Politique relative aux vulnérabilités de sécurité
Si vous êtes confronté(e) à une vulnérabilité de sécurité nécessitant une intervention d’urgence, consultez la section Signaler une vulnérabilité de sécurité présumée ou obtenir une assistance du présent document.
Sommaire
- Objectif
- Politiques
- Réponse aux incidents liés à la sécurité des produits Cisco
- Signaler une vulnérabilité de sécurité présumée ou obtenir une assistance
- Questions d’ordre général sur la sécurité
- Recevoir des renseignements sur les vulnérabilités de sécurité de la part de Cisco
- Contacts presse ou relations publiques pour toutes les questions concernant les renseignements sur les vulnérabilités de sécurité Cisco
- Engagement de Cisco envers la sécurité et l’intégrité des produits
- Processus de gestion des incidents liés à la sécurité des produits Cisco
- Divulgation de vulnérabilités découvertes dans le cadre de la prestation des services Cisco
- Évaluation des risques de sécurité — Système commun de notation des vulnérabilités et Évaluation de l’incidence sur la sécurité
- Services hébergés en nuage de Cisco
- Vulnérabilités de logiciels tiers
- Vulnerability Exploitability eXchange
- Types de publications sur la sécurité
- Avis joints aux notes de version
- Plan de communication
- Calendrier de divulgation
- Admissibilité au service de gestion des incidents
- Mises à jour de logiciels de sécurité
- Programmes de primes de bogue de Cisco
Objectif
Cette politique a été créée pour orienter et renseigner les clients de Cisco dans l’éventualité où une vulnérabilité serait signalée pour un produit ou un service hébergé en nuage de Cisco. Elle veille à ce que les clients Cisco disposent d’une ressource uniforme et non ambiguë qui peut les aider à comprendre comment Cisco intervient lorsque surviennent des événements de cette nature.
Politiques
Cette politique indique clairement comment Cisco résout les failles de sécurité pour les produits et services hébergés en nuage de Cisco, y compris le calendrier, les actions et les responsabilités qui s’appliquent à tous les clients.
Gestion des incidents liés à la sécurité des produits Cisco
La gestion des incidents liés à la sécurité des produits Cisco est la responsabilité de l’équipe PSIRT (Product Security Incident Response Team, équipe de gestion des incidents liés à la sécurité des produits) de Cisco. L’équipe PSIRT de Cisco est une équipe mondiale dédiée, responsable de la réception, de l’étude et de la divulgation au public des renseignements sur les vulnérabilités de sécurité et les problèmes affectant les produits et services Cisco. Cisco définit une faille de sécurité comme une faiblesse dans la logique de calcul (p. ex. le code) trouvée dans les composants logiciels et matériels qui, lorsqu’elle est exploitée, a une incidence négative sur la confidentialité, l’intégrité ou la disponibilité. Cisco se réserve le droit de s’écarter de cette définition en fonction de circonstances particulières. L’équipe PSIRT de CISCO est conforme à ISO/IEC 29147:2018, qui sont des directives pour la divulgation des vulnérabilités potentielles établies par l’Organisation internationale de normalisation.
L’assistance téléphonique de l’équipe PSIRT de Cisco travaille 24 heures sur 24 pour répondre aux demandes des clients de Cisco, des chercheurs en sécurité indépendants, des conseillers, des associations du secteur et d’autres fournisseurs afin de détecter les vulnérabilités et les problèmes de sécurité potentiels des produits et réseaux Cisco.
Signaler une vulnérabilité de sécurité présumée ou obtenir une assistance
Nous encourageons vivement les particuliers et les entreprises confrontés à un problème de sécurité sur un produit à le signaler à l’équipe PSIRT de Cisco. Tous les signalements sont les bienvenus, qu’ils proviennent de chercheurs indépendants, d’entreprises du secteur, de fournisseurs, de clients ou de toute autre source concernée par la sécurité des produits et des réseaux. Le signalement d’un problème de sécurité nécessite au moins une description de la vulnérabilité potentielle.
Pour communiquer avec l’équipe PSIRT de Cisco, utilisez l’une des méthodes suivantes :
Désolé, aucun résultat correspond à votre critère(s) de recherche. Veuillez réessayer.
| Assistance d’urgence | ||
| Téléphone | +1 877 228-7302 (numéro sans frais en Amérique du Nord) +1 408 525-6532 (appel international direct) |
|
| Heures | 24 heures sur 24, 7 jours sur 7 |
Désolé, aucun résultat correspond à votre critère(s) de recherche. Veuillez réessayer.
| Assistance standard | ||
| Courriel | psirt@cisco.com | |
| Heures | Les demandes d’assistance reçues par courriel sont généralement traitées sous 48 heures. La situation courante des problèmes signalés sera déterminée le cas échéant. |
Désolé, aucun résultat correspond à votre critère(s) de recherche. Veuillez réessayer.
Cisco encourage les clients à chiffrer les renseignements confidentiels qui sont envoyés à Cisco par courriel. L’équipe PSIRT de Cisco prend en charge les messages chiffrés par l’entremise du logiciel de chiffrement Pretty Good Privacy (PGP)/GNU Privacy Guard (GPG). La clé publique de l’équipe PSIRT de Cisco est accessible à l’adresse suivante : https://cscrdr.cloudapps.cisco.com/cscrdr/security/center/files/Cisco_PSIRT_PGP_Public_Key.asc.
Remarque : Cisco prend en charge un fichier security.txt conforme à la norme RFC 9116, qui se trouve à l’adresse https://www.cisco.com/.well-known/security.txt.
Questions d’ordre général sur la sécurité
Pour les questions générales relatives à la sécurité des produits et des services hébergés en nuage de Cisco, le centre d’assistance technique Cisco (TAC) peut vous aider à effectuer les configurations et offrir une assistance technique. En outre, le TAC de Cisco peut vous aider à résoudre les incidents de sécurité non sensibles et à effectuer les mises à niveau logicielles en vue d’obtenir des corrections de bogues de sécurité. Pour communiquer avec le TAC de Cisco, utilisez l’une des méthodes suivantes :
| Assistance du TAC de Cisco | ||
| Téléphone | +1 800 553-2447 (numéro sans frais en Amérique du Nord) +1 408 526-7209 (appel international direct) Autres numéros du TAC : contacts de service à la clientèle |
|
| Courriel | tac@cisco.com | |
| Heures | 24 heures sur 24, 7 jours sur 7 |
Désolé, aucun résultat correspond à votre critère(s) de recherche. Veuillez réessayer.
Recevoir des renseignements sur les vulnérabilités de sécurité de la part de Cisco
Cisco vous tient informé(e) de différentes façons des dernières vulnérabilités de sécurité identifiées. Les clients doivent consulter le tableau suivant et les résumés qui suivent pour déterminer l’option appropriée pour eux :
| Cisco.com | https://www.cisco.com/security/ |
| Courriel | cust-security-announce@cisco.com |
| RSS | https://sec.cloudapps.cisco.com/security/center/rss.x?i=44 |
| API openVuln de l’équipe PSIRT de Cisco | https://developer.cisco.com/site/PSIRT/ |
| Mes notifications | https://www.cisco.com/c/en/us/support/web/tools/cns/notifications.html |
Désolé, aucun résultat correspond à votre critère(s) de recherche. Veuillez réessayer.
Cisco.com
Le portail de sécurité Cisco sur Cisco.com fournit des documents sur les failles de sécurité de Cisco et des renseignements sur la sécurité de Cisco, y compris les produits et services de sécurité adéquats.
Les liens directs vers les fonctions de sécurité particulières sont fournis à la section Types de publications sur la sécurité du présent document.
Adresse courriel
Les avis de sécurité Cisco fournissent des informations sur les failles de sécurité de gravité critique, élevée et moyenne. Ils sont signés en clair avec la clé publique PGP de l’équipe PSIRT de Cisco et distribués à la liste de diffusion externe cust-security-announce@cisco.com. L’équipe PSIRT de Cisco peut également envoyer des avis informatifs à la liste d’envoi cust-security-announce. Les avis d’information ne sont pas utilisés comme un mécanisme de divulgation des vulnérabilités de Cisco, mais plutôt pour partager des renseignements sur les incidents qui peuvent avoir des répercussions sur les produits Cisco et qui peuvent intéresser les clients de Cisco.
Des courriels sont envoyés pour la version initiale et les révisions importantes des avis de sécurité Cisco. Une révision majeure est définie comme une modification importante du contenu des avis qui pourrait amener le client à traiter les vulnérabilités différemment. Les exemples de modification importante de l’avis comprennent, mais sans s’y limiter, les modifications apportées à la liste des produits touchés, les modifications dans l’évaluation de l’incidence sur la sécurité (EIS; voir la section Évaluer les risques de sécurité — Système commun de la notation des vulnérabilités et la section sur l’évaluation de l’incidence sur la sécuritédu présent document), et les modifications apportées aux informations sur les mesures d’atténuation ou les correctifs. En cas de révision mineure d’un document, la mise à jour est publiée sur Cisco.com sans courriel d’accompagnement. Les clients souhaitant être prévenus par alerte automatique des révisions mineures doivent s’abonner au flux RSS des avis de sécurité Cisco ou à Mes notifications. Tous les avis de sécurité sur Cisco.com sont affichés par ordre chronologique, les avis les plus récents et les dernières mises à jour figurant en début de page.
Pour vous abonner à cette liste d’envoi, envoyez un courriel à l’adresse cust-security-announce-join@cisco.com. (Le contenu du message importe peu.) Vous recevrez une confirmation, ainsi que des instructions et une liste des conditions générales.
Remarque : Les demandes doivent être envoyées à cust-security-announce-join@cisco.com et non à la liste cust-security-announce@cisco.com elle-même.
Pour vous désabonner de cette liste d’envoi, veuillez envoyer un message courriel à l’adresse cust-security-announce-leave@cisco.com en indiquant « unsubscribe » dans la ligne Objet de votre message. (Le contenu du message importe peu.) Vous recevrez un avis de confirmation, auquel vous devrez répondre pour vous désabonner. Le désabonnement ne sera pas effectué tant que vous n’aurez pas répondu à ce courriel de confirmation.
Veuillez noter que les demandes d’abonnement doivent être envoyées à cust-security-announce-join@cisco.com, et que les demandes de désabonnement doivent être envoyées à cust-security-leave@cisco.com et non à l’adresse courriel cust-security-announce@cisco.com elle-même.
Vous devez envoyer vos messages à partir du compte que vous souhaitez abonner à la liste ou désabonner de la liste.
Les clients peuvent également demander de s’abonner à la liste ou à se désabonner de la liste de diffusion cust-security-announce en envoyant un courriel à l’adresse psirt@cisco.com.
Flux RSS
Les renseignements sur les vulnérabilités de sécurité fournis par Cisco sont également accessibles par l’entremise des flux RSS figurant sur le site Cisco.com. Ces flux sont gratuits et il n’est pas nécessaire d’être inscrit sur Cisco.com pour y accéder. Pour savoir comment vous abonner aux flux RSS, consultez la page Flux RSS sur la sécurité de Cisco.
API OpenVuln de l’équipe PSIRT de Cisco
L’interface API openVuln de l’équipe PSIRT de Cisco est une interface API RESTful qui suit les principes de l’architecture REST (transfert d’état représentationnel) permettant aux clients d’obtenir des renseignements sur les failles de sécurité fournis par Cisco dans différents formats lisibles par machine. Pour savoir comment accéder à l’API et s’en servir, consultez la page de l’équipe PSIRT sur le site Web de Cisco DevNet.
Mes notifications
Le site Web Mes notifications permet aux utilisateurs enregistrés sur Cisco.com de s’abonner et de recevoir des renseignements importants sur les produits et la technologie Cisco, y compris des avis de sécurité Cisco. Ce service offre une expérience d’abonnement unifiée optimisée qui permet aux utilisateurs de choisir les horaires de notification, ainsi que la méthode d’envoi des notifications (courriel ou flux RSS). Le niveau d’accès est déterminé en fonction de la relation entre Cisco et l’abonné.
Création d’un avis
Pour créer un avis, suivez les étapes suivantes :
- Connectez-vous au site Web Mes notifications sur Cisco.com en utilisant votre identifiant et votre mot de passe Cisco.com.
- Cliquez sur le bouton Add Notification (ajouter une notification) et suivez les instructions.
Contacts presse ou relations publiques pour toutes les questions concernant les renseignements sur les vulnérabilités de sécurité Cisco
Le tableau suivant montre les coordonnées du service de presse de Cisco pour les renseignements sur les vulnérabilités de sécurité Cisco.
| Contacts presse | |
| Michael Ricketts | Courriel : micricke@cisco.com Téléphone : + 1 919 392-2756 |
| Relations publiques supplémentaires | media_pr@cisco.com |
Désolé, aucun résultat correspond à votre critère(s) de recherche. Veuillez réessayer.
Engagement de Cisco envers la sécurité et l’intégrité des produits
Cisco adopte des pratiques de développement de produits qui interdisent expressément les comportements intentionnels ou les fonctionnalités de produits visant à permettre un accès non autorisé aux appareils ou aux réseaux, la divulgation de renseignements confidentiels sur un appareil ou le contournement des restrictions ou fonctionnalités de sécurité. Citons, entre autres :
- les méthodes d’accès cachées des périphériques ou les « portes dérobées »,
- les identifiants de compte codés en dur ou non documentés,
- les canaux cachés de communication,
- un détournement du trafic non documenté.
Cisco considère que de telles pratiques sur les produits représentent des vulnérabilités graves. Cisco accorde une grande importance à tout problème de cet ordre et encourage toutes les parties à signaler toute vulnérabilité présumée à l’équipe PSIRT de Cisco pour une étude immédiate. Les rapports internes et externes de ces vulnérabilités seront gérés et divulgués conformément aux modalités de la Politique sur les failles de sécurité de Cisco.
De plus amples renseignements sont disponibles sur le site Web du cycle vie du développement sécurisé de Cisco (CSDL).
Processus de gestion des incidents liés à la sécurité des produits Cisco
La figure 1 illustre le cycle de vie des vulnérabilités et le processus de divulgation et de résolution de l’équipe PSIRT de Cisco à un niveau élevé.
Figure 1. Processus de gestion des incidents liés à la sécurité des produits Cisco
Voici les étapes du processus illustré dans la figure 1 :
- Reconnaissance : l’équipe PSIRT est prévenue de l’incident de sécurité.
- Gestion active : l’équipe PSIRT définit des priorités et identifie des ressources.
- Correctifs logiciels : l’équipe PSIRT coordonne l’évaluation des correctifs et des incidences.
- Notification des clients : l’équipe PSIRT avise simultanément tous les clients.
L’équipe PSIRT de Cisco étudie tous les rapports sans tenir compte de la version de code du logiciel Cisco concerné ou de son cycle de vie jusqu’à ce que le produit atteigne le dernier jour d’assistance. Les problèmes sont hiérarchisés selon la gravité potentielle de la vulnérabilité et d’autres facteurs environnementaux. Au final, la résolution de l’incident signalé pourrait nécessiter des mises à niveau vers des produits et des services hébergés en nuage bénéficiant d’une assistance active de la part de Cisco. Comme pratique exemplaire, Cisco recommande fortement aux clients de vérifier périodiquement que leurs produits bénéficient d’une assistance active pour avoir accès aux mises à jour logicielles les plus récentes et à d’autres avantages.
Tout au long du processus d’enquête, l’équipe PSIRT de Cisco s’efforce de collaborer avec la source du rapport (la personne ayant signalé l’incident) afin de confirmer la nature de la vulnérabilité, de recueillir les renseignements techniques nécessaires et d’établir les mesures correctives adéquates. Une fois l’étude initiale terminée, les résultats sont transmis à la personne ayant signalé l’incident avec un plan de résolution et divulgation au public. Si la personne ayant signalé l’incident n’est pas d’accord avec les conclusions, l’équipe PSIRT de Cisco fera tout le nécessaire pour répondre à ses attentes.
Si aucun accord ne peut être établi par voie normale, la personne signalant l’incident a la possibilité de faire remonter ce dernier au directeur de l’équipe PSIRT mondiale de Cisco en communiquant avec le centre d’assistance technique (TAC) de Cisco.
Pendant une étude, l’équipe PSIRT de Cisco gère tous les renseignements sensibles avec un maximum de confidentialité. La diffusion en interne est limitée aux personnes ayant un besoin légitime d’être informées et capables d’aider de manière active à la résolution. De même, l’équipe PSIRT de Cisco demande aux personnes signalant les incidents d’appliquer des règles de confidentialité strictes tant que des résolutions complètes n’ont pas été mises à la disposition des clients et qu’elles n’ont pas fait l’objet d’une publication par l’équipe PSIRT sur le site Web de Cisco par l’entremise de la méthode de divulgation coordonnée adéquate.
Avec l’accord de la personne signalant l’incident, l’équipe PSIRT de Cisco peut citer cette dernière pour sa contribution lors de la divulgation au public de la vulnérabilité.
L’équipe PSIRT de Cisco travaille avec des centres de coordination tiers tels que le Centre de coordination de l’équipe d’intervention en cas d’urgence informatique (CERT/CC), l’équipe d’intervention d’urgence informatique de Finlande (CERT-FI), l’équipe d’intervention d’urgence informatique du Japon (JP-CERT) et la National Protective Security Authority (NPSA) afin de gérer une divulgation coordonnée dans le secteur des vulnérabilités signalées à Cisco qui peuvent avoir une incidence sur plusieurs fournisseurs (par exemple, un problème de protocole générique). Dans ces situations, l’équipe PSIRT de Cisco peut soit aider la personne signalant l’incident à communiquer avec le centre de coordination, soit communiquer avec ce dernier en son nom.
Lorsqu’une vulnérabilité concernant un produit de fournisseur tiers est signalée à l’équipe PSIRT de Cisco, celle-ci en informe directement ledit fournisseur et peut soit se charger de la coordination avec la personne signalant l’incident, soit faire appel à un centre de coordination tiers.
L’équipe PSIRT de Cisco assure la coordination avec la personne signalant l’incident pour déterminer la fréquence des mises à jour de l’état de l’incident et de la documentation.
Si Cisco prend connaissance d’une vulnérabilité qui ne concerne pas un produit Cisco, mais un produit de fournisseur tiers, Cisco suivra la politique de signalement des vulnérabilités aux fournisseurs de Cisco.
Divulgation de vulnérabilités découvertes dans le cadre de la prestation des services Cisco
Si une vulnérabilité nouvelle ou jusqu’alors non déclarée est découverte au moment d’offrir des services à un client, Cisco suivra le Processus de gestion des incidents liés à la sécurité des produits Cisco. Les vulnérabilités trouvées dans les produits et les services hébergés en nuage Cisco seront traitées par l’équipe PSIRT de Cisco, conformément à la Politique relative aux failles de sécurité de Cisco. Si la vulnérabilité provient du produit d’un autre fournisseur, Cisco suivra la Politique de divulgation et de production de rapports sur les vulnérabilités à l’intention des fournisseurs, sauf si le client touché souhaite informer le fournisseur directement. Dans ce cas, Cisco le mettra en contact avec le fournisseur et informera CERT/CC (ou le fournisseur équivalent à l’échelle nationale).
Cisco protégera les données propres au client tout au long du processus. Plus précisément, Cisco ne fera part d’aucune donnée propre à un client, à moins d’indication contraire du client en question, ou si une enquête judiciaire est nécessaire.
Évaluation des risques de sécurité — Système commun de notation des vulnérabilités et Évaluation de l’incidence sur la sécurité
Cisco utilise la version 3.1 du CVSS (Système commun de notation des vulnérabilités) dans le cadre de son processus courant d’évaluation des vulnérabilités potentielles signalées sur les produits et les services hébergés en nuage de Cisco. Le modèle CVSS utilise trois mesures (ou résultats) différentes : la mesure de base, la mesure temporelle et la mesure environnementale. Cisco évalue la vulnérabilité par rapport aux mesures de base et fournit, dans certains cas, un résultat de vulnérabilité temporel. Cisco encourage les utilisateurs finaux à calculer la part environnementale en fonction des paramètres de leur réseau. La combinaison des trois composantes constitue le résultat final qui représente une évaluation de la vulnérabilité à un moment précis dans un environnement spécifique. Nous recommandons aux entreprises de partir de ce résultat pour définir la priorité des réponses à apporter dans l’environnement qui leur est propre.
Remarque : Cisco a commencé sa transition vers la version 3.1 du CVSS (CVSSv3.1) en mai 2020.
En plus des résultats du CVSS, Cisco utilise le système d’évaluation de l’incidence sur la sécurité (Security Impact Rating, SIR) pour faciliter la classification de la gravité des vulnérabilités. Le système SIR se réfère au résultat de base de l’échelle de notation de la gravité qualitative du CVSS, lequel est rajusté par l’équipe PSIRT afin de prendre en compte les variables propres à Cisco. Ce résultat sera intégré dans chaque avis de sécurité Cisco. Cisco utilise les lignes directrices suivantes pour déterminer le type d’avis de sécurité Cisco. Les avis de sécurité dont l’incidence est critique, élevée et moyenne comprennent des informations logicielles corrigées.
| Publication | Type | CVSS | CVE | Renseignements sur le correctif | Format lisible par machine |
| Avis de sécurité Cisco | Critique | 9,0 à 10,0 | Oui | Information sur le correctif dans l’avis de sécurité et le bogue. Des informations détaillées sur les correctifs pour les logiciels Cisco IOS, IOS XE, NX-OS, ASA (appareil de sécurité adaptable), Firepower Threat Defense (FTD) et Firepower Management Center (FMC) peuvent être obtenues à l’aide du système de vérification logicielle Cisco. |
RSS, CSAF |
| Élevé | 7,0 à 8,9 | Oui | Information sur le correctif dans l’avis de sécurité et le bogue. L’information détaillée du correctif pour les logiciels Cisco IOS, IOS XE, NX-OS, ASA, FTD et FMC a été obtenue grâce au système de vérification logicielle Cisco. |
RSS, CSAF | |
| Moyen | 4,0 à 6,9 | Oui | Information sur le correctif dans l’avis de sécurité et le bogue. L’information détaillée du correctif pour les logiciels Cisco IOS, IOS XE, NX-OS, ASA, FTD et FMC a été obtenue grâce au système de vérification logicielle Cisco. |
RSS, CSAF | |
| Information | s.o. | Non | Information sur le correctif dans le bogue (le cas échéant). | RSS |
Désolé, aucun résultat correspond à votre critère(s) de recherche. Veuillez réessayer.
Les problèmes dont l’incidence est faible sont généralement publiés comme un avis joint aux notes de version, non comme un avis de sécurité.
Cisco se réserve le droit de s’écarter de ces lignes directrices, dans des cas précis, si d’autres facteurs ne sont pas saisis correctement dans le résultat du CVSS.
Si un problème de sécurité se présente dans le composant d’un logiciel tiers qui est utilisé dans un produit Cisco, Cisco utilise généralement le résultat CVSS fourni par le concepteur du composant. Dans certains cas, Cisco peut ajuster le résultat CVSS afin de refléter ses incidences sur les produits Cisco.
Remarque : Cisco est une autorité de numérotation CVE (Common Vulnerabilities and Exposures) et elle attribuera des identifiants CVE aux vulnérabilités logicielles de Cisco à partir du bloc d’identifiants MITRE attribué à l’entreprise à cette fin. Cisco n’attribue pas d’identifiants CVE aux vulnérabilités signalées tant que de telles vulnérabilités n’ont pas été confirmées par Cisco.
Pour en savoir davantage sur CVSS, rendez-vous sur FIRST.org.
Services hébergés en nuage de Cisco
Cisco propose plusieurs solutions hébergées en nuage à l’usage des clients, mais dont l’entretien, les correctifs et la surveillance sont effectués par Cisco.
L’équipe PSIRT de Cisco gère les vulnérabilités des services hébergés en nuage par Cisco et travaille en étroite collaboration avec les équipes qui les gèrent. Cette équipe veille à ce que les vulnérabilités de sécurité soient rectifiées, corrigées et déployées à tous les clients en temps opportun.
Habituellement, les événements de sécurité relatifs au service sont communiqués aux clients en leur envoyant des avis directement par le biais des équipes de service ou encore au moyen du tableau de bord de service ou du portail. Dans certains cas, Cisco peut divulguer des vulnérabilités au moyen d’avis de sécurité pour les services hébergés en nuage par Cisco en coordination avec les équipes de service.
Dans la plupart des cas, aucune action n’est nécessaire de la part de l’utilisateur, car Cisco corrige régulièrement les services hébergés en nuage.
Vulnérabilités de logiciels tiers
Si une vulnérabilité se présente dans le composant d’un logiciel tiers qui est utilisé dans un produit Cisco, Cisco utilise généralement le résultat CVSS fourni par le concepteur du composant. Cisco peut ajuster le résultat CVSS afin de refléter ses incidences sur les produits Cisco.
Cisco jugera qu’une vulnérabilité d’un fournisseur tiers est à haute visibilité lorsqu’elle correspond aux critères suivants :
- Cette vulnérabilité est présente dans un composant d’un fournisseur tiers.
- Plusieurs produits et services hébergés en nuage de Cisco sont visés.
- Le résultat CVSS est supérieur ou égal à 5,0.
- La vulnérabilité a suscité une attention considérable auprès du public.
- Une faille risque d’affecter la sécurité, et on s’attend à ce que cette vulnérabilité soit exploitée, si elle ne l’est pas déjà.
Pour les vulnérabilités à haute visibilité des fournisseurs tiers, Cisco commencera à évaluer tous les produits et les services hébergés en nuage potentiellement touchés qui n’ont pas atteint la date du dernier jour de service et publiera un avis de sécurité dans les 24 heures après que Cisco a classé la vulnérabilité comme étant à haute visibilité. Tous les produits et les services hébergés en nuage de Cisco que l’on sait touchés seront décrits en détail dans une mise à jour du premier avis de sécurité, qui sera publiée dans les sept jours de la première divulgation de Cisco. Un avis de bogue sera créé par Cisco pour chaque produit vulnérable afin que les clients enregistrés puissent les voir sur la boîte à outils de recherche de bogues de Cisco. Les vulnérabilités de fournisseurs tiers qui ne sont pas classifiées comme à haute visibilité seront publiées dans un avis joint aux mises à jour.
Référentiel de vulnérabilités de Cisco
Le référentiel de vulnérabilités de Cisco (CVR) est un moteur de recherche de vulnérabilités pour les CVE signalées après 2017 qui pourraient avoir une incidence sur les produits Cisco. Le CVR peut aider les clients à comprendre si leur produit Cisco est touché par une vulnérabilité logicielle tierce particulière. Cet outil affiche également tous les avis de sécurité Cisco associés à un CVE. À l’heure actuelle, le CVR fournit des informations sur la disposition des vulnérabilités pour un ensemble limité de produits Cisco et n’inclut pas actuellement les offres en nuage de Cisco. Pour obtenir de l’aide sur un produit qui ne figure pas dans cet outil, utilisez le lien Commentaires sur la page du CVR ou communiquez avec votre organisme d’assistance.
Vulnerability Exploitability eXchange
Les clients peuvent demander un document Vulnerability Exploitability eXchange (VEX) pour toute nomenclature logicielle publiée par Cisco. Cisco fournira l’état des types suivants de vulnérabilités tierces :
- Vulnérabilités trouvées dans le catalogue des vulnérabilités connues exploitées (KEV) de la Cybersecurity and Infrastructure Security Agency (CISA)
- Vulnérabilités que Cisco a déterminées comme étant à haut risque
- Vulnérabilités dont l’état a été demandé à l’aide du CVR
Types de publications sur la sécurité
Dans toutes ses publications sur la sécurité, Cisco s’attache à divulguer les renseignements nécessaires à un utilisateur final pour évaluer l’incidence d’une vulnérabilité, ainsi que les étapes potentiellement nécessaires à la protection de son environnement. Cisco veille à ne fournir aucun détail susceptible de permettre à un individu d’exploiter une vulnérabilité. Les avis de sécurité Cisco sont des documents ponctuels. Les renseignements ne doivent être considérés comme à jour qu’à partir de l’heure et de la date de la dernière mise à jour de la publication, comme indiqué par le champ « Last Updated » (Dernière mise à jour) dans l’en-tête de l’avis.
Cisco fournit les types de publications suivants relatifs à la sécurité sur le portail de sécurité Cisco de Cisco.com.
Avis de sécurité Cisco
Les avis de sécurité Cisco fournissent des informations détaillées sur les problèmes de sécurité qui touchent directement les produits et les services hébergés en nuage de Cisco et requièrent une mise à niveau, l’application de correctifs ou d’autres actions de la part du client. Les avis de sécurité sont publiés pour divulguer les vulnérabilités considérées comme ayant une incidence critique, élevée ou moyenne sur la sécurité. L’équipe PSIRT de Cisco valide uniquement les informations des versions concernées et corrigées qui sont documentées dans l’avis.
Tous les avis de sécurité Cisco qui divulguent les vulnérabilités dont l’incidence est critique, élevée ou moyenne comprennent une option de téléchargement du contenu du CSAF (Common Security Advisory Framework). Le CSAF est une norme de l’industrie conçue pour rendre compte des renseignements sur les vulnérabilités dans un format lisible par machine. Ce contenu lisible par la machine peut être utilisé avec d’autres outils pour automatiser le processus d’interprétation des données contenues dans un avis de sécurité. Il est possible de télécharger le contenu CSAF directement à partir de chaque avis de sécurité. Pour en savoir davantage sur le format CSAF, cliquez sur le lien mentionné précédemment.
Les avis de sécurité Cisco de type informatif couvrent des problèmes abordés dans un forum public (p. ex., un blogue ou une liste de discussions) et qui nécessitent une réponse. Des avis informatifs sont normalement publiés si une tierce partie déclare publiquement qu’un produit Cisco est vulnérable. Des avis informatifs peuvent également être utilisés de manière proactive pour prévenir les clients à propos d’un problème lié à la sécurité qui n’est pas une vulnérabilité.
Réponses aux événements Cisco
Les réponses aux événements de Cisco fournissent des informations sur les événements de sécurité qui peuvent avoir une incidence importante sur les réseaux, les applications et les appareils des clients. Les réponses aux événements Cisco contiennent un résumé de l’événement, une analyse de la menace et des techniques d’atténuation qui font appel à des produits et à des services hébergés en nuage de Cisco. Elles font normalement l’objet d’une publication dans les cas suivants :
- Existence d’une vulnérabilité importante dans un produit tiers susceptible d’avoir des répercussions sur un produit Cisco du fait de l’interaction avec le produit tiers ou de l’utilisation du réseau comme vecteur d’exploitation
- En réponse aux publications groupées sur les logiciels Cisco IOS et IOS XE, Cisco IOS XR, Cisco NX-OS, et Cisco ASA, FTD, et FMC
Avis joints aux notes de version
Les avis joints aux notes de version sont utilisés pour faire état des problèmes présentant une faible incidence en matière de sécurité. Les clients enregistrés peuvent voir tous les ID de bogue divulgués par Cisco dans l’outil de recherche de bogue de Cisco.
Si un avis de sécurité Cisco fait référence à un bogue, l’entrée du bogue dans l’outil de recherche de bogue de Cisco fournit un lien vers l’avis de sécurité Cisco correspondant.
Pour tout bogue Cisco ayant fait l’objet d’une évaluation par l’équipe PSIRT, une section « PSIRT Evaluation » (Évaluation par l’équipe PSIRT) est incluse dans l’avis joint aux notes de version. Si Cisco le juge approprié et utile, cette nouvelle section comportera des résultats CVSS de base et temporels ainsi qu’un ID CVE. Les clients sont invités à utiliser ces renseignements supplémentaires à leur seule discrétion et à mettre en correspondance les bogues Cisco et les événements du secteur. Ces renseignements ne sont pas destinés à compléter les garanties Cisco standard applicables aux logiciels, comme stipulé dans le Contrat de licence de l’utilisateur final de Cisco.
Les clients ne bénéficieront pas de mises à jour gratuites de logiciels pour les problèmes signalés dans un avis joint aux notes de version. Les clients qui souhaitent effectuer une mise à niveau vers une version de logiciel comportant des correctifs pour résoudre les problèmes concernés doivent communiquer avec leurs partenaires d’assistance habituels. Cisco déterminera, à sa seule discrétion, toutes les exceptions relatives à la présente politique.
Le tableau suivant présente un récapitulatif des méthodes utilisées pour informer les clients des publications sur la sécurité mentionnées ci-dessus. Les exceptions peuvent être définies au cas par cas afin d’améliorer la communication pour un document donné.
| Publication | Courriel | Portail de sécurité | RSS | CNS | API openVuln | Outil de recherche de bogue |
| Avis de sécurité Cisco — gravité critique et élevée | Oui
|
Oui
|
Oui
|
Oui
|
Oui
|
Oui
|
| Avis de sécurité Cisco — gravité moyenne | Oui
|
Oui
|
Oui
|
Oui
|
Oui
|
Oui
|
| Avis de sécurité Cisco – informatif | Oui
|
Oui
|
Oui
|
Non
|
Non
|
Oui
|
| Réponse aux événements Cisco | Non
|
Oui
|
Oui
|
Non
|
Non
|
Non
|
| Avis joints aux notes de version | Non
|
Non
|
Non
|
Non
|
Non
|
Oui
|
Désolé, aucun résultat correspond à votre critère(s) de recherche. Veuillez réessayer.
Plan de communication
Pour que Cisco décide de divulguer des renseignements relatifs à une vulnérabilité, au moins une des conditions suivantes doit être satisfaite :
L’équipe PSIRT de Cisco a effectué toutes les étapes du processus de réponse aux incidents et a constaté que le nombre de correctifs logiciels ou de solutions est suffisant pour répondre à la vulnérabilité, ou une divulgation ultérieure au public est prévue pour répondre à des vulnérabilités très critiques.
L’équipe PSIRT de Cisco a constaté qu’une vulnérabilité était activement exploitée et pouvait par conséquent entraîner un risque accru pour les clients de Cisco. Cisco accélère la publication d’une annonce de sécurité décrivant la vulnérabilité, accompagnée ou non d’un ensemble complet de correctifs ou de solutions de contournement.
Il existe une augmentation du nombre de signalements d’une vulnérabilité touchant des produits et des services hébergés en nuage de Cisco et donc, un risque accru pour les clients de Cisco. Cisco accélère la publication d’une annonce de sécurité décrivant la vulnérabilité, accompagnée ou non d’un ensemble complet de correctifs ou de solutions de contournement.
Toutes les publications Cisco relatives à la sécurité sont divulguées en même temps aux clients et au public.
Lors de la coordination de la divulgation avec de tierces parties, l’équipe PSIRT de Cisco s’efforce de notifier toute modification du calendrier de divulgation.
Comme décrit dans la section Recevoir des renseignements sur les vulnérabilités de sécurité de la part de Cisco du présent document, Cisco fournit des renseignements techniques de sécurité sur les correctifs logiciels des produits Cisco et transmet les mises à jour de ses produits au moyen de plusieurs canaux. Cisco se réserve le droit de dévier de sa stratégie de façon exceptionnelle afin de garantir l’accès aux correctifs logiciels à partir de Cisco.com.
Calendrier de divulgation
En réponse directe aux commentaires des clients, Cisco publie les avis de sécurité suivants relatifs au logiciel Cisco selon un horaire habituel, deux fois par année, à 16 h, temps universel coordonné (TUC). Ce calendrier s’applique pour la divulgation des vulnérabilités liées aux produits Cisco suivants, mais pas pour celle sur d’autres produits Cisco.
| Produits Cisco | Calendrier des versions |
| Cisco NX-OS Software | Quatrième mercredi de février et d’août |
| Cisco IOS XR Software (logiciel d’exploitation Cisco IOS XR) | Deuxième mercredi de mars et de septembre |
| Logiciels Cisco IOS et Cisco IOS XE | Quatrième mercredi de mars et de septembre |
Désolé, aucun résultat correspond à votre critère(s) de recherche. Veuillez réessayer.
Tous les autres produits
En général, Cisco publie les avis de sécurité Cisco à 16 h (GMT) un mercredi donné.
Exceptions
Cisco se réserve le droit de publier un avis de sécurité individuel pour les logiciels Cisco IOS et Cisco IOS XE, Cisco IOS XR, Cisco NX-OS, ou pour d’autres produits qui ne figurent pas au calendrier publié. Une publication en dehors du calendrier peut être motivée, sans s’y limiter, par les conditions suivantes :
- Cisco constate que le public est de plus en plus conscient de l’existence d’une vulnérabilité grave.
- Cisco s’aperçoit qu’une vulnérabilité est activement exploitée.
- Cisco collabore avec un centre de coordination tiers pour divulguer une vulnérabilité au public.
Admissibilité au service de gestion des incidents
Quel que soit l’état de leur contrat, tous les clients sont admissibles au soutien du centre d’assistance technique (TAC) de Cisco concernant les vulnérabilités de sécurité connues ou raisonnablement soupçonnées des produits et des services de Cisco. Pour en savoir plus sur la façon de communiquer avec le centre d’assistance technique de Cisco, consultez la section « Généralités relatives aux questions de sécurité » de ce document. Il est recommandé aux clients qui souhaitent communiquer avec le TAC de Cisco de consulter l’adresse URL de la publication de Cisco sur la sécurité pour les aider à s’adresser à l’équipe de soutien appropriée.
Les clients ayant payé pour un contrat de service couvrant les interventions en cas d’incident et l’aide à l’investigation doivent effectuer leurs demandes d’aide en utilisant la méthode précisée dans leur contrat.
Cisco, à sa seule discrétion, peut offrir à ses clients des services de sécurité supplémentaires sans frais. Cisco se réserve le droit de déterminer le type et le niveau d’assistance offert gratuitement en lien avec tout incident et de cesser d’offrir son aide dans le cadre de celui-ci à tout moment.
Mises à jour de logiciels de sécurité
L’équipe PSIRT de Cisco étudiera et divulguera les vulnérabilités sur les produits et services Cisco à partir du jour de la première expédition commerciale (FCS) jusqu’au dernier jour d’assistance (LDoS). Les clients de Cisco disposant d’un contrat de service leur donnant droit à des mises à jour régulières de logiciels doivent se procurer les correctifs de sécurité par l’entremise de leurs canaux habituels de mise à jour, généralement à partir du site Web du produit pertinent de Cisco. Cisco recommande de communiquer avec le centre d’assistance technique (TAC) de Cisco uniquement pour des questions ou des problèmes spécifiques et urgents.
En tant que service à la clientèle spécial et pour améliorer la sécurité globale d’Internet, Cisco peut proposer aux clients des mises à jour gratuites de logiciels afin de résoudre des problèmes importants de sécurité. La décision de fournir des mises à jour de logiciels dépend de chaque cas. Consultez la publication sur la sécurité de Cisco pour de plus amples renseignements. Les mises à jour gratuites de logiciels seront généralement limitées aux avis de sécurité critiques et élevés.
Si Cisco a proposé une mise à jour gratuite de logiciel pour résoudre un problème spécifique, les clients n’ayant pas souscrit de contrat de service, mais remplissant les conditions pour bénéficier de cette mise à jour, peuvent l’obtenir en communiquant avec le centre d’assistance technique (TAC) de Cisco par l’un des moyens décrits dans la section Questions d’ordre général sur la sécurité de ce document.
Remarque : Pour vérifier leur admissibilité, les particuliers doivent se munir de l’URL correcte du document Cisco proposant cette mise à jour lorsqu’ils communiquent avec le centre d’assistance technique (TAC).
Les clients ne peuvent télécharger ou installer que les versions de logiciels et les ensembles de fonctionnalités pour lesquels ils ont acheté une licence valide et actuellement active. De même, ils ne peuvent prétendre à une assistance que pour ces logiciels et fonctionnalités. En installant, en téléchargeant, en consultant ou en utilisant de quelque manière que ce soit ces mises à jour de logiciels, les clients acceptent de respecter les conditions générales du contrat de licence d’utilisation de logiciel Cisco. Dans la plupart des cas, la mise à niveau de maintenance concerne un logiciel déjà acheté. Les mises à jour gratuites de logiciels de sécurité n’offrent pas aux clients le droit à une nouvelle licence d’utilisation de logiciel, à un ensemble supplémentaire de fonctionnalités de logiciels ou à des mises à niveau de révision majeure.
Après la fin de la vente (EoS), la disponibilité des correctifs de sécurité pour les vulnérabilités est définie dans le bulletin EoS du produit. (Consultez la Politique de fin de vie pour de plus amples renseignements.) L’étape Dernière date de soutien (LDOS) représente la dernière date à laquelle Cisco enquêtera sur les vulnérabilités du produit et en divulguera les renseignements.
Une fois le LDOS atteint, l’équipe PSIRT de Cisco continuera à accepter les rapports de vulnérabilité, mais n’analysera pas, ne corrigera pas et ne divulguera pas les vulnérabilités potentielles. À cette fin, l’équipe PSIRT de Cisco ne générera pas de CVE pour les problèmes signalés sur les produits ayant dépassé l’étape LDOS.
Conventions et conditions sur l’avis de sécurité
Disponibilité de la version de l’arrangement : si une date de version future est indiquée pour le logiciel, la date fournie représente une estimation fondée sur toutes les informations connues de Cisco à la date de la dernière mise à jour indiquée au haut de l’avis. Les dates de disponibilité peuvent être modifiées en fonction d’un certain nombre de facteurs, y compris les résultats de tests satisfaisants et la livraison d’autres fonctionnalités et correctifs prioritaires. Si aucune version ni aucune date n’est indiquée pour un composant affecté (indiqué par un champ vide et/ou une désignation de notification provisoire), Cisco continuera d’évaluer le correctif et mettra à jour l’avis à mesure que des informations complémentaires sont accessibles. Une fois que l’avis est comme final, les clients doivent se référer aux bogues Cisco associés pour obtenir plus d’informations.
L’état d’avis de sécurité désigné indique ce qui suit :
Intermédiaire : étude de Cisco en cours Cisco publiera des révisions dans cet avis lorsque des informations complémentaires, y compris des données sur la version de l’arrangement du logiciel, seront accessibles.
Final : Cisco a terminé son évaluation de la vulnérabilité décrite dans l’avis. Il n’y aura plus de mises à jour, à moins qu’il y ait un changement important dans la nature de la vulnérabilité.
Tous les aspects de ce processus sont susceptibles d’être modifiés sans préavis et au cas par cas. Aucun niveau de réponse particulier n’est garanti pour un problème ou une catégorie de problèmes spécifiques.
Programmes de primes de bogue de Cisco
Pour en savoir plus sur les programmes de primes de bogue de Cisco, consultez la section Programmes de primes de bogue de Cisco.
Dernière mise à jour : 12 juin 2023
Ce document fait partie du portail de sécurité Cisco. Les renseignements officiels figurant sur le portail de sécurité Cisco sont en anglais uniquement.
Ce document est fourni tel quel et n’implique aucune sorte de garantie, notamment les garanties de valeur marchande ou d’adéquation à une utilisation particulière. Votre utilisation des renseignements cités dans ce document ou dans les ressources connexes engage votre seule responsabilité. Cisco se réserve le droit de modifier ou de mettre à jour ce document sans préavis et à tout moment.
Politique de référence interne : politique relative aux vulnérabilités de sécurité, EDCS-19443599
Fonction propriétaire : équipe PSIRT de Cisco
©Cisco ou ses sociétés affiliées, 2022. Tous droits réservés. Ceci est un document public de Cisco.