Avez-vous un compte?

  •   Contenu personnalisé
  •   Vos produits et votre soutien technique

Vous voulez un compte?

Créer un compte

Politique relative aux vulnérabilités de sécurité

Si vous êtes confronté(e) à une vulnérabilité de sécurité nécessitant une intervention d’urgence, consultez la section Signaler une vulnérabilité de sécurité présumée ou obtenir une assistance du présent document.

Sommaire

Objectif

Cette politique vise à orienter et renseigner les clients dans l’éventualité où une vulnérabilité serait signalée pour un produit ou un service de Cisco. Elle est essentielle pour veiller à ce que les clients Cisco disposent d’une ressource uniforme et non ambiguë qui peut les aider à comprendre comment Cisco intervient lorsque surviennent des événements de cette nature.

Politiques

Cette politique doit indiquer clairement comment Cisco résout les vulnérabilités de sécurité pour les produits et services de Cisco, y compris la chronologie, les actions et les responsabilités qui s’appliquent également à tous les clients.

Gestion des incidents liés à la sécurité des produits Cisco

La gestion des incidents liés à la sécurité des produits Cisco est la responsabilité de l’équipe PSIRT (Product Security Incident Response Team, équipe de gestion des incidents liés à la sécurité des produits) de Cisco. L’équipe PSIRT de Cisco est une équipe mondiale dédiée, responsable de la réception, de l’étude et de la divulgation au public des renseignements sur les vulnérabilités de sécurité et les problèmes affectant les produits et réseaux Cisco. Cisco définit une vulnérabilité de sécurité comme une faiblesse d’un produit qui pourrait permettre à un attaquant de compromettre l’intégrité, l’accessibilité ou la confidentialité de celui-ci. L’équipe PSIRT de Cisco est conforme à la norme ISO/IEC 29147:2014

L’assistance téléphonique de l’équipe PSIRT de Cisco travaille 24 heures sur 24 pour répondre aux demandes des clients de Cisco, des chercheurs en sécurité indépendants, des conseillers, des associations du secteur et d’autres fournisseurs afin de détecter les vulnérabilités et les problèmes de sécurité potentiels des produits et réseaux Cisco.

Signaler une vulnérabilité de sécurité présumée ou obtenir une assistance

Nous encourageons vivement les particuliers et les entreprises confrontés à un problème de sécurité sur un produit à le signaler à l’équipe PSIRT de Cisco. Tous les signalements sont les bienvenus, qu’ils proviennent de chercheurs indépendants, d’entreprises du secteur, de fournisseurs, de clients ou de toute autre source concernée par la sécurité des produits et des réseaux. Le signalement d’un problème de sécurité nécessite au moins une description de la vulnérabilité potentielle.

Pour communiquer avec l’équipe PSIRT de Cisco, utilisez l’une des méthodes suivantes :

Désolé, aucun résultat correspond à votre critère(s) de recherche. Veuillez réessayer.

  Assistance d’urgence  
Téléphone +1 877 228-7302 (numéro sans frais en Amérique du Nord)  
+1 408-525-6532 (appel international direct)
Heures 24 heures sur 24, 7 jours sur 7  

Désolé, aucun résultat correspond à votre critère(s) de recherche. Veuillez réessayer.

  Assistance standard  
Courriel psirt@cisco.com  
Heures Les demandes d’assistance reçues par courriel sont généralement traitées sous 48 heures. La situation courante des problèmes signalés sera déterminée le cas échéant.  

Désolé, aucun résultat correspond à votre critère(s) de recherche. Veuillez réessayer.

Cisco encourage le cryptage des renseignements confidentiels qui lui sont envoyés par courriel. L’équipe PSIRT de Cisco prend en charge les messages cryptés par l’entremise de PGP/GNU Privacy Guard (GPG). La clé publique de l’équipe PSIRT de Cisco (ID de clé 0x0BE0457A) est accessible à l’adresse suivante  : https://tools.cisco.com/cscrdr/security/center/files/Cisco_PSIRT_0BE0457A.asc.

Questions d’ordre général sur la sécurité

Pour les questions générales relatives à la sécurité des produits Cisco, le centre d’assistance technique (TAC) de Cisco peut vous aider à effectuer les configurations et offrir une assistance technique afin de résoudre les problèmes liés à la sécurité. En outre, le TAC peut vous aider à résoudre les incidents de sécurité non sensibles et à effectuer les mises à niveau logicielles en vue d’obtenir des corrections de bogues de sécurité. Pour communiquer avec le centre Cisco TAC, utilisez les coordonnées ci-après.

  Centre d’assistance technique  
Téléphone +1 800-553-2447 (numéro sans frais en Amérique du Nord)
+1 408-526-7209 (appel international direct)
Autres numéros du TAC : contacts de service à la clientèle
 
Courriel tac@cisco.com  
Heures 24 heures sur 24, 7 jours sur 7  

Désolé, aucun résultat correspond à votre critère(s) de recherche. Veuillez réessayer.

Haut de la page


Recevoir des renseignements sur les vulnérabilités de sécurité de la part de Cisco

Cisco vous tient informé(e) de différentes façons des dernières vulnérabilités de sécurité identifiées. Consultez le tableau suivant et les résumés qui suivent pour déterminer l’option appropriée.

Désolé, aucun résultat correspond à votre critère(s) de recherche. Veuillez réessayer.

Cisco.com

Le portail de sécurité Cisco sur Cisco.com fournit des documents sur les vulnérabilités de sécurité de Cisco et des renseignements sur les fonctions de sécurité de Cisco, y compris les produits et services de sécurité adéquats.

Les liens directs vers les fonctions de sécurité particulières sont fournis à la section Types de publications sur la sécurité du présent document.

Courriel

Les avis de sécurité Cisco qui fournissent des renseignements à propos des vulnérabilités de sécurité dont l’incidence est critique ou élevée sont signés avec la clé publique PGP de l’équipe PSIRT et publiés sur la liste d’envoi cust-security-announce@cisco.com.

Seuls les premiers avis de sécurité Cisco sur les vulnérabilités dont l’incidence est critique ou élevée et ceux ayant fait l’objet d’une révision majeure sont envoyés par courriel. En cas de révision mineure d’un document, la mise à jour est publiée sur Cisco.com sans courriel d’accompagnement. Les clients souhaitant être prévenus par alerte automatique des révisions mineures doivent s’abonner au flux RSS des avis de sécurité Cisco ou au service Mes notifications. Tous les avis de sécurité sur Cisco.com sont affichés par ordre chronologique, les avis les plus récents et les dernières mises à jour figurant en début de page.

Les avis de sécurité Cisco qui fournissent des renseignements à propos des vulnérabilités de sécurité dont l’incidence est moyenne sont publiés sur Cisco.com et apparaissent dans le flux RSS des avis de sécurité Cisco.

L’équipe PSIRT de Cisco peut également envoyer des avis informatifs à la liste d’envoi cust-security-announce. Un avis informatif n’est pas utilisé comme un mécanisme de divulgation d’une vulnérabilité de Cisco, mais plutôt comme une méthode pour partager des renseignements sur les incidents qui peuvent avoir des répercussions sur les produits Cisco et qui peuvent intéresser les clients de Cisco.

Il s’agit d’une liste d’envoi externe qui permet aux abonnés de recevoir les annonces relatives à la sécurité Cisco.

Pour s’abonner à cette liste d’envoi, envoyez un courriel à l’adresse cust-security-announce-join@cisco.com. (Le contenu du message importe peu.) Vous recevrez une confirmation, ainsi que des instructions et une liste des conditions générales.

Remarque : Les demandes doivent être envoyées à cust-security-announce-join@cisco.com et non à la liste cust-security-announce@cisco.com elle-même.

Pour vous désabonner de cette liste d’envoi, veuillez envoyer un message courriel à l’adresse cust-security-announce-leave@cisco.com en indiquant « désabonnement » dans la ligne Objet de votre message. (Le contenu du message importe peu.) Vous recevrez un avis de confirmation, auquel vous devrez répondre. En répondant à cet avis, vous serez désabonné de la liste d’envoi cust-security-announce. Vous ne serez pas désabonné tant que vous n’aurez pas répondu à ce courriel de confirmation.

Veuillez noter que les demandes de désabonnement doivent être envoyées à cust-security-announce-leave@cisco.com et non à la liste d’envoi cust-security-announce@cisco.com elle-même.

Vous devez envoyer vos messages à partir du compte que vous souhaitez abonner ou désabonner. Nous n’acceptons pas les demandes d’abonnement ou de désabonnement pour un compte qui sont envoyées à partir d’un autre compte.

Vous pouvez également soumettre une demande d’accès à la liste d’envoi en envoyant un courriel à psirt@cisco.com.

Flux RSS

Les renseignements sur les vulnérabilités de sécurité fournis par Cisco sont également accessibles par l’entremise des flux RSS figurant sur le site Cisco.com. Ces flux sont gratuits et il n’est pas nécessaire d’être inscrit sur Cisco.com pour y accéder. Pour savoir comment vous abonner aux flux RSS, consultez la page Flux RSS sur la sécurité de Cisco.

API OpenVuln de l’équipe PSIRT de Cisco

L’API openVuln de l’équipe PSIRT de Cisco est un API qui suit les principes de l’architecture REST (representational state transfer) permettant aux clients d’obtenir des renseignements sur les vulnérabilités de sécurité fournis par Cisco dans différents formats lisibles par machine. Pour savoir comment accéder à l’API et s’en servir, consultez la page de l’équipe PSIRT sur le site Web de Cisco DevNet.

Mes notifications

Le site Web Mes notifications permet aux utilisateurs de s’abonner et de recevoir des renseignements importants sur les produits et la technologie Cisco, y compris des avis de sécurité Cisco. Ce service offre une expérience d’abonnement unifiée optimisée qui permet aux utilisateurs de choisir les horaires de notification, ainsi que la méthode d’envoi des notifications (courriel ou flux RSS). Le niveau d’accès est déterminé en fonction de la relation entre Cisco et l’abonné.

Procédure de création d’une notification

  1. Connectez-vous au site Web du service Mes notifications sur Cisco.com en utilisant votre identifiant et votre mot de passe Cisco.com.
  2. Cliquez sur le bouton Add Notification (ajouter une notification) et suivez les instructions.

 

Contacts presse ou relations publiques pour toutes les questions concernant les renseignements sur les vulnérabilités de sécurité Cisco

Le tableau suivant montre les coordonnées du service de presse de Cisco pour les renseignements sur les vulnérabilités de sécurité Cisco.

  Contacts presse  
Mark Hoskins Adresse courriel : mhoskins@cisco.com
Téléphone : + 1 919 392-2756
 
Relations publiques supplémentaires media_pr@cisco.com  

Désolé, aucun résultat correspond à votre critère(s) de recherche. Veuillez réessayer.

Engagement de Cisco envers la sécurité et l’intégrité des produits

Cisco adopte des pratiques de développement de produits qui interdisent expressément les comportements intentionnels ou les fonctionnalités de produits visant à permettre un accès non autorisé aux appareils ou aux réseaux, la divulgation de renseignements confidentiels sur un appareil ou le contournement des restrictions ou fonctionnalités de sécurité. Citons, entre autres :

  • les méthodes d’accès cachées des périphériques ou les « portes dérobées »,
  • les identifiants de compte codés en dur ou non documentés,
  • les canaux cachés de communication,
  • un détournement du trafic non documenté.

Cisco considère que de telles pratiques sur les produits représentent des vulnérabilités graves. Cisco accorde une grande importance à tout problème de cet ordre et encourage toutes les parties à signaler toute vulnérabilité présumée à l’équipe PSIRT de Cisco pour une étude immédiate. Les rapports internes et externes de ces vulnérabilités seront gérés et divulgués conformément aux modalités de la Politique de vulnérabilité de sécurité de Cisco.

Pour en savoir davantage, consultez le site Web CSDL de Cisco.

Processus de gestion des incidents liés à la sécurité des produits Cisco

Le schéma suivant illustre en détail le processus de l’équipe PSIRT de Cisco et fournit un aperçu du cycle de vie, de la divulgation et de la résolution de la vulnérabilité.

Figure 1. Processus de gestion des incidents liés à la sécurité des produits Cisco

Cycle du processus de réponse, de la reconnaissance aux commentaires

Voici les étapes du processus illustré dans la figure 1 :

  1. Reconnaissance : l’équipe PSIRT est prévenue de l’incident de sécurité.
  2. Gestion active : l’équipe PSIRT définit des priorités et identifie des ressources.
  3. Détermination d’une solution : l’équipe PSIRT coordonne l’évaluation des correctifs et des incidences.
  4. Plan de communication : l’équipe PSIRT définit un calendrier et le format des notifications.
  5. Intégration et mesure d’atténuation : l’équipe PSIRT fait appel à des experts et aux dirigeants.
  6. Notification : l’équipe PSIRT avise simultanément tous les clients.
  7. Commentaires : l’équipe PSIRT intègre les commentaires des clients et des ressources internes de Cisco.

L’équipe PSIRT de Cisco étudie tous les rapports sans tenir compte de la version de code du logiciel Cisco concerné ou de son cycle de vie jusqu’à ce que le produit atteigne le dernier jour d’assistance (LDoS). Les problèmes sont hiérarchisés selon la gravité potentielle de la vulnérabilité et d’autres facteurs environnementaux. Au final, la résolution de l’incident signalé pourrait nécessiter des mises à niveau vers des produits bénéficiant d’une assistance active de la part de Cisco. Comme pratique exemplaire, Cisco recommande fortement aux clients de vérifier périodiquement que leurs produits bénéficient d’une assistance active pour avoir accès aux mises à jour logicielles les plus récentes et à d’autres avantages.

Tout au long du processus d’enquête, l’équipe PSIRT de Cisco s’efforce de collaborer avec la source du rapport (la personne ayant signalé l’incident) afin de confirmer la nature de la vulnérabilité, de recueillir les renseignements techniques nécessaires et d’établir les mesures correctives adéquates. Une fois l’étude initiale terminée, les résultats sont transmis à la personne ayant signalé l’incident avec un plan de résolution et divulgation au public. Si la personne ayant signalé l’incident n’est pas d’accord avec les conclusions, l’équipe PSIRT de Cisco fera tout le nécessaire pour répondre à ses attentes.

Si aucun accord ne peut être établi par voie normale, la personne signalant l’incident a la possibilité de faire remonter ce dernier au directeur de l’équipe PSIRT mondiale de Cisco en communiquant avec le centre d’assistance technique de Cisco.

Pendant une étude, l’équipe PSIRT de Cisco gère tous les renseignements sensibles avec un maximum de confidentialité. La diffusion en interne est limitée aux personnes ayant un besoin légitime d’être informées et capables d’aider de manière active à la résolution. De même, l’équipe PSIRT de Cisco demande aux personnes signalant les incidents d’appliquer des règles de confidentialité strictes tant que des résolutions complètes n’ont pas été mises à la disposition des clients et qu’elles n’ont pas fait l’objet d’une publication par l’équipe PSIRT sur le site Web de Cisco par l’entremise de la méthode de divulgation coordonnée adéquate.

Avec l’accord de la personne signalant l’incident, l’équipe PSIRT de Cisco peut citer cette dernière pour sa contribution lors de la divulgation au public de la vulnérabilité.

En cas de signalement à Cisco d’une vulnérabilité pouvant influer sur plusieurs fournisseurs (par exemple, un problème relatif à un protocole communément utilisé), il est dans les pratiques de l’équipe PSIRT de Cisco d’élaborer, avec un centre de coordination tiers comme le CERT/CC, le CERT-FI, le JP-CERT ou le CPNI, un plan de divulgation coordonnée au secteur. Dans ce cas, l’équipe PSIRT de Cisco peut soit aider la personne signalant l’incident à communiquer avec le centre de coordination, soit communiquer avec ce dernier en son nom.

Lorsqu’une vulnérabilité concernant un produit de fournisseur tiers est signalée à l’équipe PSIRT de Cisco, celle-ci en informe directement ledit fournisseur et peut soit se charger de la coordination avec la personne signalant l’incident, soit faire appel à un centre de coordination tiers.

L’équipe PSIRT de Cisco assure la coordination avec la personne signalant l’incident pour déterminer la fréquence des mises à jour de l’état de l’incident et de la documentation.

Si Cisco prend connaissance d’une vulnérabilité qui ne concerne pas un produit Cisco, mais un produit de fournisseur tiers, notre politique de signalement des vulnérabilités aux fournisseurs s’appliquera.

Divulgation de vulnérabilités découvertes dans le cadre de la prestation des services Cisco

Si une vulnérabilité nouvelle ou jusqu’alors non déclarée est découverte au moment d’offrir des services à un client, Cisco suivra le Processus de gestion des incidents liés à la sécurité des produits Cisco. Les vulnérabilités trouvées dans les produits Cisco seront traitées par l’équipe PSIRT de Cisco, conformément à la Politique relative aux vulnérabilités de sécurité de Cisco. Si la vulnérabilité provient du produit d’un autre fournisseur, Cisco suivra la Politique de divulgation et de production de rapports sur les vulnérabilités à l’intention des fournisseurs, sauf si le client touché souhaite informer le fournisseur directement. Dans ce cas, Cisco le mettra en contact avec le fournisseur et informera CERT/CC (ou le fournisseur équivalent à l’échelle nationale).

Cisco protégera les données propres au client tout au long du processus. Plus précisément, Cisco ne fera part d’aucune donnée propre à un client, à moins d’indication contraire du client en question, ou si une enquête judiciaire est nécessaire.

Évaluation des risques de sécurité avec Common Vulnerability Scoring System et évaluation de l’incidence sur la sécurité

Cisco utilise la version 3.1 du CVSS (Common Vulnerability Scoring System) dans le cadre de son processus standard d’évaluation des vulnérabilités potentielles signalées sur les produits Cisco. Le modèle CVSS utilise trois mesures (ou résultats) différentes : la mesure de base, la mesure temporelle et la mesure environnementale. Cisco évalue la vulnérabilité par rapport aux mesures de base et fournit, dans certains cas, un résultat de vulnérabilité temporel. Cisco encourage les utilisateurs finaux à calculer la part environnementale en fonction des paramètres de leur réseau. La combinaison des trois composantes constitue le résultat final qui représente une évaluation de la vulnérabilité à un moment précis dans un environnement spécifique. Nous recommandons aux entreprises de partir de ce résultat pour définir la priorité des réponses à apporter dans l’environnement qui leur est propre.

Remarque : Cisco a commencé sa transition vers la version 3.1 du CVSS (CVSSv3.1) en mai 2020.

En plus des résultats du CVSS, Cisco utilise le système d’évaluation de l’incidence sur la sécurité (Security Impact Rating, SIR) pour faciliter la classification de la gravité des vulnérabilités. Le système SIR se réfère au résultat de base de l’échelle de notation de la gravité qualitative du CVSS, lequel est ajusté par l’équipe PSIRT afin de prendre en compte les variables propres à Cisco. Ce résultat sera intégré dans chaque avis de sécurité Cisco. Cisco utilise les lignes directrices suivantes pour déterminer le type d’avis de sécurité Cisco. Les avis de sécurité dont l’incidence est critique ou élevée comprennent des informations logicielles corrigées.

Publication Type CVSS CVE Renseignements sur le correctif Format lisible par machine
Avis de sécurité Cisco Critique 9,0 à 10,0 Oui Information sur le correctif dans l’avis de sécurité et le bogue.

L’information détaillée du correctif pour les logiciels Cisco IOS et IOS XE a été obtenue grâce au système de vérification logicielle Cisco IOS.
RSS, CVRF
Élevé 7,0 à 8,9 Oui Information sur le correctif dans l’avis de sécurité et le bogue.
L’information détaillée du correctif pour les logiciels Cisco IOS et IOS XE a été obtenue grâce au système de vérification logicielle Cisco IOS.
RSS, CVRF
Moyen 4,0 à 6,9 Oui Information sur le correctif dans le bogue. RSS, CVRF
Information s.o. Non Information sur le correctif dans le bogue (le cas échéant). RSS

Désolé, aucun résultat correspond à votre critère(s) de recherche. Veuillez réessayer.

Les problèmes dont l’incidence est faible sont généralement publiés comme un avis joint aux notes de version, non comme un avis de sécurité.

Cisco se réserve le droit de s’écarter de ces lignes directrices, dans des cas précis, si d’autres facteurs ne sont pas saisis correctement dans le résultat du CVSS.

Si un problème de sécurité se présente dans le composant d’un logiciel tiers qui est utilisé dans un produit Cisco, Cisco utilise généralement le résultat CVSS fourni par le concepteur du composant. Dans certains cas, Cisco peut ajuster le résultat CVSS afin de refléter ses incidences sur les produits Cisco.

Remarque : Cisco n’attribue pas d’identifiants CVE aux vulnérabilités signalées tant que de telles vulnérabilités n’ont pas été confirmées par Cisco.

Pour en savoir davantage sur CVSS, visitez le site  Web FIRST.orgleavingcisco.com.

Solutions infonuagiques hébergées de Cisco

Cisco propose plusieurs solutions infonuagiques hébergées à l’usage des clients, mais dont l’entretien, les correctifs et la surveillance sont effectués par Cisco.

L’équipe PSIRT de Cisco gère les vulnérabilités des solutions infonuagiques hébergées de Cisco et travaille en étroite collaboration avec les équipes qui en sont propriétaires. Celles-ci veillent à ce que les vulnérabilités de sécurité soient rectifiées, corrigées et déployées à tous les clients en temps opportun.

Cisco gère et divulgue les vulnérabilités au moyen d’avis de sécurité pour les solutions infonuagiques hébergées de Cisco en utilisant le même processus de divulgation documenté que celui utilisé pour les produits sur site.

Dans la plupart des cas, aucune action n’est nécessaire de la part de l’utilisateur, car Cisco corrige régulièrement les solutions infonuagiques hébergées.

Les équipes de service peuvent informer les clients des événements de sécurité relatifs au service en leur envoyant des avis directement ou encore au moyen du tableau de bord de service ou du portail.

Vulnérabilités de logiciels tiers

Si une vulnérabilité se présente dans le composant d’un logiciel tiers qui est utilisé dans un produit Cisco, Cisco utilise généralement le résultat CVSS fourni par le concepteur du composant. Cisco peut ajuster le résultat CVSS afin de refléter ses incidences sur les produits Cisco.

Cisco jugera qu’une vulnérabilité d’un fournisseur tiers est à haute visibilité lorsqu’elle correspond aux critères suivants :

  • Cette vulnérabilité est présente dans un composant d’un fournisseur tiers.
  • Plusieurs produits Cisco sont visés.
  • Le résultat CVSS est supérieur ou égal à 5,0.
  • La vulnérabilité a suscité une attention considérable auprès du public.
  • Une faille risque d’affecter la sécurité, et on s’attend à ce que cette vulnérabilité soit exploitée, si elle ne l’est pas déjà.

Pour les vulnérabilités à haute visibilité des fournisseurs tiers, Cisco commencera à évaluer tous les produits potentiellement concernés qui n’ont pas atteint la date de fin d’assistance (la priorité étant accordée aux produits qui n’ont pas encore atteint la date de fin de maintenance logicielle) et publiera un avis de sécurité dans les 24 heures après que Cisco a classé la vulnérabilité comme étant à haute visibilité. Tous les produits Cisco que l’on sait visés seront décrits en détail dans une mise à jour du premier avis de sécurité, qui sera publiée dans les 7 jours de la première divulgation de Cisco. Un avis de bogue sera créé par Cisco pour chaque produit vulnérable afin que les clients enregistrés puissent les voir sur la boîte à outils de recherche de bogues de Cisco. Les vulnérabilités de fournisseurs tiers qui ne sont pas classifiées comme à haute visibilité seront publiées dans un avis joint aux mises à jour.

Types de publications sur la sécurité

Dans toutes ses publications sur la sécurité, Cisco s’attache à divulguer la quantité minimale de renseignements nécessaires à un utilisateur final pour évaluer l’incidence d’une vulnérabilité, ainsi que les étapes potentiellement nécessaires à la protection de son environnement. Cisco veille à ne fournir aucun détail susceptible de permettre à un individu d’exploiter une vulnérabilité.

Cisco fournit les types de publications suivants relatifs à la sécurité sur le portail de sécurité Cisco de Cisco.com.

Avis de sécurité Cisco

Les avis de sécurité Cisco fournissent des renseignements détaillés sur les problèmes de sécurité qui touchent directement les produits Cisco et requièrent une mise à niveau, l’application de correctifs ou d’autres actions de la part du client. Les avis de sécurité sont publiés pour divulguer les vulnérabilités considérées comme ayant une incidence critique, élevée ou moyenne sur la sécurité.

Tous les avis de sécurité Cisco qui divulguent les vulnérabilités dont l’incidence est critique, élevée ou moyenne comprennent une option de téléchargement du contenu du CVRF (Common Vulnerability Reporting Framework). CVRF est une norme de l’industrie conçue pour rendre compte des renseignements sur les vulnérabilités dans un format lisible par machine (fichiers XML). Ce contenu lisible par la machine peut être utilisé avec d’autres outils pour automatiser le processus d’interprétation des données contenues dans un avis de sécurité. Il est possible de télécharger le contenu CVRF directement à partir de chaque avis de sécurité. Pour en savoir davantage sur le format CVRF, cliquez sur le lien mentionné précédemment.

Les avis de sécurité Cisco de type informatif couvrent des problèmes abordés dans un forum public (p. ex., un blogue ou une liste de discussions) et qui nécessitent une réponse. Des avis informatifs sont normalement publiés si une tierce partie déclare publiquement qu’un produit Cisco est vulnérable. Des avis informatifs peuvent également être utilisés de manière proactive pour prévenir les clients à propos d’un problème lié à la sécurité qui n’est pas une vulnérabilité.

Réponses aux événements Cisco

Les répliques aux événements Cisco fournissent des renseignements sur les événements de sécurité qui peuvent avoir une incidence importante sur les réseaux, applications et appareils des clients Les réponses aux événements Cisco contiennent un résumé de l’événement, une analyse de la menace et des techniques d’atténuation qui font appel à des produits Cisco. Elles font normalement l’objet d’une publication dans les cas suivants :

  • Existence d’une vulnérabilité importante dans un produit tiers susceptible d’avoir des répercussions sur un produit Cisco du fait de l’interaction avec le produit tiers ou de l’utilisation du réseau comme vecteur d’exploitation
  • En réponse aux publications groupées sur les logiciels Cisco IOS et Cisco IOS XE

Avis joints aux notes de version

Les avis joints aux notes de version sont utilisés pour faire état des problèmes présentant une faible incidence en matière de sécurité. Les clients enregistrés peuvent voir tous les ID de bogue divulgués par Cisco dans l’outil de recherche de bogue de Cisco.

Si un avis de sécurité Cisco fait référence à un bogue, l’entrée du bogue dans l’outil de recherche de bogue de Cisco fournit un lien vers l’avis de sécurité Cisco correspondant.

Pour tout bogue Cisco ayant fait l’objet d’une évaluation par l’équipe PSIRT, une section « PSIRT Evaluation » (Évaluation par l’équipe PSIRT) est incluse dans l’avis joint aux notes de version. Si Cisco le juge approprié et utile, cette nouvelle section comportera des résultats CVSS de base et temporels ainsi qu’un ID CVE. Les clients sont invités à utiliser ces renseignements supplémentaires à leur seule discrétion et à mettre en correspondance les bogues Cisco et les événements du secteur. Ces renseignements ne sont pas destinés à compléter les garanties Cisco standard applicables aux logiciels, comme stipulé dans le Contrat de licence de l’utilisateur final de Cisco.

Les clients ne bénéficieront pas de mises à jour gratuites de logiciels pour les problèmes signalés dans un avis joint aux notes de version. Les clients qui souhaitent effectuer une mise à niveau vers une version de logiciel comportant des correctifs pour résoudre les problèmes concernés doivent communiquer avec leurs partenaires d’assistance habituels. Cisco déterminera, à sa seule discrétion, toutes les exceptions relatives à la présente politique.

 

Le tableau suivant présente un récapitulatif des méthodes utilisées pour informer les clients des publications sur la sécurité mentionnées ci-dessus. Les exceptions peuvent être définies au cas par cas afin d’améliorer la communication pour un document donné.

Publication

Courriel

Portail de sécurité

RSS

CNS

API openVuln

Outil de recherche de bogue

Avis de sécurité Cisco – Gravité critique et élevée

Oui

Oui

Oui

Oui

Oui

Oui

Avis de sécurité Cisco – Gravité moyenne

Non

Oui

Oui

Oui

Oui

Oui

Avis de sécurité de Cisco – Informatif

Oui

Oui

Oui

Non

Non

Oui

Réponse aux événements Cisco

Non

Oui

Oui

Non

Non

Non

Avis joints aux notes de version

Non

Non

Non

Non

Non

Oui

Désolé, aucun résultat correspond à votre critère(s) de recherche. Veuillez réessayer.

Plan de communication

Pour que Cisco décide de divulguer des renseignements relatifs à une vulnérabilité, au moins une des conditions suivantes doit être satisfaite :

  • L’équipe PSIRT de Cisco a effectué toutes les étapes du processus de réponse aux incidents et a constaté que le nombre de correctifs logiciels ou de solutions est suffisant pour répondre à la vulnérabilité, ou une divulgation ultérieure au public est prévue pour répondre à des vulnérabilités très critiques.

  • L’équipe PSIRT de Cisco a constaté qu’une vulnérabilité était activement exploitée et pouvait par conséquent entraîner un risque accru pour les clients de Cisco. Dans ce cas, Cisco accélère la publication d’une annonce de sécurité décrivant la vulnérabilité, accompagnée ou non d’un ensemble complet de correctifs ou de solutions de contournement.

  • Il existe une augmentation du nombre de signalements d’une vulnérabilité touchant des produits Cisco et donc, un risque accru pour les clients de Cisco. Dans ce cas, Cisco accélère la publication d’une annonce de sécurité décrivant la vulnérabilité, accompagnée ou non d’un ensemble complet de correctifs ou de solutions de contournement.

Toutes les publications Cisco relatives à la sécurité sont divulguées en même temps aux clients et au public. Cisco se réserve le droit de dévier de sa stratégie de façon exceptionnelle afin de garantir l’accès aux correctifs logiciels à partir de Cisco.com.

Lors de la coordination de la divulgation avec des tierces parties, l’équipe PSIRT de Cisco s’efforce de notifier toute modification du calendrier de divulgation.

Comme décrit dans la section Recevoir des renseignements sur les vulnérabilités de sécurité de la part de Cisco du présent document, Cisco fournit des renseignements techniques de sécurité sur les correctifs logiciels des produits Cisco et transmet les mises à jour de ses produits au moyen de plusieurs canaux. Cisco se réserve le droit de dévier de sa stratégie de façon exceptionnelle afin de garantir l’accès aux correctifs logiciels à partir de Cisco.com.

Calendrier de divulgation

Logiciels CIsco IOS et Cisco IOS XE

En réponse directe aux commentaires des clients, Cisco publie ses avis de sécurité relatifs aux logiciels Cisco IOS et Cisco IOS XE à 16 h (GMT), le quatrième mercredi des mois de mars et de septembre de chaque année. Ce calendrier s’applique pour la divulgation des vulnérabilités liées aux logiciels Cisco IOS et Cisco IOS XE, mais pas pour celle des vulnérabilités détectées sur d’autres produits Cisco.

Tous les autres produits

En général, Cisco publie les avis de sécurité Cisco à 16 h (GMT) un mercredi donné.

Exceptions

Cisco se réserve le droit de publier un avis de sécurité individuel pour les logiciels Cisco IOS ou Cisco IOS XE, ou pour d’autres produits qui ne figurent pas au calendrier publié. Une publication en dehors du calendrier peut être motivée, sans s’y limiter, par les conditions suivantes :

  • Cisco constate que le public est de plus en plus conscient de l’existence d’une vulnérabilité grave.
  • Cisco s’aperçoit qu’une vulnérabilité est activement exploitée.
  • Cisco collabore avec un centre de coordination tiers pour divulguer une vulnérabilité au public


Admissibilité au service de gestion des incidents

Quel que soit l’état de leur contrat, tous les clients sont admissibles au soutien du centre d’assistance technique (TAC) de Cisco concernant les vulnérabilités de sécurité connues ou raisonnablement soupçonnées des produits et des services de Cisco. Cliquez ici pour obtenir de plus amples renseignements sur la façon de communiquer avec le TAC. Il est recommandé aux clients qui souhaitent communiquer avec le TAC de consulter l’adresse URL de la publication de Cisco sur la sécurité pour les aider à s’adresser à l’équipe de soutien appropriée.

Les clients ayant payé pour un contrat de service couvrant les interventions en cas d’incident et l’aide à l’investigation doivent effectuer leurs demandes d’aide en utilisant la méthode précisée dans leur contrat.

Cisco, à sa seule discrétion, peut offrir à ses clients des services de sécurité supplémentaires sans frais. Cisco se réserve le droit de déterminer le type et le niveau d’assistance offert gratuitement en lien avec tout incident et de cesser d’offrir son aide dans le cadre de celui-ci à tout moment.

Mises à jour de logiciels de sécurité

L’équipe PSIRT étudiera et divulguera les vulnérabilités sur les produits et services Cisco à partir du jour de la première expédition commerciale (FCS) jusqu’au dernier jour d’assistance (LDoS). Les clients de Cisco disposant d’un contrat de service leur donnant droit à des mises à jour régulières de logiciels doivent se procurer les correctifs de sécurité par l’entremise de leurs canaux habituels de mise à jour, généralement à partir du site Web du produit pertinent de Cisco. Cisco recommande de communiquer avec le centre d’assistance technique (TAC) uniquement pour des questions ou des problèmes spécifiques et urgents.

En tant que service à la clientèle spécial et pour améliorer la sécurité globale d’Internet, Cisco peut proposer aux clients des mises à jour gratuites de logiciels afin de résoudre des problèmes majeurs de sécurité. La décision de fournir des mises à jour de logiciels dépend de chaque cas. Consultez la publication sur la sécurité de Cisco pour de plus amples renseignements. Les mises à jour gratuites de logiciels seront généralement limitées aux Avis de sécurité critiques et élevés de Cisco.

Si Cisco a proposé une mise à jour gratuite de logiciel pour résoudre un problème spécifique, les clients n’ayant pas souscrit de contrat de service, mais remplissant les conditions pour bénéficier de cette mise à jour, peuvent l’obtenir en communiquant avec le centre d’assistance technique (TAC) de Cisco par l’un des moyens décrits dans la section Questions d’ordre général sur la sécurité de ce document.

Remarque :Pour vérifier leur admissibilité, les particuliers doivent se munir de l’URL correcte du document Cisco proposant cette mise à jour lorsqu’ils communiquent avec le centre d’assistance technique (TAC).

Les clients ne peuvent télécharger ou installer que les versions de logiciels et les ensembles de fonctionnalités pour lesquels ils ont acheté une licence valide et actuellement active. De même, ils ne peuvent prétendre à une assistance que pour ces logiciels et fonctionnalités. En installant, en téléchargeant, en accédant ou en utilisant de quelque manière que ce soit ces mises à jour de logiciels, les clients acceptent de respecter les conditions générales de la licence d’utilisation de logiciel Cisco. Dans la plupart des cas, cette mise à niveau d’entretien concerne un logiciel déjà acheté. Les mises à jour gratuites de logiciels de sécurité n’offrent pas aux clients le droit à une nouvelle licence d’utilisation de logiciel, à un ensemble supplémentaire de fonctionnalités de logiciels ou à des mises à niveau de révision majeure.

Après la fin de la vente (EoS), la disponibilité des correctifs de sécurité pour les vulnérabilités est définie dans le bulletin EoS du produit. (Consultez la Politique de fin de vie pour de plus amples renseignements.) Le bulletin de fin de commercialisation définit une ou plusieurs des étapes suivantes :

  • L’étape Fin de maintenance du logiciel représente le dernier jour où Cisco peut publier une version de maintenance logicielle comprenant des correctifs de sécurité.
  • L’étape Fin des correctifs de sécurité représente le dernier jour où Cisco peut fournir une assistance pour corriger les vulnérabilités de sécurité.

Remarque : Si l’étape Fin des correctifs de sécurité n’est pas définie, la date de l’étape Fin de maintenance du logiciel détermine le dernier jour où Cisco fournira les correctifs pour les vulnérabilités. Si la fin de l’étape de maintenance du logiciel n’est pas définie, Cisco fournira des correctifs de sécurité pour les vulnérabilités jusqu’à un an après la date de vente.

Cisco n’étudie pas et ne confirme pas les rapports d’une faille de sécurité potentielle dans les produits qui ont déjà franchi les étapes de fin de commercialisation décrites ci-dessus.

Conventions et conditions sur l’avis de sécurité

Disponibilité de la version de l’arrangement : si une date de version future est indiquée pour le logiciel, la date fournie représente une estimation basée sur toutes les informations connues de Cisco à la date de la dernière mise à jour indiquée au haut de l’avis. Les dates de disponibilité peuvent être modifiées en fonction d’un certain nombre de facteurs, y compris les résultats de tests satisfaisants et la livraison d’autres fonctionnalités et correctifs prioritaires. Si aucune version ni aucune date n’est indiquée pour un composant affecté (indiqué par un champ vide et/ou une désignation de notification provisoire), Cisco continuera d’évaluer le correctif et mettra à jour l’avis à mesure que des informations complémentaires sont accessibles. Une fois que l’avis est comme final, les clients doivent se référer aux bogues Cisco associés pour obtenir plus d’informations.

Intermédiaire : étude de Cisco en cours Cisco publiera des révisions dans cet avis lorsque des informations complémentaires, y compris des données sur la version de l’arrangement du logiciel, seront accessibles.

Final : Cisco a terminé son évaluation de la vulnérabilité décrite dans l’avis. Il n’y aura plus de mises à jour, à moins qu’il y ait un changement important dans la nature de la vulnérabilité.

Tous les aspects de ce processus sont susceptibles d’être modifiés sans préavis et au cas par cas. Aucun niveau de réponse particulier n’est garanti pour un problème ou une catégorie de problèmes spécifiques.

 

Définitions

Pour les besoins de la présente Politique, les définitions suivantes sont utilisées :

Désolé, aucun résultat correspond à votre critère(s) de recherche. Veuillez réessayer.

Dernière mise à jour : 30 juillet 2020

Ce document fait partie du portail de sécurité Cisco. Les renseignements officiels figurant sur le portail de sécurité Cisco sont en anglais uniquement.

Ce document est fourni tel quel et n’implique aucune sorte de garantie, notamment les garanties de valeur marchande ou d’adéquation à une utilisation particulière. Votre utilisation des renseignements cités dans ce document ou dans les ressources connexes engage votre seule responsabilité. Cisco se réserve le droit de modifier ou de mettre à jour ce document sans préavis et à tout moment.

Politique de référence interne : politique relative aux vulnérabilités de sécurité, EDCS-19443599

Fonction propriétaire : équipe PSIRT de Cisco


© Cisco et/ou ses sociétés affiliées, 2020. Tous droits réservés. Ceci est un document public de Cisco.

Retour en haut de la page