabilité, ainsi que les étapes potentiellement nécessaires à la protection de son environnement. Cisco veille à ne fournir aucun détail susceptible de permettre à un individu d’exploiter une vulnérabilité.
Cisco fournit les types de publications suivants relatifs à la sécurité sur le portail de sécurité Cisco de Cisco.com.

  • Avis de sécurité Cisco
    Les avis de sécurité Cisco fournissent des renseignements détaillés sur les problèmes de sécurité qui touchent directement les produits Cisco et requièrent une mise à niveau, l’application de correctifs ou d’autres actions de la part du client. Les avis de sécurité sont publiés pour divulguer les vulnérabilités considérées comme ayant une incidence critique, élevée ou moyenne sur la sécurité.

    Les avis de sécurité Cisco offrent la possibilité de télécharger du contenu CVRF (cadre des rapports sur la vulnérabilité commune). Par ailleurs, les avis de sécurité Cisco pour le logiciel Cisco IOS incluent une option permettant de télécharger les définitions OVAL (Langue d’évaluation des vulnérabilités ouvertes). CVRF et OVAL sont des normes industrielles visant à présenter les renseignements sur les vulnérabilités dans un format lisible par la machine (fichiers XML). Ce contenu lisible par la machine peut être utilisé avec d’autres outils pour automatiser le processus d’interprétation des données contenues dans un avis de sécurité. Il est possible de télécharger les contenus CVRF et OVAL directement à partir de chaque avis de sécurité. Pour en savoir davantage sur les formats CVRF et OVAL, cliquez sur les liens mentionnés précédemment.
  • Réponses aux problèmes de sécurité Cisco
    Les réponses aux problèmes de sécurité Cisco couvrent les problèmes abordés dans un forum public (p. ex., un blogue ou une liste de discussions) et qui nécessitent une réponse. Les réponses sont normalement publiées si une tierce partie déclare publiquement qu’un produit Cisco est vulnérable.
  • Réponses aux événements Cisco
    Les réponses aux événements Cisco fournissent des renseignements sur les événements de sécurité qui peuvent avoir une incidence importante sur les réseaux, applications et appareils des clients. Les réponses aux événements Cisco contiennent un résumé de l’événement, une analyse de la menace et des techniques d’atténuation qui font appel à des produits Cisco. Elles font normalement l’objet d’une publication dans les cas suivants :
    • Existence d’une vulnérabilité importante dans un produit tiers susceptible d’avoir des répercussions sur un produit Cisco du fait de l’interaction avec le produit tiers ou de l’utilisation du réseau comme vecteur d’exploitation
    • En réponse aux publications groupées sur le logiciel Cisco IOS
  • Alertes relatives aux menaces d’attaques
    Les alertes relatives aux menaces d’attaques Cisco couvrent les données les plus récentes concernant les menaces malveillantes par courriel ou web comme les pourriels, les attaques par hameçonnage, les virus, les programmes malveillants et les réseaux de zombies. Ces alertes ne concernent pas les produits Cisco, mais sont fournies pour protéger les clients de Cisco et les autres utilisateurs.
  • Avis joints aux notes de version
    Les avis joints aux notes de version sont utilisés pour faire état des problèmes présentant une faible incidence en matière de sécurité. Les clients enregistrés peuvent voir tous les ID de bogue divulgués par Cisco dans l’outil de recherche de bogue de Cisco.

Si un avis de sécurité Cisco fait référence à un bogue, l’entrée du bogue dans l’outil de recherche de bogue de Cisco fournit un lien vers l’avis de sécurité Cisco correspondant.

Pour tout bogue Cisco ayant fait l’objet d’une évaluation par l’équipe PSIRT, une section « PSIRT Evaluation » (Évaluation par l’équipe PSIRT) est incluse dans l’avis joint aux notes de version. Si Cisco le juge approprié et utile, cette nouvelle section comportera des résultats CVSS de base et temporels ainsi qu’un ID CVE. Les clients sont invités à utiliser ces renseignements supplémentaires à leur seule discrétion et à mettre en correspondance les bogues Cisco et les événements du secteur. Ces renseignements ne sont pas destinés à compléter les garanties Cisco standard applicables aux logiciels, comme stipulé dans le Contrat de licence de l’utilisateur final de Cisco.

Les clients ne bénéficieront pas de mises à jour gratuites de logiciels pour les problèmes signalés dans un avis joint aux notes de version. Les clients qui souhaitent effectuer une mise à niveau vers une version de logiciel comportant des correctifs pour résoudre les problèmes concernés doivent communiquer avec leurs partenaires d’assistance habituels. Cisco déterminera, à sa seule discrétion, toutes les exceptions relatives à la présente politique.
Le tableau suivant présente un récapitulatif des méthodes utilisées pour informer les clients des publications sur la sécurité mentionnées ci-dessus. Les exceptions peuvent être définies au cas par cas afin d’améliorer la communication pour un document donné.

Courriel

Portail de sécurité

RSS

CNS

Outil de recherche de bogue

Avis de sécurité Cisco

Oui

Oui

Oui

Oui*

Oui

Réponses aux problèmes de sécurité Cisco

Oui

Oui

Oui

Non

Oui

Réponses aux événements Cisco

Non

Oui

Oui

Non

Non

Alertes relatives aux menaces d’attaques

Non

Oui

Oui

Non

Non

Avis joints aux notes de version

Non

Non

Non

Non

Oui

* Pour les vulnérabilités présentant une incidence critique ou élevée en matière de sécurité

Haut de la page


Plan de communication

Pour que Cisco décide de divulguer des renseignements relatifs à une vulnérabilité, au moins une des conditions suivantes doit être satisfaite :

  • L’équipe PSIRT de Cisco a effectué toutes les étapes du processus de réponse aux incidents et a constaté que le nombre de correctifs logiciels ou de solutions est suffisant pour répondre à la vulnérabilité, ou une divulgation ultérieure au public est prévue pour répondre à des vulnérabilités très critiques.
  • L’équipe PSIRT de Cisco a constaté qu’une vulnérabilité était activement exploitée et pouvait par conséquent entraîner un risque accru pour les clients de Cisco. Dans ce cas, Cisco accélère la publication d’une annonce de sécurité décrivant la vulnérabilité, accompagnée ou non d’un ensemble complet de correctifs ou de solutions de contournement.
  • Il existe une augmentation du nombre de signalements d’une vulnérabilité touchant des produits Cisco et donc, un risque accru pour les clients de Cisco. Dans ce cas, Cisco accélère la publication d’une annonce de sécurité décrivant la vulnérabilité, accompagnée ou non d’un ensemble complet de correctifs ou de solutions de contournement.

Toutes les publications Cisco relatives à la sécurité sont divulguées en même temps aux clients et au public. Cisco se réserve le droit de dévier de sa stratégie de façon exceptionnelle afin de garantir l’accès aux correctifs logiciels à partir de Cisco.com.

Lors de la coordination de la divulgation avec des tierces parties, l’équipe PSIRT de Cisco s’efforce de notifier toute modification du calendrier de divulgation.
Comme décrit dans la section Recevoir des renseignements sur les vulnérabilités de sécurité de la part de Cisco du présent document, Cisco fournit des renseignements techniques de sécurité sur les correctifs logiciels des produits Cisco et transmet les mises à jour de ses produits au moyen de plusieurs canaux.

Haut de la page

Calendrier de divulgation

Logiciel Cisco IOS

En réponse directe aux commentaires des clients, Cisco publie ses avis de sécurité relatifs au logiciel Cisco IOS à 16 h (GMT), le quatrième mercredi des mois de mars et de septembre de chaque année. Ce calendrier s’applique pour la divulgation des vulnérabilités liées au logiciel Cisco IOS, mais pas pour celle des vulnérabilités détectées sur d’autres produits Cisco.

Haut de la page

Tous les autres produit

En général, Cisco publie les avis de sécurité Cisco à 16 h (GMT) un mercredi donné.

Haut de la page

Exceptions

Cisco se réserve le droit de publier un avis de sécurité exceptionnel à propos du logiciel Cisco IOS ou d’un autre produit, en dehors du calendrier publié. Une publication en dehors du calendrier peut être motivée, sans s'y limiter, par les conditions suivantes :

  • Cisco constate que le public est de plus en plus conscient de l’existence d’une vulnérabilité grave.
  • Cisco s’aperçoit qu’une vulnérabilité est activement exploitée.
  • Cisco collabore avec un centre de coordination tiers pour divulguer une vulnérabilité au public

Haut de la page

Admissibilité au service de réponse aux incidents

Les clients ayant souscrit un contrat de service bénéficient d’une assistance de réponse aux incidents impliquant un produit Cisco, qu’un problème ait été identifié sur un produit Cisco ou non.

Tous les clients, qu’ils aient souscrit ou non à un contrat, bénéficient d’une assistance gratuite de réponse aux incidents semblable à celle assurée pour les clients sous contrat, pour tout incident impliquant une vulnérabilité suspectée ou connue dans un produit Cisco.

Cisco se réserve le droit de déterminer le type et le degré d’assistance qu’elle peut proposer selon l’incident, et de se retirer de tout incident à tout moment. Cisco peut proposer aux clients des services gratuits de réponse aux incidents. Cisco peut prêter une attention spéciale aux incidents de sécurité qui constituent des menaces réelles ou possibles pour les personnes, les biens ou Internet, ou ayant fait l’objet de demandes par les organismes d’application de la loi ou les équipes officielles de réponse aux incidents.

Haut de la page

Mises à jour de logiciels de sécurité

L’équipe PSIRT étudiera et divulguera les vulnérabilités sur les produits et services Cisco à partir du jour de la première expédition commerciale (FCS) jusqu’au dernier jour d’assistance. Les clients de Cisco disposant d’un contrat de service leur donnant droit à des mises à jour régulières de logiciels doivent se procurer les correctifs de sécurité par l’entremise de leurs canaux habituels de mise à jour, généralement à partir du site Web de Cisco. Cisco recommande de communiquer avec le centre d’assistance technique (TAC) uniquement pour des questions ou des problèmes spécifiques et urgents.

En tant que service à la clientèle spécial et pour améliorer la sécurité globale d’Internet, Cisco peut proposer aux clients des mises à jour gratuites de logiciels afin de résoudre des problèmes majeurs de sécurité. La décision de fournir des mises à jour de logiciels dépend de chaque cas. Consultez la publication sur la sécurité de Cisco pour de plus amples renseignements. Les mises à jour gratuites de logiciels seront généralement limitées aux Avis de sécurité Cisco.

Si Cisco a proposé une mise à jour gratuite de logiciel pour résoudre un problème spécifique, les clients n’ayant pas souscrit de contrat de service, mais remplissant les conditions pour bénéficier de cette mise à jour, peuvent l’obtenir en communiquant avec le centre d’assistance technique (TAC) de Cisco par l’un des moyens décrits dans la section Questions d’ordre général sur la sécurité de ce document. Pour vérifier leur admissibilité, les particuliers doivent se munir de l’URL correcte du document Cisco proposant cette mise à jour lorsqu’ils communiquent avec le centre d’assistance technique (TAC).

Les clients ne peuvent installer que les versions de logiciels et les ensembles de fonctionnalités pour lesquels ils ont acheté une licence. De même, ils ne peuvent prétendre à une assistance que pour ces logiciels et fonctionnalités. En installant, en téléchargeant, en accédant ou en utilisant de quelque manière que ce soit ces mises à niveau de logiciels, les clients acceptent de respecter les conditions générales de la licence d’utilisation de logiciel Cisco. Par ailleurs, les clients ne peuvent télécharger que les logiciels pour lesquels ils disposent d’une licence valide fournie directement par Cisco ou par un revendeur ou partenaire agréé de Cisco. Dans la plupart des cas, la mise à niveau d’entretien concerne un logiciel déjà acheté. Les mises à jour gratuites de logiciels de sécurité n’offrent pas aux clients le droit à une nouvelle licence d’utilisation de logiciel, à un ensemble supplémentaire de fonctionnalités de logiciels ou à des mises à niveau de révision majeure.

Après la fin de commercialisation, la disponibilité des correctifs de sécurité fournis par le service d’ingénierie est définie dans le bulletin de fin de commercialisation du produit. (Consultez la Politique de fin de vie pour de plus amples renseignements.) Le bulletin de fin de commercialisation définit une ou plusieurs des étapes suivantes.

  • L’étape Fin de maintenance du logiciel représente le dernier jour où Cisco peut publier une version de maintenance logicielle comprenant des correctifs de sécurité.
  • L’étape Fin d’assistance en ingénierie pour Cisco TAC représente le dernier jour où l’équipe d’ingénierie de Cisco peut réparer ou prendre en charge les défaillances matérielles ou logicielles avérées d’un produit.
  • L’étape Fin des correctifs de sécurité et de vulnérabilité représente le dernier jour où Cisco peut fournir une assistance pour les vulnérabilités de sécurité visant le réseau.

Remarque : Si l’étape Fin des correctifs de sécurité et de vulnérabilité n’est pas définie, les étapes Fin de maintenance du logiciel et Fin d’assistance en ingénierie pour Cisco TAC déterminent le dernier jour où l’équipe d’ingénierie de Cisco fournira les correctifs.
Tous les aspects de ce processus sont susceptibles d’être modifiés sans préavis et au cas par cas. Aucun niveau de réponse particulier n’est garanti pour un problème ou une catégorie de problèmes spécifiques.


Dernière mise à jour : 5 octobre 2015
Ce document fait partie du portail de sécurité Cisco. Les renseignements officiels figurant sur le portail de sécurité Cisco sont en anglais uniquement.


Ce document est fourni tel quel et n’implique aucune sorte de garantie, notamment les garanties de valeur marchande ou d’adéquation à une utilisation particulière. Votre utilisation des renseignements cités dans ce document ou dans les ressources connexes engage votre seule responsabilité. Cisco se réserve le droit de modifier ou de mettre à jour ce document sans préavis et à tout moment.

Haut de la page

Liens connexes