Cette politique vise à guider et informer les clients Cisco en cas de signalement d’une vulnérabilité dans un produit Cisco ou un service sur le nuage. Elle veille à ce que les clients Cisco disposent d’une ressource uniforme et non ambiguë qui peut les aider à comprendre comment Cisco intervient lorsque surviennent des événements de cette nature.
Cette politique indique clairement comment Cisco résout les failles de sécurité pour les produits et services sur le nuage de Cisco, y compris la chronologie, les actions et les responsabilités qui s’appliquent à tous les clients.
Les membres des médias souhaitant des renseignements sur les failles de sécurité de Cisco peuvent communiquer avec support_pr@cisco.com.
Cisco adopte des pratiques de développement de produits qui interdisent expressément les comportements intentionnels ou les fonctionnalités de produits visant à permettre un accès non autorisé aux appareils ou aux réseaux, la divulgation de renseignements confidentiels sur un appareil ou le contournement des restrictions ou fonctionnalités de sécurité. Citons, entre autres :
Cisco considère que de telles pratiques sur les produits représentent des vulnérabilités graves. Cisco accorde une grande importance à tout problème de cet ordre et encourage toutes les parties à signaler toute vulnérabilité présumée à l’équipe PSIRT de Cisco pour une étude immédiate.
Pour obtenir plus de renseignements, consultez le cycle de vie du développement sécurisé de (CSDL) de Cisco.
La gestion des incidents liés à la sécurité des produits Cisco est la responsabilité de l’équipe PSIRT (Product Security Incident Response Team, équipe de gestion des incidents liés à la sécurité des produits) de Cisco. L’équipe chargée de traiter les incidents liés à la sécurité des produits (PSIRT) de Cisco harmonise ses pratiques avec la norme ISO/IEC 29147:2018, qui représente des directives pour la divulgation des vulnérabilités potentielles établies par l’ Organisation internationale de normalisation.
L’équipe PSIRT de Cisco est une équipe mondiale dédiée, responsable de la réception, de l’enquête et de la divulgation au public des renseignements sur les failles de sécurité et les problèmes affectant les produits et services de Cisco. L’équipe PSIRT de Cisco travaille pour répondre aux demandes des clients et prestataires de Cisco, des chercheurs en sécurité indépendants, des conseillers et des associations du secteur afin de détecter les failles et les problèmes de sécurité potentiels des produits et réseaux Cisco.
Cisco définit une faille de sécurité comme une faiblesse dans la logique de calcul, trouvée dans les composants logiciels et matériels qui, lorsqu’elle est exploitée, a une incidence négative sur la confidentialité, l’intégrité ou la disponibilité. Cisco se réserve le droit de s’écarter de cette définition en fonction de circonstances spécifiques.
Nous encourageons vivement les particuliers et les entreprises confrontés à un problème de sécurité sur un produit à le signaler à l’équipe PSIRT de Cisco. Tous les signalements sont les bienvenus, qu’ils proviennent de chercheurs indépendants, d’entreprises du secteur, de prestataires, de clients ou de toute autre source concernée par la sécurité des produits et des réseaux.
Pour communiquer avec l’équipe PSIRT de Cisco, veuillez utiliser l’une des méthodes du tableau suivant :
Pour les questions générales relatives à la sécurité des produits et des services sur le nuage de Cisco, le centre d’assistance technique (TAC) de Cisco peut vous aider à effectuer les configurations et offrir une assistance technique. En outre, le TAC de Cisco peut vous aider à résoudre les incidents de sécurité non critiques et à effectuer les mises à niveau logicielles en vue d’obtenir des corrections de bogues de sécurité. Pour communiquer avec l’équipe TAC de Cisco , veuillez utiliser l’une des méthodes suivantes :
Assistance du TAC de Cisco – disponible 24 heures sur 24, 7 jours sur 7
+1 800 553-2447 (numéro sans frais en Amérique du Nord)
+1 408 526-7209 (appel international direct)
Autres numéros du TAC : contacts de service à la clientèle
Tous les clients, quel que soit l’état de leur contrat d’assistance, peuvent être admissibles à une assistance raisonnable en cas d’incidents de sécurité, concernant des produits ou des services Cisco, s’ils sont affectés.
Les clients ayant des contrats d’assistance devraient suivre leur processus d’assistance habituel pour faire appel à Cisco. Tout client qui ne détiennent pas de contrat d’assistance doivent prendre contact avec Cisco par téléphone et demander l’ouverture d’une demande d’assistance à titre exceptionnel. Le client doit être prêt à partager le(s) numéro(s) de série, la version du logiciel et une description détaillée du problème, et à demander une intervention de l’équipe PSIRT de Cisco.
Si le problème se trouve actuellement sur les produits matériels ou logiciels pris en charge, l’équipe PSIRT de Cisco fournira, à la demande du TAC de Cisco, un effort raisonnable pour valider le problème, recueillir les données requises et rendre compte au client des résultats. Des analyses plus approfondies et une évaluation de l’incidence « latérale » ou des descriptions détaillées des sources et des autres incidences dépassent le champ d’application du PSIRT de Cisco. Elles exigent que les clients fassent appel à un fournisseur de services complets d’analyse criminalistique et d’évaluation de l’impact.
Cisco vous tient informé(e) de différentes façons des dernières vulnérabilités de sécurité identifiées. Reportez-vous au tableau suivant et consultez la matrice des publications de sécurité pour déterminer le meilleur canal pour vos besoins.
Portail de sécurité de Cisco
https://www.cisco.com/security
Ce site Web fournit des renseignements sur la sécurité et des documents sur les failles de sécurité de Cisco, y compris les produits et services de sécurité adéquats.
API OpenVuln de l’équipe PSIRT de Cisco
https://developer.cisco.com/psirt/
Cet API RESTful permet aux clients d’obtenir des renseignements sur les failles de sécurité fournis par Cisco dans différents formats lisibles par machine.
Mes notifications https://www.cisco.com/c/en/us/support/web/tools/cns/notifications
Créez des notifications personnalisés pour recevoir des renseignements importants sur les produits et la technologie Cisco, y compris des avis de sécurité Cisco.
Courriel d’annonce de sécurité pour les clients
Pour s’abonner à cette liste d’envoi, veuillez envoyer un courriel à l’adresse cust-security-announce-join@cisco.com. (Le contenu du message importe peu.) Vous recevrez un courriel de confirmation, davantage d’instructions et une liste des conditions générales.
Pour vous désabonner de cette liste d’envoi, veuillez envoyer un courriel à l’adresse cust-security-announce-leave@cisco.com en indiquant avec « désabonnement » dans la ligne d’objet de votre message.
Pour en savoir plus, consultez la section Détails sur le courriel d’annonce de sécurité de Cisco pour les clients après ce tableau.
Flux RSS
http://sec.cloudapps.cisco.com/security/center/rss.x?i=44
Ces flux sont gratuits et il n’est pas nécessaire d’être inscrit sur Cisco.com pour y accéder.
Tous les renseignements fournis par les canaux répertoriés dans le tableau précédent sont ponctuels, ce qui signifie que les renseignements étaient exacts au moment de leur publication ou de leur distribution. Les renseignements les plus à jour sur les failles de sécurité dans les produits et logiciels de Cisco sont accessibles par l’intermédiaire de l’outil de recherche de bogues de Cisco. Cet outil Web est une passerelle vers le système de suivi de bogues de Cisco. La page d’aide sur l’outil de recherche de bogues contient des renseignements sur l’endroit où trouver les ID de bogue de Cisco et sur la manière d’utiliser l’outil.
Les avis de sécurité de Cisco fournissent des renseignements sur les failles de sécurité de gravité critique, élevée et moyenne. Ils sont chiffrés avec la clé publique PGP de l’équipe PSRIT de Cisco et distribués à la liste d’envoi externe cust-security-announce mailing list. L’équipe PSIRT de Cisco peut également envoyer des avis informatifs à la liste d’envoi cust-security-announce.
Des courriels sont envoyés pour la version initiale et les révisions majeures des avis de sécurité Cisco. Une révision majeure est définie comme une révision que l’équipe PSIRT de Cisco juge être une modification importante du contenu des avis relatifs à la façon dont les clients doivent traiter la vulnérabilité. Les exemples de modification d’avis importante comprennent, sans s’y limiter , les modifications de la liste des produits touchés, les modifications des incidences en matière de sécurité , les modifications des atténuations ou des solutions de rechange, et les modifications des renseignements sur les versions corrigées . En cas de révision mineure d’un document, la mise à jour est publiée sur Cisco.com sans courriel d’accompagnement. Les clients souhaitant être prévenus par alerte automatique des révisions mineures doivent s’abonner au flux RSS des avis de sécurité Cisco ou au service Mes notifications. Tous les avis de sécurité sur Cisco.com sont affichés par ordre chronologique, les avis les plus récents et les dernières mises à jour figurant en début de page.
Pour vous abonner à la liste d’envoi cust-security-announce, envoyez un courriel à l’adresse cust-security-announce-join@cisco.com à l’aide du compte courriel avec lequel vous souhaitez vous abonner. (Le contenu du message importe peu.) Vous recevrez une confirmation, ainsi que des instructions et une liste des conditions générales.
Pour vous désabonner de la liste d’envoi cust-security-announce, envoyez un courriel à l’adresse cust-security-announce-leave@cisco.com à l’aide du compte courriel avec lequel vous souhaitez vous abonner et indiquez « désabonnement » dans la ligne d’objet de votre message. (Le contenu du message importe peu.) Vous recevrez un avis de confirmation, auquel vous devrez répondre pour vous désabonner. Vous ne serez pas désabonné tant que vous n’aurez pas répondu au courriel de confirmation.
Important : Les demandes d’abonnement doivent être envoyées à cust-security-announce-join@cisco.com, et celles de désabonnement doivent être envoyées cust-security-announce-leave@cisco.com et non à cust-security-announce@cisco.com elle-même. Vous devez envoyer les messages à partir du compte courriel que vous souhaitez abonner ou désabonner de la liste.
L’équipe PSIRT de Cisco étudie tous les rapports sur les failles de sécurité des produits sans tenir compte de la version de code du logiciel Cisco concerné ou de son cycle de vie jusqu’au Last Day of Support (LDoS). Les problèmes sont hiérarchisés selon la gravité potentielle de la vulnérabilité et d’autres facteurs environnementaux . Enfin, la résolution de l’incident signalé pourrait nécessiter des mises à niveau vers des produits et services sur le nuage bénéficiant d’une assistance active de la part de Cisco. À titre de meilleure pratique, Cisco recommande fortement aux clients de vérifier périodiquement que leurs produits bénéficient d’un support actif pour s’assurer d’avoir accès aux dernières mises à jour logicielles et à d’autres avantages.
Pendant une étude, l’équipe PSIRT de Cisco gère tous les renseignements sensibles avec un maximum de confidentialité . La diffusion en interne est limitée aux personnes ayant un besoin légitime d’être informées et capables d’aider de manière active à la résolution.
Rappords des incidents par les tiers : Tout au long du processus d’enquête , l’équipe PSIRT de Cisco s’efforce de collaborer avec la personne ayant signalé l’incident, afin d’évaluer la nature de la vulnérabilité, de recueillir les renseignements techniques nécessaires et d’établir les mesures correctives adéquates. Une fois l’étude initiale terminée, les résultats sont transmis à la personne ayant signalé l’incident avec un plan de résolution et divulgation au public, le cas échéant.
L’équipe PSIRT de Cisco assure la coordination avec la personne signalant l’incident pour déterminer la fréquence des mises à jour de l’état de l’incident et de la documentation.
L’équipe PSIRT de Cisco demande aux personnes signalant les incidents d’appliquer des règles de confidentialité strictes tant que des résolutions complètes n’ont pas été mises à la disposition des clients et qu’elles n’ont pas fait l’objet d’une publication par l’équipe PSIRT sur le site Web de Cisco par l’entremise de la méthode de divulgation coordonnée adéquate.
Avec l’accord de la personne signalant l’incident, l’équipe PSIRT de Cisco peut citer cette dernière pour sa contribution lors de la divulgation au public de la vulnérabilité.
Incidents pouvant voir une incidence sur les autres prestataires :L’équipe PSIRT de Cisco fonctionne avec des centres de coordination tiers comme le centre de coordination de l’équipe d’intervention en urgence informatique (CERT/CC),l’équipe d’intervention d’urgence informatique de la Finlande (CERT-FI), l’équipe d’intervention d’urgence informatique au Japon (JP-CERT), et l’autorité nationale de sécurité (NPSA), pour gérer une divulgation coordonnées, auprès secteur, des vulnérabilités signalées à Cisco pouvant avoir une incidence sur plusieurs prestataires (par exemple, un problème de protocole générique) . Dans ce cas, l’équipe PSIRT de Cisco peut soit aider la personne signalant l’incident à communiquer avec le centre de coordination, soit communiquer avec ce dernier en son nom.
Cisco protégera les données propres au client tout au long du processus. Plus précisément, Cisco ne fera part d’aucune donnée propre à un client, à moins d’indication contraire du client en question, ou si une enquête judiciaire est nécessaire.
Incidents découverts lors de la prestation des services : Si une faille de sécurité nouvelle ou jusqu’alors non déclarée est découverte au moment d’offrir des services à un client, Cisco suivra le Processus de gestion des incidents liés à la sécurité des produits Cisco . Les vulnérabilités trouvées dans les produits et services sur le nuage de Cisco seront traitées par l’équipe PSIRT de Cisco, conformément à cette Politique relative aux failles de sécurité de Cisco.
Si la vulnérabilité provient du produit d’un autre prestataire, Cisco suivra la Politique de divulgation et de production de rapports sur les vulnérabilités à l’intention des prestataires, sauf si le client touché souhaite informer le prestataire directement. Dans ce cas, Cisco le mettra en contact avec le prestataire et informera CERT/CC (ou le prestataire équivalent à l’échelle nationale).
Cisco offre plusieurs services sur le nuage qui sont utilisés par les clients, mais qui sont entretenus, corrigés et supervisés par Cisco.
L’équipe PSIRT de Cisco répond aux vulnérabilités des services Cisco sur le nuage et travaille en étroite collaboration avec les équipes qui les exploitent. Ces équipes opérationnelles veillent à ce que les failles de sécurité soient corrigées et que les correctifs soient déployés sur toutes les instances des clients en temps opportun.
En règle générale, les événements de sécurité liés au service sont communiqués aux clients par les équipes du service, au moyen de notifications directes ou par l’intermédiaire du tableau de bord ou du portail du service. Dans certains cas, Cisco peut divulguer des vulnérabilités par le biais d’avis de sécurité s’appliquant aux services sur le nuage de Cisco, en coordination avec les équipes du service.
Dans la plupart des cas, aucune action de l’utilisateur n’est requise, car Cisco corrige régulièrement les services hébergés sur le nuage.
Si une vulnérabilité se présente dans le composant d’un logiciel tiers qui est utilisé dans un produit Cisco, Cisco utilise généralement le résultat CVSS fourni par le concepteur du composant. Cisco peut ajuster le résultat CVSS afin de refléter les circonstances propres aux produits Cisco.
Cisco jugera qu’une vulnérabilité d’un fournisseur tiers est à haute visibilité lorsqu’elle correspond aux critères suivants :
Pour les vulnérabilités tierces très médiatisées, Cisco commencera à évaluer les produits et services hébergés dans le nuage potentiellement concernés qui n’ont pas atteint le niveau LDoS et publiera un avis de sécurité. Les produits et services sur le nuage de Cisco que l’on sait visés seront décrits en détail dans les mises à jour du premier avis de sécurité. Un avis de bogue sera créé par Cisco pour chaque produit vulnérable , afin que les clients inscrits puissent les voir sur l’outil de recherche de bogues de Cisco. Les vulnérabilités de tiers qui ne sont pas classifiées comme à haute visibilité seront publiées dans un avis joint aux notes de mise à jour .
Répertoire des vulnérabilités de Cisco
Le Répertoire des vulnérabilités de Cisco (CVR) est un moteur de recherche de vulnérabilités pour les CVE signalés en 2018 ou après et qui peuvent avoir une incidence sur les produits Cisco. Le CVR peut aider les clients à comprendre si leur produit Cisco est touché par la vulnérabilité d’un logiciel tiers en particulier. Les clients peuvent demander un document Vulnerability Exploitability eXchange (VEX) pour n’importe quel CVE dans le CVR.
Cet outil affiche également les avis de sécurité de Cisco associés à un CVE. Pour le moment, le CVR n’inclut pas les offres Cisco sur le nuage. Pour obtenir de l’aide avec un produit non répertorié dans cet outil, utilisez le lien Commentaires sur la page CVR ou communiquer avec votre organisme d’assistance.
Cisco utilise la version 3.1 du système de notation CVSS (Système commun de notation des vulnérabilités) dans le cadre de son processus standard d’évaluation des vulnérabilités potentielles, qui n’ont pas de CVE, signalées sur les produits et services hébergés dans le nuage de Cisco. Le modèle CVSS utilise trois mesures (ou résultats) différentes : la mesure de base, la mesure temporelle et la mesure environnementale. Cisco évalue la vulnérabilité par rapport aux mesures de base et fournit, dans certains cas, un résultat de faille temporel. Cisco encourage les utilisateurs finaux à calculer la part environnementale en fonction des paramètres de leur réseau. La combinaison des trois composantes constitue le résultat final qui représente une évaluation de la vulnérabilité à un moment précis dans un environnement spécifique. Nous recommandons aux entreprises de partir de ce résultat pour définir la priorité des réponses à apporter dans l’environnement qui leur est propre.
En plus des résultats du CVSS, Cisco utilise le système d’évaluation de l’incidence sur la sécurité (Security Impact Rating, SIR) pour faciliter la classification de la gravité des vulnérabilités. Le système SIR se réfère au résultat de base du CVSS. Il est ajusté par l’équipe PSIRT afin de prendre en compte les variables propres à Cisco et est intégré dans chaque avis de sécurité Cisco. Cisco utilise les lignes directrices suivantes pour déterminer le type d’avis de sécurité Cisco pour les vulnérabilités dans les logiciels développés par Cisco et gérés par les clients. Les avis de sécurité dont l’incidence est critique, élevée ou moyenne, comprennent des renseignements logiciels corrigés.
| Type | Résultat du CVSS | CVE | Renseignements sur le correctif | Format lisible par machine |
|---|---|---|---|---|
 | 9.0 – 10.0 | Oui | Avis de sécurité1 outil de recherche de bogues | RSS, CSAF |
 | 7.0 – 8.9 | Oui | Avis de sécurité1 outil de recherche de bogues | RSS, CSAF |
 | 4.0 – 6.9 | Oui | Avis de sécurité1 outil de recherche de bogues | RSS, CSAF |
 | Sans objet | Non | Outil de recherche de bogues, le cas échéant | RSS, CSAF |
1. Des renseignements détaillés sur les correctifs pour Cisco IOS, IOS XE, NX-OS, FXOS, Adaptive Security Appliance (ASA), Firepower Threat Defense (FTD) et Firepower Management Center (FMC) sont disponibles à l’aide du Cisco Software Checker.
Les problèmes dont l’incidence est faible sont généralement publiés comme un avis joint aux notes mises à jour , non comme un avis de sécurité.
Cisco se réserve le droit de s’écarter de ces lignes directrices, dans des cas précis, si d’autres facteurs ne sont pas saisis correctement dans le résultat du CVSS.
Si un problème de sécurité se présente dans le composant d’un logiciel tiers qui est utilisé dans un produit Cisco, Cisco utilise généralement le résultat CVSS fourni par le concepteur du composant. Dans certains cas, Cisco peut ajuster le résultat CVSS afin de refléter ses incidences sur les produits Cisco.
Remarque : Cisco est une autorité de numérotation des Common Vulnerabilities and Exposures (CVE) et attribuera des identifiants CVE aux vulnérabilités des logiciels Cisco, à partir du bloc MITRE d’ identifiants attribués à l’entreprise à cette fin. Cisco n’attribue pas d’identifiants CVE aux vulnérabilités signalées , tant qu’elle ne les as pas confirmées. Une fois les vulnérabilités publiées , Cisco fournit les détails CVE à MITRE pour les inclure dans sa base de données.
Cisco ne divulgue généralement pas publiquement les failles de sécurité présentes dans un produit Cisco tant que l’équipe PSIRT de Cisco n’a pas effectué toutes les étapes du processus de réponse aux incidents et déterminé que le nombre de correctifs logiciels ou de solutions est suffisant pour répondre à la vulnérabilité. Cisco peut toutefois accélérer la divulgation d’une faille de sécurité dans les situations suivantes :
Toutes les publications Cisco relatives à la sécurité sont divulguées en même temps aux clients et au public.
Lors de la coordination de la divulgation avec des tierces parties, l’équipe PSIRT de Cisco s’efforce de notifier toute modification du calendrier de divulgation.
Comme décrit dans la section Canaux des renseignements sur les failles de sécurité de la part de Cisco du présent document, Cisco fournit des renseignements techniques de sécurité sur les correctifs logiciels des produits Cisco et transmet les mises à jour de ses produits au moyen de plusieurs canaux. Cisco se réserve le droit de fournir des renseignements de sécurité technique d’une manière qui s’écarte de cette politique à titre d’exception.
En général, Cisco publie les avis de sécurité Cisco à 16:00 UTC (temps universel coordonné) un mercredi donné .
En réponse directe aux commentaires des clients, Cisco publie l’ensemble suivant des avis de sécurité de Cisco, à 16:00 UTC (temps universel coordonné), à une date régulière et deux fois par an. Ce calendrier s’applique à la divulgation des vulnérabilités présentes dans les produits Cisco suivants, mais pas pour celle des vulnérabilités détectées sur d’autres produits Cisco.
| Produits Cisco | |
|---|---|
| Logiciel Cisco FXOS et NX-OS | Quatrième mercredi de février et d’août |
| Logiciel Cisco IOS XR | Deuxième mercredi de mars et septembre |
| Logiciels Cisco IOS et IOS XE | Quatrième mercredi de mars et de septembre |
Cisco se réserve le droit de publier un avis de sécurité individuel pour les logiciels Cisco IOS ou Cisco IOS XE, Cisco IOS XR, Cisco FXOS et NX-OS, ou pour d’autres produits, en dehors du calendrier publié . Une publication en dehors du calendrier peut être motivée, sans s’y limiter, par les conditions suivantes :
Dans toutes ses publications sur la sécurité, Cisco s’attache à divulguer les renseignements nécessaires aux clients pour évaluer l’incidence d’une vulnérabilité, ainsi que les étapes potentiellement nécessaires à la protection de leurs environnements. Cisco veille à ne fournir aucun détail susceptible de permettre à un individu d’exploiter une vulnérabilité.
Cisco fournit les types de publications suivants relatifs à la sécurité sur le portail de sécurité Cisco de Cisco.com.
Avis de sécurité Cisco
Les avis de sécurité Cisco fournissent des renseignements détaillés sur les problèmes de sécurité qui touchent directement les produits et services sur le nuage de Cisco et requièrent une mise à niveau, l’application de correctifs ou d’autres actions de la part du client. Les avis de sécurité sont utilisés pour divulguer les vulnérabilités d’un logiciel créé par Cisco ou d’un logiciel tiers à haute visibilité avec une balise SIR Critique, Élevé ou Moyen. L’équipe PSIRT de Cisco valide uniquement les renseignements concernant la version concernée et corrigée qui sont enregistrés dans l’avis.
Les avis de sécurité de Cisco sont des documents ponctuels. Les renseignements devraient être considérées comme à jour à la date et à l’heure de la dernière mise à jour de publication, comme indiqué dans le champ Dernière mise à jour dans l’en-tête des avis .
Tous les avis de sécurité Cisco qui divulguent des vulnérabilités avec un indice SIR critique, élevé ou moyen incluent une option permettant de télécharger le contenu du Common Security Advisory Framework (CSAF). Le CSAF est une norme de l’industrie conçue pour rendre compte des renseignements sur les vulnérabilités dans un format lisible par machines. Ce contenu lisible par la machine peut être utilisé avec d’autres outils pour automatiser le processus d’interprétation des données contenues dans un avis de sécurité.
Cisco publie à l’occasion les avis de sécurité de type informatif pour couvrir des problèmes abordés dans un forum public (par ex., un blogue ou une liste de discussions) et qui nécessitent une réponse. Des avis informatifs sont normalement publiés si une tierce partie déclare publiquement qu’un produit Cisco est vulnérable. Des avis informatifs peuvent également être utilisés de manière proactive pour prévenir les clients à propos d’un problème lié à la sécurité qui n’est pas une vulnérabilité. Les avis informatifs ne sont pas utilisés comme un mécanisme de divulgation d’une vulnérabilité de Cisco, mais plutôt comme une méthode pour partager des renseignements sur les incidents de sécurité, qui peuvent avoir des répercussions sur les produits Cisco et qui peuvent intéresser les clients de Cisco.
| Conventions et conditions sur l’avis de sécurité |
|---|
| Disponibilité de la version corrigée : si une date de version future est indiquée pour le logiciel, la date fournie représente une estimation basée sur toutes les informations connues de Cisco à la date de la dernière mise à jour indiquée au haut de l’avis. Les dates de disponibilité peuvent être modifiées en fonction d’un certain nombre de facteurs, y compris les résultats de tests satisfaisants et la livraison d’autres fonctionnalités et correctifs prioritaires. Si aucune version ni aucune date n’est indiquée pour un composant affecté (indiqué par un champ vide et/ou une désignation de notification provisoire), Cisco continuera d’évaluer le correctif et mettra à jour l’avis à mesure que des informations complémentaires sont accessibles. Une fois que l’avis est marqué final, les clients doivent se référer aux bogues Cisco associés pour obtenir plus d’informations. |
L’état d’avis de sécurité désigné indique les éléments suivants : Intermédiaire : l’étude de Cisco est en cours. Cisco publiera des révisions dans cet avis lorsque des informations complémentaires, y compris des données sur la version corrigée du logiciel, seront accessibles. Final : Cisco a terminé son évaluation de la vulnérabilité décrite dans l’avis. Il n’y aura plus de mises à jour, à moins qu’il y ait un changement important dans la nature de la vulnérabilité. |
Réponses aux événements Cisco
Les répliques aux événements Cisco fournissent des renseignements sur les événements de sécurité qui peuvent avoir une incidence importante sur les réseaux, applications et appareils des clients Les réponses aux événements Cisco contiennent un résumé de l’événement, une analyse de la menace et des techniques d’atténuation qui font appel à des produits et services sur le nuage de Cisco . Elles font normalement l’objet d’une publication dans les cas suivants :
Avis joints aux notes de version
Les avis joints aux notes de mise à jour sont utilisés pour divulguer les problèmes ayant un SIR faible et la plupart des vulnérabilités logicielles tierces. Les clients enregistrés peuvent voir tous les ID de bogue divulgués par Cisco dans l’outil de recherche de bogue de Cisco.
Si un avis de sécurité Cisco fait référence à un bogue, l’entrée du bogue dans l’outil de recherche de bogue de Cisco fournit un lien vers l’avis de sécurité Cisco correspondant.
Pour tout bogue Cisco ayant fait l’objet d’une évaluation par l’équipe PSIRT, une section Évaluation par l’équipe PSIRT est incluse dans l’avis joint aux notes de mise à jour. Cette section comprend, lorsque Cisco le juge approprié et pertinent, les scores CVSS de base et temporaires ainsi qu’un identifiant CVE. Les clients sont invités à utiliser ces renseignements supplémentaires à leur seule discrétion et à mettre en correspondance les bogues Cisco et les événements du secteur. Ces renseignements ne sont pas destinés à compléter les garanties Cisco standard applicables aux logiciels, comme stipulé dans le Contrat de licence de l’utilisateur final de Cisco.
Les clients ne bénéficieront pas de mises à jour gratuites de logiciels pour les problèmes signalés dans un avis joint aux notes de mise à jour. Les clients qui souhaitent effectuer une mise à niveau vers une version de logiciel comportant des correctifs pour résoudre les problèmes concernés doivent communiquer avec leurs réseaux de partenaires d’assistance habituels. Cisco déterminera, à sa seule discrétion, toutes les exceptions relatives à la présente politique.
Le tableau suivant présente un récapitulatif des méthodes utilisées pour informer les clients des publications sur la sécurité mentionnées ci-dessus. Les exceptions peuvent être définies au cas par cas afin d’améliorer la communication pour un document donné .
| Publication | Adresse courriel | Portail de sécurité | RSS | Mes notifications (CNS) | API openVuln | outil de recherche de bogues |
|---|---|---|---|---|---|---|
| Avis de sécurité Cisco – Gravité critique et élevée | Oui | Oui | Oui | Oui | Oui | Oui |
| Avis de sécurité Cisco – Gravité moyenne | Oui | Oui | Oui | Oui | Oui | Oui |
| Avis de sécurité Cisco – Information | Oui | Oui | Oui | Non | Non | Oui |
| Réponse aux événements Cisco | Non | Oui | Oui | Non | Non | Non |
| Avis joints aux notes de version | Non | Non | Non | Non | Non | Oui |
L’équipe PSIRT étudiera et divulguera les vulnérabilités sur les produits et services Cisco à partir du jour de la première expédition commerciale (FCS) jusqu’au dernier jour d’assistance (LDoS). Les clients de Cisco disposant d’un contrat de service leur donnant droit à des mises à jour régulières de logiciels doivent se procurer les correctifs de sécurité par l’entremise de leurs canaux habituels de mise à jour, généralement à partir du site Web du produit pertinent de Cisco. Cisco recommande de communiquer avec son centre d’assistance technique (TAC) uniquement pour des questions ou des problèmes spécifiques et urgents.
En tant que service à la clientèle spécial et pour améliorer la sécurité globale d’Internet, Cisco peut proposer aux clients des mises à jour gratuites de logiciels afin de résoudre des problèmes majeurs de sécurité. La décision de fournir des mises à jour gratuites de logiciels dépend de chaque cas. Consultez la publication sur la sécurité de Cisco pour de plus amples renseignements. Les mises à jour gratuites de logiciels seront généralement limitées aux vulnérabilités critiques et élevées de Cisco.
Les correctifs pour certaines vulnérabilités de logiciels tiers peuvent être disponibles uniquement dans les dernières versions principales des logiciels et ne pas être rétroportés sur les versions plus anciennes.
Si Cisco a proposé une mise à jour gratuite de logiciel pour résoudre un problème spécifique, les clients n’ayant pas souscrit de contrat de service, mais remplissant les conditions pour bénéficier de cette mise à jour, peuvent l’obtenir en communiquant avec le centre d’assistance technique (TAC) de Cisco par l’un des moyens décrits dans la section Questions d’ordre général sur la sécurité de ce document.
Remarque : Pour vérifier leur admissibilité, les particuliers doivent se munir de l’URL correcte du document Cisco proposant cette mise à jour lorsqu’ils communiquent avec le centre d’assistance technique (TAC) de Cisco.
Les clients peuvent télécharger ou installer les versions de logiciels et les ensembles de fonctionnalités pour lesquels ils ont acheté une licence valide et actuellement active. De même, ils ne peuvent prétendre à une assistance que pour ces logiciels et fonctionnalités. En installant, en téléchargeant, en accédant ou en utilisant de quelque manière que ce soit ces mises à jour de logiciels, les clients acceptent de respecter les conditions générales du contrat de la licence d’utilisation de logiciel Cisco. Dans la plupart des cas, cette mise à niveau d’entretien concerne un logiciel déjà acheté. Les mises à jour gratuites de logiciels de sécurité n’offrent pas aux clients le droit à une nouvelle licence d’utilisation de logiciel, à un ensemble supplémentaire de fonctionnalités de logiciels ou à des mises à niveau de révision majeure.
Après la fin de la vente (EoS) , la disponibilité des correctifs de sécurité pour les vulnérabilités est définie dans le bulletin EoS du produit. (Consultez la Politique de fin de vie pour de plus amples renseignements.) Le bulletin EoS peut définir le dernier jour d’assistance (LDoS), qui identifie la dernière date à laquelle Cisco étudiera et divulguera les vulnérabilités des produits.
Une fois le LDoS passé, l’équipe PSIRT de Cisco continuera d’accepter les rapports de vulnérabilités, mais n’analysera pas, ne corrigera pas et ne divulguera pas de vulnérabilités potentielles. À cette fin, l’équipe PSIRT de Cisco n’émettra pas de CVE pour les problèmes signalés sur les produits dont le jalon LDoS est passé.
Tous les aspects de ce processus sont susceptibles d’être modifiés sans préavis et au cas par cas. Aucun niveau de réponse particulier n’est garanti pour un problème ou une catégorie de problèmes spécifiques.
Pour en savoir plus sur les programmes Bug Bounty de Cisco, consultez les programmes de Bug Bounty chez Cisco.
Dernière mise à jour : 8 septembre 2025
Ce document fait partie du portail de sécurité Cisco . Les renseignements officiels figurant sur le portail de sécurité Cisco sont en anglais uniquement.
Ce document est fourni tel quel et n’implique aucune sorte de garantie, notamment les garanties de valeur marchande ou d’adéquation à une utilisation particulière. Votre utilisation des renseignements cités dans ce document ou dans les ressources connexes engage votre seule responsabilité. Cisco se réserve le droit de modifier ou de mettre à jour ce document sans préavis et à tout moment.
Politique de référence interne : politique relative aux vulnérabilités de sécurité, EDCS-19443599
Fonction propriétaire : équipe PSIRT de Cisco
© 2025, Cisco et/ou ses sociétés affiliées. Tous droits réservés. Ceci est un document public de Cisco.
