Si vous êtes confronté à une vulnérabilité nécessitant une intervention d'urgence, reportez-vous à la section Signaler un risque pour la sécurité et obtenir une assistance du présent document.
Sommaire
Réponse aux incidents de sécurité des produits Cisco
La réponse aux incidents de sécurité des produits Cisco est la responsabilité du PSIRT (Product Security Incident Response Team, équipe de réponse aux incidents de sécurité des produits) de Cisco. Le PSIRT de Cisco est une équipe mondiale dédiée, en charge de la veille, de l'investigation et de la divulgation au public des informations sur les failles de sécurité relatives aux produits et réseaux Cisco. L'assistance téléphonique du PSIRT de Cisco travaille 24 heures sur 24 et 7 jours sur 7 à identifier les vulnérabilités potentielles des produits et réseaux Cisco en collaboration avec les clients de Cisco, des centres de recherche indépendants, des consultants et des entreprises du secteur.
Haut de la page
Signaler un risque pour la sécurité et obtenir une assistance
Nous encourageons vivement les particuliers et les professionnels confrontés à un problème de sécurité sur un produit à le signaler au PSIRT de Cisco. Tous les signalements sont les bienvenus, qu'ils proviennent de chercheurs indépendants, d'entreprises du secteur, de fournisseurs tiers ou de toute autre source concernée par la sécurité des produits et des réseaux. Pour joindre le PSIRT de Cisco, deux modes de contact sont disponibles :
Téléphone |
+1 877 228 7302 (numéro gratuit aux États-Unis et au Canada)
+1 408 525 6532 (numéro direct international) |
Intervention |
Disponible 24 heures sur 24, 7 jours sur 7 |
|
Email |
psirt@cisco.com |
Intervention |
Les demandes d'assistance reçues par e-mail sont généralement traitées sous 48 heures. |
|
Pour garantir la confidentialité des informations transmises à Cisco, nous vous encourageons à opter pour le cryptage de vos e-mails. Le PSIRT de CISCO prend en charge les messages cryptés via PGP et GNU Privacy Guard (GPG). La clé publique
(ID de clé : 0xCF14FEE0) du PSIRT de Cisco est disponible sur plusieurs serveurs de clés publiques.
Haut de la page
Questions d'ordre général sur la sécurité
Pour les questions générales de sécurité sur les réseaux Cisco, le centre d'assistance technique de Cisco (TAC) est à votre disposition pour vous à aider à configurer vos produits et à résoudre des problèmes techniques. Le TAC est également habilité à vous assister pour ce qui touche aux incidents de sécurité non sensibles et à l'installation des correctifs de sécurité. Pour joindre le centre d'assistance technique de Cisco, deux modes de contact sont possibles :
Téléphone |
+1 800 553 2447 (numéro gratuit aux États-Unis et au Canada)
+1 408 526 7209 (numéro direct international)
Autres numéros : coordonnées du service clientèle |
Email |
tac@cisco.com |
Intervention |
24 heures sur 24, 7 jours sur 7 |
|
Haut de la page
Recevoir des informations sur les risques pour la sécurité de la part de Cisco
Cisco vous tient informé de différentes façons des dernières vulnérabilités identifiées. Reportez-vous au tableau suivant pour les liens vers les différentes options, détaillées plus bas.
Haut de la page
Cisco.com
Toute la documentation Cisco relative aux vulnérabilités et les informations de Cisco sur les fonctions de sécurité, y compris les services et les produits, sont disponibles sur le portail des opérations de veille de sécurité Security Intelligence Operations.
Les liens directs vers les différentes fonctions de sécurité sont disponibles à la section Types de publications de sécurité du présent document.
Haut de la page
E-mail
Les avis de sécurité Cisco sont signés avec la clé PGP du PSIRT et diffusés aux adresses de listes de diffusion suivantes :
Seuls les avis de sécurité initiaux et ceux ayant fait l'objet d'une révision majeure sont envoyés par courrier électronique. En cas de révision mineure, la mise à jour est publiée sur Cisco.com sans e-mail d'accompagnement. Les clients souhaitant être prévenus par alerte automatique de toute mise à jour, même mineure, doivent s'abonner au flux RSS des avis de sécurité Cisco ou au service de notification Cisco. Tous les avis de sécurité publiés sur Cisco.com sont affichés par ordre chronologique, les derniers à avoir été mis à jour apparaissant en début de page.
Les réponses de sécurité Cisco sont publiées sur Cisco.com et envoyées uniquement à l'adresse cust-security-announce@cisco.com.
Il s'agit d'une liste de diffusion externe, ouverte à tous, permettant de recevoir les annonces de sécurité Cisco.
Pour s'inscrire à cette liste, il suffit d'envoyer un e-mail à l'adresse cust-security-announce-join@cisco.com. Peu importe le contenu du message. Vous recevrez une confirmation de votre inscription, ainsi que des instructions et la charte de la liste.
Notez que les demandes doivent être envoyées à l'adresse cust-security-announce-join@cisco.com et non pas à la liste elle-même (cust-security-announce@cisco.com).
Il est indispensable d'envoyer le message à partir du compte de messagerie sur lequel le demandeur souhaite recevoir les messages de la liste. Les demandes d'inscription faites à partir d'un compte pour un autre compte ne sont pas acceptées.
Pour s'inscrire à cette liste de diffusion, il est également possible d'envoyer une demande d'inscription au PSIRT, à l'adresse psirt@cisco.com.
Haut de la page
Flux RSS
Les informations sur les failles de sécurité fournies par Cisco sont également accessibles via les flux RSS disponibles sur le site Web de Cisco. Ces flux sont gratuits et il n'est pas nécessaire d'être inscrit sur Cisco.com pour y accéder. Pour savoir comment vous abonner aux flux RSS, cliquez ici.
Haut de la page
Service de notification Cisco
Le service de notification Cisco permet aux utilisateurs de s'abonner pour recevoir des informations importantes sur les technologies et les produits Cisco. Ce service unifié par abonnement offre la possibilité de choisir l'intervalle des notifications, ainsi que le mode pour y accéder (e-mail ou flux RSS). Le niveau d'accès attribué est fonction de la relation entre Cisco et l'abonné.
Haut de la page
Pour créer une notification
1 : Connectez-vous au site Web du service de notification Cisco Notification Service sur Cisco.com en utilisant votre identifiant et votre mot de passe Cisco.com.
2 : Cliquez sur le bouton Ajouter une notification et suivez les instructions qui s'affichent.
Haut de la page
Notification par SMS
Les clients peuvent être tenus informés par SMS dès que du contenu est publié, qu'il s'agisse d'avis de sécurité, de bulletins d'atténuation appliquée, de réponses aux événements ou d'alertes de menaces d'attaques. Pour recevoir des notifications par SMS, il suffit de s'inscrire sur Cisco.com.
Cliquez ici pour accéder à la FAQ sur la notification par SMS.
Haut de la page
Contacts presse ou relations publiques pour toutes les questions concernant les informations sur les risques relatifs à la sécurité
Contacts presse Cisco pour les questions liées aux failles de sécurité
Haut de la page
Processus de réponse aux incidents de sécurité des produits Cisco
Le schéma suivant illustre les différentes étapes du processus du PSIRT de Cisco et fournit un aperçu du cycle de vie, de la divulgation et de la résolution d'un incident.
Processus de réponse aux incidents de sécurité des produits Cisco
Le PSIRT de Cisco examine tous les rapports, indépendamment de la version du logiciel Cisco concerné ou de son stade de vie. Les problèmes sont classés par priorité suivant la criticité de la vulnérabilité et d'autres facteurs environnementaux. Au final, la résolution d'un incident signalé peut nécessiter la mise à niveau vers des produits bénéficiant d'une assistance active de la part de Cisco.
Tout au long du processus d'investigation, le PSIRT de Cisco travaille en étroite collaboration avec la source du rapport (le rapporteur de l'incident) afin de confirmer la nature de la vulnérabilité, de rassembler les informations techniques nécessaires et de définir l'action corrective appropriée. Une fois l'investigation initiale terminée, les résultats sont transmis au rapporteur de l'incident avec le plan de résolution et de divulgation au public correspondant. Si le rapporteur n'est pas d'accord avec les conclusions du PSIRT de Cisco, l'équipe du PSIRT mettra tout en œuvre pour répondre à ses attentes.
En l'absence d'accord entre les deux parties via la voie normale, le rapporteur a la possibilité d'escalader l'incident auprès du centre d'assistance technique de Cisco ou du directeur du PSIRT de Cisco.
Tout au long de l'investigation, le PSIRT gère les informations sensibles avec un maximum de confidentialité. La diffusion en interne est limitée aux personnes ayant un besoin légitime d'être informées de l'incident et capables d'aider de façon active à sa résolution. De la même façon, le PSIRT demande aux rapporteurs d'appliquer des règles de confidentialité strictes tant que des résolutions complètes n'ont pas été mises à la disposition des clients et qu'elles n'ont pas fait l'objet d'une publication par le PSIRT sur le site Web de Cisco via le mode de divulgation coordonné adéquat.
Avec l'accord du rapporteur, le PSIRT de Cisco peut citer ce dernier pour sa contribution lors de la divulgation au public de la vulnérabilité.
En cas de signalement à Cisco d'une vulnérabilité susceptible d'avoir un impact sur plusieurs fournisseurs telle qu'un problème relatif à un protocole communément utilisé, il est dans les pratiques du PSIRT de Cisco d'élaborer, avec un centre de coordination tiers comme le CERT/CC, le CERT-FI, le JP-CERT ou le CPNI, un plan de divulgation coordonnée au secteur. Dans ce cas, le PSIRT peut soit aider le rapporteur à contacter le centre de coordination adéquat, soit contacter ce dernier en son nom.
Lorsque des vulnérabilités concernant des produits tiers sont signalées au PSIRT de Cisco, celui-ci en informe directement ledit fournisseur et peut soit se charger de la coordination avec le rapporteur de l'incident, soit faire appel à un centre de coordination tiers.
Le PSIRT de Cisco assure la coordination avec le rapporteur de l'incident pour déterminer la fréquence des mises à jour de l'état de l'incident et de la documentation.
Haut de la page
Plan de communication
Pour que Cisco décide de divulguer des informations relatives à une vulnérabilité, au moins une des conditions suivantes doit être satisfaite :
- Le PSIRT a effectué toutes les étapes du processus de réponse aux incidents et déterminé que des correctifs et des solutions de contournement existent pour répondre à la vulnérabilité, ou une divulgation ultérieure de correctifs est prévue pour répondre à des vulnérabilités très critiques.
- Le PSIRT a observé qu'une vulnérabilité était activement exploitée et pouvait par conséquent entraîner un risque pour les clients de Cisco. Dans ce cas, Cisco accélère la publication d'une annonce de sécurité décrivant le risque, accompagnée ou non d'un jeu complet de correctifs ou de solutions de contournement.
- Il existe une augmentation du nombre de signalements d'une vulnérabilité touchant des produits Cisco et donc, un risque accru pour les clients de Cisco. Dans ce cas, Cisco accélère la publication d'une annonce de sécurité décrivant le risque, accompagnée ou non d'un jeu complet de correctifs ou de solutions de contournement.
Les failles de sécurité sont révélées en même temps aux clients et au public par Cisco. Cisco se réserve le droit de dévier de sa stratégie de façon exceptionnelle afin de garantir l'accès aux correctifs logiciels à partir de Cisco.com.
Lors de la coordination de la divulgation avec des tiers, le PSIRT de Cisco s'efforce de notifier toute modification du calendrier de divulgation.
Comme décrit dans la section Recevoir des informations sur les risques pour la sécurité de la part de Cisco du présent document, Cisco fournit des informations techniques sur les correctifs logiciels des produits Cisco et distribue les mises à jour de ses produits via plusieurs canaux.
Haut de la page
Évaluation des risques pour la sécurité avec CVSS
Cisco utilise la version 2.0 de CVSS (Common Vulnerability Scoring System) dans le cadre de son processus standard d'évaluation des risques potentiels signalés sur les produits Cisco et de détermination du type de publication approprié (avis de sécurité ou autre). Cisco utilise également CVSS pour évaluer la criticité des vulnérabilités. Le modèle CVSS utilise trois métriques, ou notes, différentes : la métrique de base, la métrique temporelle et la métrique environnementale. Cisco évalue la vulnérabilité par rapport aux métriques de base et temporelle et encourage les utilisateurs finaux à évaluer de leur côté la part environnementale en fonction des paramètres de leur réseau. La combinaison des trois composantes constitue le score final qui représente une évaluation de la vulnérabilité à un moment précis dans un environnement spécifique. Nous recommandons aux organisations de partir de ce score pour définir la priorité des réponses à apporter dans l'environnement qui leur est propre.
Pour plus d'informations sur CVSS, visitez le site Web FIRST.org.
Haut de la page
Calendrier de divulgation
Haut de la page
Logiciel Cisco IOS
En corrélation directe avec les commentaires de ses clients, Cisco publie ses avis de sécurité relatifs à son logiciel IOS à 16h00 (GMT), le quatrième mercredi des mois de mars et de septembre, pour chaque année calendaire. Ce calendrier s'applique pour la divulgation des vulnérabilités liées au logiciel Cisco IOS, mais pas pour celle des vulnérabilités identifiées sur d'autres produits Cisco.
Haut de la page
Tous les autres produits
Cisco divulgue généralement les failles de sécurité à 16h00 (GMT) un mercredi donné.
Haut de la page
Cas particuliers
Cisco se réserve le droit de publier un avis de sécurité exceptionnel à propos du logiciel Cisco IOS ou d'un autre produit, en dehors du calendrier officiel. Une publication en dehors du calendrier peut être motivée, sans s'y limiter, par les conditions suivantes :
- Connaissance répandue dans le public d'une vulnérabilité grave
- Connaissance par Cisco d'une vulnérabilité faisant l'objet d'une exploitation active
- Travail de Cisco avec un centre de coordination tiers pour divulguer une vulnérabilité au public
Haut de la page
Types de publications de sécurité
Dans toutes ses publications relatives à la sécurité, Cisco s'attache à révéler la quantité minimale d'informations nécessaires à un utilisateur final pour évaluer l'impact d'une vulnérabilité, ainsi que les étapes potentiellement nécessaires à la protection de son environnement. Cisco veille à ne fournir aucun détail susceptible de permettre à un individu d'exploiter une faille.
Cisco fournit les types de publication de sécurité suivants : Tous les documents sont disponibles sur le portail des opérations de veille de sécurité Security Intelligence Operations de Cisco.com.
- Avis de sécurité Cisco
Les avis de sécurité Cisco sont publiés pour les problèmes de sécurité critiques qui concernent directement des produits Cisco et nécessitent une mise à niveau, un correctif ou une autre action du client.
- Réponses de sécurité Cisco
Les réponses de sécurité sont publiées pour répondre à des problèmes moins critiques qui ont un impact sur la sécurité des réseaux ou à des questions soulevées dans un forum de discussion public. Elles sont normalement publiées lorsqu'un tiers effectue une déclaration publique à propos d'une vulnérabilité sur un produit Cisco à laquelle Cisco a déjà répondu, via son processus standard de divulgation, ou lorsque la nature du problème est telle que celui-ci n'exige pas la visibilité d'un avis de sécurité.
Remarque : les avis étaient autrefois connus sous le nom d'avertissement de sécurité.
- Réponses aux événements Cisco
Les réponses aux évènements Cisco fournissent des informations sur les événements de sécurité susceptibles d'avoir un large impact sur les réseaux, applications et périphériques des clients. Les réponses aux événements Cisco contiennent un résumé de l'événement, une analyse de la menace et des méthodes d'atténuation qui font appel à des produits Cisco. Elles font normalement l'objet d'une publication dans les cas suivants :
- Existence d'une vulnérabilité importante dans un produit tiers susceptible d'avoir des répercussions sur un produit Cisco du fait de l'interaction avec le produit tiers ou de l'utilisation du réseau comme vecteur d'exploitation
- En réponse aux publications sur le logiciel Cisco IOS
- Bulletins d'atténuation appliquée Cisco
Les bulletins d'atténuation appliquée décrivent les techniques qui utilisent les capacités de produits Cisco pour détecter et atténuer les risques d'exploitation des failles. Ils sont normalement publiés lorsque des produits Cisco peuvent être utilisés pour atténuer des risques connus.
- Alertes relatives aux menaces d'attaques
Les alertes d'attaque couvrent les données les plus récentes sur les menaces malveillantes via e-mail ou Internet, comme le spam, le phishing, les virus, les programmes malveillants et les robots Internet. Ces alertes ne concernent pas les produits Cisco, mais sont fournies pour protéger les clients de Cisco et les autres utilisateurs.
- Pièces jointes aux notes de version
Tous les ID de bug divulgués par Cisco sont accessibles aux clients enregistrés dans le Bug Toolkit de Cisco.
Si un avis de sécurité Cisco fait référence à un bug, l'entrée du bug dans le Bug Toolkit de Cisco fournit un lien vers l'avis de sécurité Cisco correspondant.
Haut de la page
Éligibilité au service de réponse aux incidents
Les clients ayant souscrit un contrat de service bénéficient d'une assistance de réponse aux incidents pour tout incident impliquant un produit Cisco, qu'un problème ait été identifié avec un produit Cisco ou non.
Tous les clients, qu'ils aient souscrit ou non un contrat, bénéficient d'une assistance gratuite de réponse aux incidents semblable à celle assurée pour les clients sous contrat, pour tout incident impliquant une vulnérabilité suspectée dans un produit Cisco.
Cisco se réserve le droit de déterminer le type et le degré d'assistance qu'il peut proposer selon l'incident, et de se retirer de tout incident à tout moment. Cisco peut proposer à ses clients des services de réponse aux incidents gratuitement. Cisco peut prêter une attention spéciale aux incidents de sécurité qui impliquent des menaces réelles ou potentielles pour les personnes, les propriétés ou Internet, ou ayant fait l'objet de demandes par les organismes d'application de la loi ou les équipes officielles de réponses aux incidents.
Haut de la page
Mises à jour logicielles de sécurité
Les clients de Cisco disposant d'un contrat de service leur donnant droit à des mises à jour logicielles régulières doivent se procurer les correctifs de sécurité via leurs canaux habituels de mise à jour, généralement le site Web de Cisco. Cisco recommande de contacter le centre d'assistance technique (TAC) uniquement pour des problèmes ou des questions spécifiques nécessitant un traitement en urgence.
En tant que service client spécial et pour améliorer la sécurité globale d'Internet, Cisco peut proposer aux clients des mises à jour logicielles gratuites pour répondre à des problèmes de sécurité donnés. Si Cisco a proposé une mise à jour logicielle gratuite pour répondre à un problème spécifique, les clients n'ayant pas souscrit de contrat de service mais remplissant les conditions pour bénéficier de cette mise à jour, peuvent l'obtenir en contactant le centre d'assistance technique de Cisco via l'un des moyens décrits dans la section Contacts du présent document. Pour savoir s'ils sont éligibles ou pas, les particuliers doivent se munir de l'URL du document Cisco proposant cette mise à jour lorsqu'ils contactent le centre d'assistance technique.
Tous les aspects de ce processus sont susceptibles d'être modifiés sans préavis et au cas par cas. Aucun niveau de réponse particulier n'est garanti pour un problème ou une catégorie de problèmes spécifiques.
Les informations fournies sur cette page Web sont fournies telles quelles et n'impliquent aucune garantie d'aucune sorte. Cisco n'est pas responsable de l'utilisation qui peut être faite des informations fournies sur cette page ou des liens qu'elle contient. Cisco se réserve le droit de modifier ou de mettre à jour cette page Web sans préavis et à tout moment.
