Politique relative aux vulnérabilités de sécurité
Si vous êtes confronté(e) à une vulnérabilité de sécurité nécessitant une intervention d’urgence, consultez la section Signaler une vulnérabilité de sécurité présumée ou obtenir une assistance du présent document.
Sommaire
- Objectif
- Politique
- Réponse aux incidents liés à la sécurité des produits Cisco
- Signaler une vulnérabilité de sécurité présumée ou obtenir une assistance
- Questions d’ordre général sur la sécurité
- Recevoir des renseignements sur les vulnérabilités de sécurité de la part de Cisco
- Contacts presse ou relations publiques pour toutes les questions concernant les renseignements sur les vulnérabilités de sécurité Cisco
- Engagement de Cisco envers la sécurité et l’intégrité des produits
- Processus de gestion des incidents liés à la sécurité des produits Cisco
- Divulgation de vulnérabilités découvertes dans le cadre de la prestation des services Cisco
- Évaluation des risques de sécurité – Système commun de notation des vulnérabilités et évaluation de l’incidence sur la sécurité
- Cisco Cloud-Hosted Services
- Vulnérabilités de logiciels tiers
- Types de publications sur la sécurité
- Plan de communication
- Calendrier de divulgation
- Assistance à la gestion des incidents
- Mises à jour de logiciels de sécurité
- Programmes Bug Bounty de Cisco
- Évaluation des risques de sécurité – Système commun de notation des vulnérabilités et évaluation de l’incidence sur la sécurité
Objectif
Cette politique vise à guider et informer les clients Cisco en cas de signalement d’une vulnérabilité dans un produit Cisco ou un service sur le nuage. Elle veille à ce que les clients Cisco disposent d’une ressource uniforme et non ambiguë qui peut les aider à comprendre comment Cisco intervient lorsque surviennent des événements de cette nature.
Politiques
Cette politique indique clairement comment Cisco résout les vulnérabilités de sécurité pour les produits et services sur le nuage de Cisco, y compris la chronologie, les actions et les responsabilités qui s’appliquent à tous les clients.
Gestion des incidents liés à la sécurité des produits Cisco
La gestion des incidents liés à la sécurité des produits Cisco est la responsabilité de l’équipe PSIRT (Product Security Incident Response Team, équipe de gestion des incidents liés à la sécurité des produits) de Cisco. L’équipe PSIRT de Cisco est une équipe mondiale dédiée, responsable de la réception, de l’étude et de la divulgation au public des renseignements sur les vulnérabilités de sécurité et les problèmes affectant les produits et services de Cisco. Cisco définit une faille de sécurité comme une faiblesse dans la logique de calcul (par exemple, un code), trouvée dans les composants logiciels et matériels qui, lorsqu’elle est exploitée, a une incidence négative sur la confidentialité, l’intégrité ou la disponibilité. Cisco se réserve le droit de s’écarter de cette définition en fonction de circonstances spécifiques. L’équipe chargée de traiter les incidents liés à la sécurité des produits (PSIRT) de Cisco adhère à la norme ISO/IEC 29147:2018, qui représente des directives pour la divulgation des vulnérabilités potentielles établies par l’Organisation internationale de normalisation.
L’assistance de l’équipe PSIRT de Cisco travaille pour répondre aux demandes des clients de Cisco, des chercheurs en sécurité indépendants, des conseillers, des associations du secteur et d’autres fournisseurs afin de détecter les vulnérabilités et les problèmes de sécurité potentiels des produits et réseaux Cisco.
Signaler une vulnérabilité de sécurité présumée ou obtenir une assistance
Nous encourageons vivement les particuliers et les entreprises confrontés à un problème de sécurité sur un produit à le signaler à l’équipe PSIRT de Cisco. Tous les signalements sont les bienvenus, qu’ils proviennent de chercheurs indépendants, d’entreprises du secteur, de fournisseurs, de clients ou de toute autre source concernée par la sécurité des produits et des réseaux. Au minimum, une description de la vulnérabilité potentielle est nécessaire pour signaler un problème de sécurité.
Pour communiquer avec l’équipe PSIRT de Cisco, veuillez utiliser l’une des méthodes suivantes :
Approche principale : La méthode la plus efficace pour joindre l’équipe PSIRT de Cisco consiste à envoyer un courriel à l’adresse psirt@cisco.com. Dans le courriel, veuillez fournir une description détaillée du problème et inclure tous les renseignements et les enregistrements pertinents.
Par ailleurs, vous pouvez communiquer avec l’équipe PSIRT de Cisco aux numéros de téléphone suivants :
- +1 877 228-7302 (numéro sans frais en Amérique du Nord)
- +1 408 525-6532 (appel international direct)
Ces numéros sont acheminés au service d’assistance client international de Cisco. Pour faciliter l’intervention, veuillez expliquer qu’il s’agit d’un problème de sécurité de produit ou, alors, veuillez indiquer le code de recherche PSIRT-SVP-001.
Cisco encourage ses clients à crypter les renseignements sensibles qu’ils lui transmettent par courriel. L’équipe PSIRT de Cisco prend en charge les messages chiffrés par l’entremise des logiciels de chiffrement Pretty Good Privacy (PGP)/GNU Privacy Guard (GPG). La clé publique Cisco PSIRT est disponible à l’adresse suivante : https://cscrdr.cloudapps.cisco.com/cscrdr/security/center/files/Cisco_PSIRT_PGP_Public_Key.asc.
Remarque : Cisco prend en charge un fichier security.txt conforme à la RFC 9116, situé à l’adresse https://www.cisco.com/.well-known/security.txt.
Questions d’ordre général sur la sécurité
Pour les questions générales relatives à la sécurité des produits et des services sur le nuage de Cisco, le centre d’assistance technique (TAC) de Cisco peut vous aider à effectuer les configurations et offrir une assistance technique. En outre, le TAC de Cisco peut vous aider à résoudre les incidents de sécurité non sensibles et à effectuer les mises à niveau logicielles en vue d’obtenir des corrections de bogues de sécurité. Pour communiquer avec l’équipe TAC de Cisco, veuillez utiliser l’une des méthodes suivantes :
| Assistance du TAC de Cisco | ||
| Téléphone | +1 800 553-2447 (numéro sans frais en Amérique du Nord) +1 408 526-7209 (appel international direct) Autres numéros du TAC : contacts de service à la clientèle |
|
| Courriel | https://mycase.cloudapps.cisco.com/start | |
| Heures | 24 heures sur 24, 7 jours sur 7 |
Désolé, aucun résultat correspond à votre critère(s) de recherche. Veuillez réessayer.
Recevoir des renseignements sur les vulnérabilités de sécurité de la part de Cisco
Cisco vous tient informé(e) de différentes façons des dernières vulnérabilités de sécurité identifiées. Les clients devraient consulter le tableau ainsi que les résumés suivants, afin d’identifier l’option qui leur est appropriée.
| Cisco.com | https://www.cisco.com/security/ |
| Courriel | cust-security-announce@cisco.com |
| RSS | https://sec.cloudapps.cisco.com/security/center/rss.x?i=44 |
| API openVuln de l’équipe PSIRT de Cisco | https://developer.cisco.com/site/PSIRT/ |
| Mes notifications | https://www.cisco.com/c/en/us/support/web/tools/cns/notifications.html |
Désolé, aucun résultat correspond à votre critère(s) de recherche. Veuillez réessayer.
Cisco.com
Le portail de sécurité Cisco sur Cisco.com fournit des documents sur les vulnérabilités de sécurité de Cisco et des renseignements sur sa sécurité, y compris les produits et services de sécurité adéquats.
Les liens directs vers les fonctions de sécurité particulières sont fournis à la section Types de publications sur la sécurité du présent document.
Courriel
Les avis de sécurité de Cisco fournissent des renseignements sur les failles de sécurité de gravité critique, élevée et moyenne. Ils sont chiffrés avec la clé publique PGD de Cisco PSIRT et distribués à la liste d’envoi externe cust-security-announce@cisco.com. L’équipe PSIRT de Cisco peut également envoyer des avis informatifs à la liste d’envoi cust-security-announce. Les avis informatifs ne sont pas utilisés comme un mécanisme de divulgation d’une vulnérabilité de Cisco, mais plutôt comme une méthode pour partager des renseignements sur les incidents, qui peuvent avoir des répercussions sur les produits Cisco et qui peuvent intéresser les clients de Cisco.
Des courriels sont envoyés pour la version initiale et les révisions majeures des avis de sécurité Cisco. Une révision majeure est définie comme une modification importante au contenu informatif, qui pourrait permettre au client de traiter la vulnérabilité de façon différente. Les exemples de modifications importantes d’avis comprennent, entre autres, les modifications à la liste des produits touchés, les modifications de l’évaluation de l’impact de sécurité (SIR; consultez la section Évaluation des risques de sécurité – Système d’évaluation des vulnérabilités courantes et l’évaluation de l’impact de sécurité de ce document) et les changements sur les mesures d’atténuation et de correction des renseignements. En cas de révision mineure d’un document, la mise à jour est publiée sur Cisco.com sans courriel d’accompagnement. Les clients souhaitant être prévenus par alerte automatique des révisions mineures doivent s’abonner au flux RSS des avis de sécurité Cisco ou au service Mes notifications. Tous les avis de sécurité sur Cisco.com sont affichés par ordre chronologique, les avis les plus récents et les dernières mises à jour figurant en début de page.
Pour s’abonner à cette liste d’envoi, veuillez envoyer un courriel à l’adresse cust-security-announce-join@cisco.com. (Le contenu du message importe peu.) Vous recevrez une confirmation, ainsi que des instructions et une liste des conditions générales.
Remarque : Les demandes doivent être envoyées à cust-security-announce-join@cisco.com et non à la liste cust-security-announce@cisco.com elle-même.
Pour vous désabonner de cette liste d’envoi, veuillez envoyer un courriel à l’adresse cust-security-announce-leave@cisco.com en indiquant « désabonnement » dans la ligne d’objet de votre message. (Le contenu du message importe peu.) Vous recevrez un avis de confirmation, auquel vous devrez répondre pour vous désabonner. Vous ne serez pas désabonné tant que vous n’aurez pas répondu au courriel de confirmation.
Veuillez noter que les demandes d’abonnement doivent être envoyées à cust-security-announce-join@cisco.com, et celles de désabonnement doivent être envoyées à cust-security-announce-leave@cisco.com et non à cust-security-announce@cisco.com elle-même.
Vous devez envoyer les messages à partir du compte que vous souhaitez abonner ou désabonner de la liste.
Les clients peuvent également demander leur abonnement ou leur désabonnement à la liste d’envoi cust-security-announce en envoyant un courriel à psirt@cisco.com.
Flux RSS
Les renseignements sur les vulnérabilités de sécurité fournis par Cisco sont également accessibles par l’entremise des flux RSS figurant sur le site Cisco.com. Ces flux sont gratuits et il n’est pas nécessaire d’être inscrit sur Cisco.com pour y accéder. Pour savoir comment vous abonner aux flux RSS, consultez la page Flux RSS sur la sécurité de Cisco.
API OpenVuln de l’équipe PSIRT de Cisco
L’API openVuln de l’équipe PSIRT de Cisco est un API qui suit les principes de l’architecture REST (representational state transfer) permettant aux clients d’obtenir des renseignements sur les failles de sécurité fournis par Cisco dans différents formats lisibles par machine. Pour savoir comment accéder à l’API et s’en servir, consultez la page de l’équipe PSIRT sur le site Web de Cisco DevNet.
Mes notifications
Le site Web Mes notifications permet aux utilisateurs de Cisco.com de s’abonner et de recevoir des renseignements importants concernant les produits et la technologie Cisco, y compris des avis de sécurité Cisco. Ce service offre une expérience d’abonnement unifiée optimisée qui permet aux utilisateurs de choisir les horaires de notification, ainsi que la méthode d’envoi des notifications (par courriel ou flux RSS). Le niveau d’accès est déterminé en fonction de la relation entre Cisco et l’abonné.
Création d’un avis
Pour créer une notification, procédez comme suit :
- Connectez-vous au site Web du service Mes notifications sur Cisco.com en utilisant votre identifiant et votre mot de passe Cisco.com.
- Cliquez sur le bouton Add Notification (ajouter une notification) et suivez les instructions.
Contacts presse ou relations publiques pour toutes les questions concernant les renseignements sur les vulnérabilités de sécurité Cisco
Le tableau suivant montre les coordonnées du service de presse de Cisco pour les renseignements sur les vulnérabilités de sécurité Cisco.
| Contacts presse | |
| Michael Ricketts | Courriel : micricke@cisco.com Téléphone : + 1 919 392-2756 |
| Relations publiques supplémentaires | media_pr@cisco.com |
Désolé, aucun résultat correspond à votre critère(s) de recherche. Veuillez réessayer.
Engagement de Cisco envers la sécurité et l’intégrité des produits
Cisco adopte des pratiques de développement de produits qui interdisent expressément les comportements intentionnels ou les fonctionnalités de produits visant à permettre un accès non autorisé aux appareils ou aux réseaux, la divulgation de renseignements confidentiels sur un appareil ou le contournement des restrictions ou fonctionnalités de sécurité. Citons, entre autres :
- les méthodes d’accès cachées des périphériques ou les « portes dérobées »,
- les identifiants de compte codés en dur ou non documentés,
- les canaux cachés de communication,
- un détournement du trafic non documenté.
Cisco considère que de telles pratiques sur les produits représentent des vulnérabilités graves. Cisco accorde une grande importance à tout problème de cet ordre et encourage toutes les parties à signaler toute vulnérabilité présumée à l’équipe PSIRT de Cisco pour une étude immédiate. Les rapports internes et externes de ces vulnérabilités seront gérés et divulgués conformément aux modalités de la Politique de vulnérabilité de sécurité de Cisco.
Vous trouverez plus de renseignements sur le site Web de Cisco Secure Development Lifecycle (CSDL).
Processus de gestion des incidents liés à la sécurité des produits Cisco
La figure 1 illustre le cycle de vie des vulnérabilités et le processus de divulgation et de résolution des incidents Cisco PSIRT à un niveau supérieur.
Figure 1. Processus de gestion des incidents liés à la sécurité des produits Cisco
Voici les étapes du processus illustré dans la figure 1 :
- Reconnaissance : l’équipe PSIRT est prévenue de l’incident de sécurité.
- Gestion active : l’équipe PSIRT définit des priorités et identifie des ressources.
- Solution apportée au logiciel : l’équipe PSIRT coordonne l’évaluation des correctifs et des incidences.
- Notification client : l’équipe PSIRT avise simultanément tous les clients.
L’équipe PSIRT de Cisco étudie tous les rapports sans tenir compte de la version de code du logiciel Cisco concerné ou de son cycle de vie jusqu’au Last Day of Support (LDoS). Les problèmes sont hiérarchisés selon la gravité potentielle de la vulnérabilité et d’autres facteurs environnementaux. Enfin, la résolution de l’incident signalé pourrait nécessiter des mises à niveau vers des produits ou services sur le nuage bénéficiant d’une assistance active de la part de Cisco. À titre de meilleure pratique, Cisco recommande fortement aux clients de vérifier périodiquement que leurs produits bénéficient d’un support actif pour avoir accès aux dernières mises à jour logicielles et à d’autres avantages.
Tout au long du processus d’enquête, l’équipe PSIRT de Cisco s’efforce de collaborer avec la source du rapport (la personne ayant signalé l’incident) afin de confirmer la nature de la vulnérabilité, de recueillir les renseignements techniques nécessaires et d’établir les mesures correctives adéquates. Une fois l’étude initiale terminée, les résultats sont transmis à la personne ayant signalé l’incident avec un plan de résolution et divulgation au public. Si la personne ayant signalé l’incident n’est pas d’accord avec les conclusions, l’équipe PSIRT de Cisco fera tout le nécessaire pour répondre à ses attentes.
Si aucun accord ne peut être établi par voie normale, la personne signalant l’incident a la possibilité de faire remonter ce dernier au directeur de l’équipe PSIRT mondiale de Cisco en communiquant avec le centre d’assistance technique (TAC) de Cisco.
Pendant une étude, l’équipe PSIRT de Cisco gère tous les renseignements sensibles avec un maximum de confidentialité. La diffusion en interne est limitée aux personnes ayant un besoin légitime d’être informées et capables d’aider de manière active à la résolution. De même, l’équipe PSIRT de Cisco demande aux personnes signalant les incidents d’appliquer des règles de confidentialité strictes tant que des résolutions complètes n’ont pas été mises à la disposition des clients et qu’elles n’ont pas fait l’objet d’une publication par l’équipe PSIRT sur le site Web de Cisco par l’entremise de la méthode de divulgation coordonnée adéquate.
Avec l’accord de la personne signalant l’incident, l’équipe PSIRT de Cisco peut citer cette dernière pour sa contribution lors de la divulgation au public de la vulnérabilité.
L’équipe PSIRT de Cisco fonctionne avec des centres de coordination tiers comme le centre de coordination de l’équipe d’intervention en urgence informatique (CERT/CC), l’équipe d’intervention d’urgence informatique de la Finlande (CERT-FI), l’équipe d’intervention d’urgence informatique au Japon (JP-CERT), et l’autorité nationale de sécurité (NPSA), pour gérer une divulgation coordonnées, auprès secteur, des vulnérabilités signalées à Cisco pouvant avoir une incidence sur plusieurs fournisseurs (par exemple, un problème de protocole générique). Dans ce cas, l’équipe PSIRT de Cisco peut soit aider la personne signalant l’incident à communiquer avec le centre de coordination, soit communiquer avec ce dernier en son nom.
Lorsqu’une vulnérabilité concernant un produit de fournisseur tiers est signalée à l’équipe PSIRT de Cisco, celle-ci en informe directement ledit fournisseur et peut soit se charger de la coordination avec la personne signalant l’incident, soit faire appel à un centre de coordination tiers.
L’équipe PSIRT de Cisco assure la coordination avec la personne signalant l’incident pour déterminer la fréquence des mises à jour de l’état de l’incident et de la documentation.
Si Cisco prend connaissance d’une vulnérabilité qui ne concerne pas un produit Cisco, mais un produit de fournisseur tiers, Cisco suivra sa politique de signalement des vulnérabilités aux fournisseurs.
Divulgation de vulnérabilités découvertes dans le cadre de la prestation des services Cisco
Si une vulnérabilité nouvelle ou jusqu’alors non déclarée est découverte au moment d’offrir des services à un client, Cisco suivra le Processus de gestion des incidents liés à la sécurité des produits Cisco. Les vulnérabilités trouvées dans les produits et services sur le nuage de Cisco seront traitées par l’équipe PSIRT de Cisco, conformément à la Politique relative aux failles de sécurité de Cisco. Si la vulnérabilité provient du produit d’un autre fournisseur, Cisco suivra la Politique de divulgation et de production de rapports sur les vulnérabilités à l’intention des fournisseurs, sauf si le client touché souhaite informer le fournisseur directement. Dans ce cas, Cisco le mettra en contact avec le fournisseur et informera CERT/CC (ou le fournisseur équivalent à l’échelle nationale).
Cisco protégera les données propres au client tout au long du processus. Plus précisément, Cisco ne fera part d’aucune donnée propre à un client, à moins d’indication contraire du client en question, ou si une enquête judiciaire est nécessaire.
Évaluation des risques de sécurité — Système commun de notation des vulnérabilités et Évaluation de l’incidence sur la sécurité
Cisco utilise la version 3.1 du système de notation CVSS(Système commun de notation des vulnérabilités) dans le cadre de son processus standard d’évaluation des vulnérabilités potentielles, qui n’ont pas de CVE, signalées sur les produits Cisco. Le modèle CVSS utilise trois mesures (ou résultats) différentes : la mesure de base, la mesure temporelle et la mesure environnementale. Cisco évalue la vulnérabilité par rapport aux mesures de base et fournit, dans certains cas, un résultat de vulnérabilité temporel. Cisco encourage les utilisateurs finaux à calculer la part environnementale en fonction des paramètres de leur réseau. La combinaison des trois composantes constitue le résultat final qui représente une évaluation de la vulnérabilité à un moment précis dans un environnement spécifique. Nous recommandons aux entreprises de partir de ce résultat pour définir la priorité des réponses à apporter dans l’environnement qui leur est propre.
Remarque : Cisco a commencé sa transition vers la version 3.1 du CVSS (CVSSv3.1) en mai 2020.
En plus des résultats du CVSS, Cisco utilise le système d’évaluation de l’incidence sur la sécurité (Security Impact Rating, SIR) pour faciliter la classification de la gravité des vulnérabilités. Le système SIR se réfère au résultat de base de l’échelle de notation de la gravité qualitative du CVSS, lequel est ajusté par l’équipe PSIRT afin de prendre en compte les variables propres à Cisco. Ce résultat sera intégré dans chaque avis de sécurité Cisco. Cisco utilise les lignes directrices suivantes pour déterminer le type d’avis de sécurité Cisco pour les vulnérabilités dans les logiciels développés par Cisco et gérés par les clients. Les avis de sécurité dont l’incidence est critique, élevée ou moyenne, comprennent des renseignements logiciels corrigés.
| Publication | Type | CVSS | CVE | Renseignements sur le correctif | Format lisible par machine |
| Avis de sécurité Cisco | Critique | 9,0 à 10,0 | Oui | Information sur le correctif dans l’avis de sécurité et le bogue. Des renseignements détaillés sur les correctifs pour Cisco IOS, IOS XE, NX-OS, Adaptive Security Appliance (ASA), Firepower Threat Defense (FTD) et Firepower Management Center (FMC) sont disponibles à l’aide du Cisco Software Checker. |
RSS, CSAF |
| Élevé | 7,0 à 8,9 | Oui | Information sur le correctif dans l’avis de sécurité et le bogue. Des renseignements détaillés sur les correctifs pour les logiciels Cisco IOS, IOS XE, NX-OS, sur l’appareil ASA, Firepower Threat Defense (FTD) et Cisco FMC peuvent être obtenues à l’aide du Software Checker de Cisco. |
RSS, CSAF | |
| Moyen | 4,0 à 6,9 | Oui | Information sur le correctif dans l’avis de sécurité et le bogue. Des renseignements détaillés sur les correctifs pour les logiciels Cisco IOS, IOS XE, NX-OS, sur l’appareil ASA, Firepower Threat Defense (FTD) et Cisco FMC peuvent être obtenues à l’aide du Software Checker de Cisco. |
RSS, CSAF | |
| Information | s.o. | Non | Information sur le correctif dans le bogue (le cas échéant). | RSS |
Désolé, aucun résultat correspond à votre critère(s) de recherche. Veuillez réessayer.
Les problèmes dont l’incidence est faible sont généralement publiés comme un avis joint aux notes de version, non comme un avis de sécurité.
Cisco se réserve le droit de s’écarter de ces lignes directrices, dans des cas précis, si d’autres facteurs ne sont pas saisis correctement dans le résultat du CVSS.
Si un problème de sécurité se présente dans le composant d’un logiciel tiers qui est utilisé dans un produit Cisco, Cisco utilise généralement le résultat CVSS fourni par le concepteur du composant. Dans certains cas, Cisco peut ajuster le résultat CVSS afin de refléter ses incidences sur les produits Cisco.
Remarque : Cisco est une autorité de numérotation des Common Vulnerabilities and Exposures (CVE) et attribuera des identifiants CVE aux vulnérabilités des logiciels Cisco, à partir du bloc MITRE d’identifiants attribués à l’entreprise à cette fin. Cisco n’attribue pas d’identifiants CVE aux vulnérabilités signalées, tant qu’elle ne les as pas confirmées. Une fois les vulnérabilités publiées, Cisco fournit les détails CVE à MITRE pour les inclure dans sa base de données.
Pour en savoir davantage sur CVSS, rendez-vous sur FIRST.org.
Cisco Cloud-Hosted Services
Cisco offre plusieurs services sur le nuage qui sont utilisés par les clients, mais qui sont entretenus, corrigés et supervisés par Cisco.
L’équipe PSIRT de Cisco répond aux vulnérabilités des services Cisco sur le nuage et travaille en étroite collaboration avec les équipes qui les exploitent. Ces équipes veillent à ce que les vulnérabilités de sécurité soient corrigées et que les correctifs soient déployés sur toutes les instances des clients en temps opportun.
En règle générale, les événements de sécurité liés au service sont communiqués aux clients par les équipes du service, au moyen de notifications directes ou par l’intermédiaire du tableau de bord ou du portail du service. Dans certains cas, Cisco peut divulguer des vulnérabilités par le biais d’avis de sécurité s’appliquant aux services sur le nuage de Cisco, en coordination avec les équipes du service.
Dans la plupart des cas, aucune action de l’utilisateur n’est requise, car Cisco corrige régulièrement les services hébergés sur le nuage.
Vulnérabilités de logiciels tiers
Si une vulnérabilité se présente dans le composant d’un logiciel tiers qui est utilisé dans un produit Cisco, Cisco utilise généralement le résultat CVSS fourni par le concepteur du composant. Cisco peut ajuster le résultat CVSS afin de refléter ses incidences sur les produits Cisco.
Cisco jugera qu’une vulnérabilité d’un fournisseur tiers est à haute visibilité lorsqu’elle correspond aux critères suivants :
- Cette vulnérabilité est présente dans un composant d’un fournisseur tiers.
- Plusieurs produits ou services sur le nuage Cisco sont visés.
- Le résultat CVSS est supérieur ou égal à 5,0.
- La vulnérabilité a suscité une attention considérable auprès du public.
- Une faille risque d’affecter la sécurité, et on s’attend à ce que cette vulnérabilité soit exploitée, si elle ne l’est pas déjà.
Pour les vulnérabilités tierces très médiatisées, Cisco commencera à évaluer tous les produits et services hébergés dans le nuage potentiellement concernés qui n’ont pas atteint le niveau LDoS et publiera un avis de sécurité dans les 24 heures suivant la classification de la vulnérabilité comme très médiatisée par Cisco. Tous les produits et services sur le nuage de Cisco que l’on sait visés seront décrits en détail dans une mise à jour du premier avis de sécurité, qui sera publiée dans les 7 jours suivant première divulgation. Un avis de bogue sera créé par Cisco pour chaque produit vulnérable, afin que les clients inscrits puissent les voir sur la boîte à outils de recherche de bogues de Cisco. Les vulnérabilités de fournisseurs tiers qui ne sont pas classifiées comme à haute visibilité seront publiées dans un avis joint aux mises à jour.
Référentiel de vulnérabilités de Cisco
Le Répertoire des vulnérabilités de Cisco (CVR) est un moteur de recherche de vulnérabilités pour les CVE signalés après 2017 et qui peuvent avoir une incidence sur les produits Cisco. Le CVR peut aider les clients à comprendre si leur produit Cisco est touché par la vulnérabilité d’un logiciel tiers en particulier. Cet outil affiche également les avis de sécurité de Cisco associés à un CVE. Pour le moment, CVR n’inclut pas les offres Cisco sur le nuage. Pour obtenir de l’aide avec un produit non répertorié dans cet outil, veuillez utiliser le lien Commentaires sur la page CVR ou communiquer avec votre organisme d’assistance.
Exploitabilité de la vulnérabilité eXchange
Les clients peuvent demander un document Vulnerability Exploitability eXchange (VEX) pour n’importe quel CVE dans CVR.
Types de publications sur la sécurité
Dans toutes ses publications sur la sécurité, Cisco s’attache à divulguer les renseignements nécessaires à un utilisateur final pour évaluer l’incidence d’une vulnérabilité, ainsi que les étapes potentiellement nécessaires à la protection de son environnement. Cisco veille à ne fournir aucun détail susceptible de permettre à un individu d’exploiter une vulnérabilité. Les avis de sécurité de Cisco sont des documents ponctuels. Les renseignements ne devraient être considérées comme à jour qu’à la date et à l’heure de la dernière mise à jour de publication, comme indiqué dans le champ « Dernière mise à jour » dans l’en-tête des avis.
Cisco fournit les types de publications suivants relatifs à la sécurité sur le portail de sécurité Cisco de Cisco.com.
Avis de sécurité Cisco
Les avis de sécurité Cisco fournissent des renseignements détaillés sur les problèmes de sécurité qui touchent directement les produits et services sur le nuage de Cisco et requièrent une mise à niveau, l’application de correctifs ou d’autres actions de la part du client. Les avis de sécurité sont utilisés pour divulguer les vulnérabilités d’un logiciel créé par Cisco ou d’un logiciel tiers à haute visibilité avec une balise SIR Critique, Élevé ou Moyen. L’outil PSIRT de Cisco valide uniquement les renseignements enregistrés concernant la version concernée et corrigée dans l’avis.
Tous les avis de sécurité Cisco qui divulguent des vulnérabilités avec un indice SIR critique, élevé ou moyen incluent une option permettant de télécharger le contenu du Common Security Advisory Framework (CSAF). Le CSAF est une norme de l’industrie conçue pour rendre compte des renseignements sur les vulnérabilités dans un format lisible par machines. Ce contenu lisible par la machine peut être utilisé avec d’autres outils pour automatiser le processus d’interprétation des données contenues dans un avis de sécurité. Il est possible de télécharger le contenu du CSAF directement à partir de chaque avis de sécurité. Pour en savoir davantage sur le CSAF, cliquez sur le lien mentionné précédemment.
Les avis de sécurité Cisco de type informatif couvrent des problèmes abordés dans un forum public (p. ex., un blogue ou une liste de discussions) et qui nécessitent une réponse. Des avis informatifs sont normalement publiés si une tierce partie déclare publiquement qu’un produit Cisco est vulnérable. Des avis informatifs peuvent également être utilisés de manière proactive pour prévenir les clients à propos d’un problème lié à la sécurité qui n’est pas une vulnérabilité.
Réponses aux événements Cisco
Les répliques aux événements Cisco fournissent des renseignements sur les événements de sécurité qui peuvent avoir une incidence importante sur les réseaux, applications et appareils des clients Les réponses aux événements Cisco contiennent un résumé de l’événement, une analyse de la menace et des techniques d’atténuation qui font appel à des produits et services sur le nuage de Cisco. Elles font normalement l’objet d’une publication dans les cas suivants :
- Existence d’une vulnérabilité importante dans un produit tiers susceptible d’avoir des répercussions sur un produit Cisco du fait de l’interaction avec le produit tiers ou de l’utilisation du réseau comme vecteur d’exploitation
- En réponse à la sortie de Cisco IOS et IOS XE, Cisco IOS XR, Cisco NX-OS et Cisco ASA, FTD et FMC Software ont publié des publications groupées.
Avis joints aux notes de version
Les avis joints aux notes de mise à jour sont utilisées pour divulguer les problèmes ayant un SIR faible et la plupart des vulnérabilités logicielles tierces. Les clients enregistrés peuvent voir tous les ID de bogue divulgués par Cisco dans l’outil de recherche de bogue de Cisco.
Si un avis de sécurité Cisco fait référence à un bogue, l’entrée du bogue dans l’outil de recherche de bogue de Cisco fournit un lien vers l’avis de sécurité Cisco correspondant.
Pour tout bogue Cisco ayant fait l’objet d’une évaluation par l’équipe PSIRT, une section « PSIRT Evaluation » (Évaluation par l’équipe PSIRT) est incluse dans l’avis joint aux notes de version. Cette section comprend, lorsque Cisco le juge approprié et pertinent, les scores CVSS de base et temporaires ainsi qu’un identifiant CVE. Les clients sont invités à utiliser ces renseignements supplémentaires à leur seule discrétion et à mettre en correspondance les bogues Cisco et les événements du secteur. Ces renseignements ne sont pas destinés à compléter les garanties Cisco standard applicables aux logiciels, comme stipulé dans le Contrat de licence de l’utilisateur final de Cisco.
Les clients ne bénéficieront pas de mises à jour gratuites de logiciels pour les problèmes signalés dans un avis joint aux notes de version. Les clients qui souhaitent effectuer une mise à niveau vers une version de logiciel comportant des correctifs pour résoudre les problèmes concernés doivent communiquer avec leurs partenaires d’assistance habituels. Cisco déterminera, à sa seule discrétion, toutes les exceptions relatives à la présente politique.
Le tableau suivant présente un récapitulatif des méthodes utilisées pour informer les clients des publications sur la sécurité mentionnées ci-dessus. Les exceptions peuvent être définies au cas par cas afin d’améliorer la communication pour un document donné.
| Publication | Courriel | Portail de sécurité | RSS | CNS | API openVuln | Outil de recherche de bogue |
|---|---|---|---|---|---|---|
| Avis de sécurité Cisco – Gravité critique et élevée | Oui
|
Oui
|
Oui
|
Oui
|
Oui
|
Oui
|
| Avis de sécurité Cisco – Gravité moyenne | Oui
|
Oui
|
Oui
|
Oui
|
Oui
|
Oui
|
| Avis de sécurité Cisco – Information | Oui
|
Oui
|
Oui
|
Non
|
Non
|
Oui
|
| Réponse aux événements Cisco | Non
|
Oui
|
Oui
|
Non
|
Non
|
Non
|
| Avis joints aux notes de version | Non
|
Non
|
Non
|
Non
|
Non
|
Oui
|
Désolé, aucun résultat correspond à votre critère(s) de recherche. Veuillez réessayer.
Plan de communication
Pour que Cisco décide de divulguer des renseignements relatifs à une vulnérabilité, au moins une des conditions suivantes doit être satisfaite :
L’équipe PSIRT de Cisco a effectué toutes les étapes du processus de réponse aux incidents et a constaté que le nombre de correctifs logiciels ou de solutions est suffisant pour répondre à la vulnérabilité, ou une divulgation ultérieure au public est prévue pour répondre à des vulnérabilités très critiques.
L’équipe PSIRT de Cisco a constaté qu’une vulnérabilité était activement exploitée et pouvait par conséquent entraîner un risque accru pour les clients de Cisco. Cisco accélère la publication d’une annonce de sécurité décrivant la vulnérabilité, accompagnée ou non d’un ensemble complet de correctifs ou de solutions de contournement.
Il existe une augmentation du nombre de signalements d’une vulnérabilité touchant des produits ou services sur le nuage de Cisco et donc, un risque accru pour les clients de Cisco. Cisco accélère la publication d’une annonce de sécurité décrivant la vulnérabilité, accompagnée ou non d’un ensemble complet de correctifs ou de solutions de contournement.
Le PSIRT de Cisco a déclaré qu’une vulnérabilité de logiciel tiers était de « haute importance ».
Toutes les publications Cisco relatives à la sécurité sont divulguées en même temps aux clients et au public.
Lors de la coordination de la divulgation avec des tierces parties, l’équipe PSIRT de Cisco s’efforce de notifier toute modification du calendrier de divulgation.
Comme décrit dans la section Recevoir des renseignements sur les vulnérabilités de sécurité de la part de Cisco du présent document, Cisco fournit des renseignements techniques de sécurité sur les correctifs logiciels des produits Cisco et transmet les mises à jour de ses produits au moyen de plusieurs canaux. Cisco se réserve le droit de dévier de sa stratégie de façon exceptionnelle afin de garantir l’accès aux correctifs logiciels à partir de Cisco.com.
Calendrier de divulgation
En réponse directe aux commentaires des clients, Cisco publie l’ensemble suivant des avis de sécurité de Cisco, à 16:00 (GMT), à une date régulière et deux fois par an. Ce calendrier s’applique à la divulgation des vulnérabilités présentes dans les produits Cisco suivants, mais pas pour celle des vulnérabilités détectées sur d’autres produits Cisco.
| Produits Cisco | Calendrier des publications |
|---|---|
| Cisco NX-OS Software | Quatrième mercredi de février et d’août |
| Logiciel Cisco IOS XR | Deuxième mercredi de mars et septembre |
| Logiciels Cisco IOS et IOS XE | Quatrième mercredi de mars et de septembre |
Désolé, aucun résultat correspond à votre critère(s) de recherche. Veuillez réessayer.
Tous les autres produits
En général, Cisco publie les avis de sécurité Cisco à 16 h (GMT) un mercredi donné.
Exceptions
Cisco se réserve le droit de publier un avis de sécurité individuel pour les logiciels Cisco IOS ou Cisco IOS XE, Cisco IOS XR, Cisco NX-OS, ou pour d’autres produits, en dehors du calendrier publié. Une publication en dehors du calendrier peut être motivée, sans s’y limiter, par les conditions suivantes :
- Cisco constate que le public est de plus en plus conscient de l’existence d’une vulnérabilité grave.
- Cisco s’aperçoit qu’une vulnérabilité est activement exploitée.
- Cisco collabore avec un centre de coordination tiers pour divulguer une vulnérabilité au public.
Assistance à la gestion des incidentsAssistance à la gestion des incidents
Tous les clients, quel que soit l’état de leur contrat d’assistance, peuvent être admissibles à une assistance raisonnable en cas d’incidents de sécurité, concernant des produits ou des services Cisco, s’ils sont affectés.
Les clients ayant des contrats d’assistance devraient suivre leur processus d’assistance habituel pour faire appel à Cisco. Les clients qui ne détiennent pas de contrat d’assistance doivent prendre contact avec Cisco par téléphone et demander l’ouverture d’un dossier d’assistance à titre exceptionnel. Le client doit être prêt à partager le(s) numéro(s) de série, la version du logiciel et une description détaillée du problème, et à demander une intervention de l’équipe PSIRT de Cisco.
À la demande du TAC de Cisco, son équipe PSIRT fournira, sur la base d’un effort raisonnable, une assistance pour valider le problème, recueillera les données requises et rendre compte au client des résultats des produits matériels ou logiciels pris en charge. Des analyses plus approfondies et une évaluation de l’incidence « latérale » ou des descriptions détaillées des sources et des autres incidences dépassent le champ d’application du PSIRT de Cisco. Elles exigent que les clients fassent appel à un fournisseur de services complets d’analyse criminalistique et d’évaluation de l’impact.
Mises à jour de logiciels de sécurité
L’équipe PSIRT étudiera et divulguera les vulnérabilités sur les produits et services Cisco à partir du jour de la première expédition commerciale (FCS) jusqu’au dernier jour d’assistance (LDoS). Les clients de Cisco disposant d’un contrat de service leur donnant droit à des mises à jour régulières de logiciels doivent se procurer les correctifs de sécurité par l’entremise de leurs canaux habituels de mise à jour, généralement à partir du site Web du produit pertinent de Cisco. Cisco recommande de communiquer avec son centre d’assistance technique (TAC) uniquement pour des questions ou des problèmes spécifiques et urgents.
En tant que service à la clientèle spécial et pour améliorer la sécurité globale d’Internet, Cisco peut proposer aux clients des mises à jour gratuites de logiciels afin de résoudre des problèmes majeurs de sécurité. La décision de fournir des mises à jour de logiciels dépend de chaque cas. Consultez la publication sur la sécurité de Cisco pour de plus amples renseignements. Les mises à jour gratuites de logiciels seront généralement limitées aux Avis de sécurité critiques et élevés de Cisco.
Les correctifs pour certaines vulnérabilités de logiciels tiers peuvent être disponibles uniquement dans les dernières versions principales des logiciels et ne pas être rétroportés sur les versions plus anciennes.
Si Cisco a proposé une mise à jour gratuite de logiciel pour résoudre un problème spécifique, les clients n’ayant pas souscrit de contrat de service, mais remplissant les conditions pour bénéficier de cette mise à jour, peuvent l’obtenir en communiquant avec le centre d’assistance technique (TAC) de Cisco par l’un des moyens décrits dans la section Questions d’ordre général sur la sécurité de ce document.
Remarque : Pour vérifier leur admissibilité, les particuliers doivent se munir de l’URL correcte du document Cisco proposant cette mise à jour lorsqu’ils communiquent avec le centre d’assistance technique (TAC) de Cisco.
Les clients ne peuvent télécharger ou installer que les versions de logiciels et les ensembles de fonctionnalités pour lesquels ils ont acheté une licence valide et actuellement active. De même, ils ne peuvent prétendre à une assistance que pour ces logiciels et fonctionnalités. En installant, en téléchargeant, en accédant ou en utilisant de quelque manière que ce soit ces mises à jour de logiciels, les clients acceptent de respecter les conditions générales du contrat de la licence d’utilisation de logiciel Cisco. Dans la plupart des cas, cette mise à niveau d’entretien concerne un logiciel déjà acheté. Les mises à jour gratuites de logiciels de sécurité n’offrent pas aux clients le droit à une nouvelle licence d’utilisation de logiciel, à un ensemble supplémentaire de fonctionnalités de logiciels ou à des mises à niveau de révision majeure.
Après la fin de la vente (EoS), la disponibilité des correctifs de sécurité pour les vulnérabilités est définie dans le bulletin EoS du produit. (Consultez la Politique de fin de vie pour de plus amples renseignements.) Le bulletin EoS peut définir le dernier jour d’assistance (LDoS), qui identifie la dernière date à laquelle Cisco étudiera et divulguera les vulnérabilités des produits.
Une fois le LDoS passé, le PSIRT de Cisco continuera d’accepter les rapports de vulnérabilités, mais n’analysera pas, ne corrigera pas et ne divulguera pas de vulnérabilités potentielles. À cette fin, l’équipe PSIRT de Cisco n’émettra pas de CVE pour les problèmes signalés sur les produits dont le jalon LDoS est passé.
Conventions et conditions sur l’avis de sécurité
Disponibilité de la version de l’arrangement : si une date de version future est indiquée pour le logiciel, la date fournie représente une estimation basée sur toutes les informations connues de Cisco à la date de la dernière mise à jour indiquée au haut de l’avis. Les dates de disponibilité peuvent être modifiées en fonction d’un certain nombre de facteurs, y compris les résultats de tests satisfaisants et la livraison d’autres fonctionnalités et correctifs prioritaires. Si aucune version ni aucune date n’est indiquée pour un composant affecté (indiqué par un champ vide et/ou une désignation de notification provisoire), Cisco continuera d’évaluer le correctif et mettra à jour l’avis à mesure que des informations complémentaires sont accessibles. Une fois que l’avis est comme final, les clients doivent se référer aux bogues Cisco associés pour obtenir plus d’informations.
L’état d’avis de sécurité désigné indique les éléments suivants :
Intermédiaire : étude de Cisco en cours Cisco publiera des révisions dans cet avis lorsque des informations complémentaires, y compris des données sur la version de l’arrangement du logiciel, seront accessibles.
Final : Cisco a terminé son évaluation de la vulnérabilité décrite dans l’avis. Il n’y aura plus de mises à jour, à moins qu’il y ait un changement important dans la nature de la vulnérabilité.
Tous les aspects de ce processus sont susceptibles d’être modifiés sans préavis et au cas par cas. Aucun niveau de réponse particulier n’est garanti pour un problème ou une catégorie de problèmes spécifiques.
Programmes Bug Bounty de Cisco
Pour en savoir plus sur les programmes Bug Bounty de Cisco, consultez les programmes de Bug Bounty chez Cisco.
Dernière mise à jour : le 15 avril 2025
Ce document fait partie du portail de sécurité Cisco. Les renseignements officiels figurant sur le portail de sécurité Cisco sont en anglais uniquement.
Ce document est fourni tel quel et n’implique aucune sorte de garantie, notamment les garanties de valeur marchande ou d’adéquation à une utilisation particulière. Votre utilisation des renseignements cités dans ce document ou dans les ressources connexes engage votre seule responsabilité. Cisco se réserve le droit de modifier ou de mettre à jour ce document sans préavis et à tout moment.
Politique de référence interne : politique relative aux vulnérabilités de sécurité, EDCS-19443599
Fonction propriétaire : équipe PSIRT de Cisco
© 2024 Cisco ou ses sociétés affiliées. Tous droits réservés. Ceci est un document public de Cisco.