Autorisation
Si vous faites de votre mieux pour vous conformer à cette politique, nous considérerons votre recherche comme autorisée. Nous travaillerons avec vous pour comprendre et résoudre rapidement le problème.
Directives
Aux fins de la présente politique, le terme « recherche » désigne les activités dans lesquelles vous :
- Nous informez dès que possible après avoir détecté un problème de sécurité réel ou potentiel.
- N’utilisez les exploits que dans la mesure nécessaire pour confirmer l’existence d’une vulnérabilité.
- Nous donnez un délai raisonnable pour résoudre le problème avant de le déclarer publiquement.
- Ne soumettez pas une grande quantité de rapports de mauvaise qualité.
Portée
WAGO ne limite pas la portée des produits proposés par WAGO, y compris le matériel, les logiciels ou les composants avec des éléments numériques. En cas de failles de sécurité dans notre infrastructure numérique, comme le site Web WAGO ou tout autre type de service utilisé par la société, veuillez contacter notre « Cyber Defense Center » à l'adresse suivante : cyberdefense@wago.com.
Signaler une vulnérabilité
Les informations communiquées au titre de la présente directive sont utilisées exclusivement à des fins défensives, c'est-à-dire pour atténuer ou remédier aux vulnérabilités. Les rapports peuvent être transmis de manière anonyme. Si vous partagez vos coordonnées, nous confirmerons la réception de votre rapport. Nous prenons en charge les e-mails cryptés PGP. Le PGP est accessible via notre security.txt. Veuillez noter que les e-mails envoyés sans cryptage PGP peuvent ne pas être pris en compte.
Ce que nous attendons de vous
Pour nous aider à classer et hiérarchiser les vulnérabilités potentielles, merci d'inclure dans votre rapport, si possible, les éléments suivants :
- Version du produit ou du logiciel concerné (référence, version du firmware, etc.).
- Décrivez où la vulnérabilité a été découverte et l’impact potentiel de l’exploitation.
- Fournissez une description détaillée des étapes nécessaires pour reproduire la vulnérabilité (des scripts de preuve de concept ou des captures d’écran sont utiles).
- Si disponible : documents liés à la vulnérabilité (CVE, annonces, notes de version, etc.).
- Si possible, écrivez-nous en anglais.
Ce que vous pouvez attendre de nous
Si vous choisissez de nous fournir vos coordonnées, nous nous engageons à communiquer avec vous le plus ouvertement et le plus rapidement possible.
- Nous vous confirmerons la réception de votre rapport dans un délai d'une semaine.
- Notre équipe analyse le rapport en collaboration avec l'équipe de développement ou les partenaires compétents.
- Nous vous informerons en toute bonne foi du résultat de votre détection et vous expliquerons, de la manière la plus transparente possible, les mesures que nous prenons pendant le processus de restauration, y compris sur les problèmes ou les défis susceptibles de retarder la résolution.
- Nous travaillerons avec vous pour créer un CVE (fourni par notre partenaire de coordination CERT@VDE) et obtenir une reconnaissance appropriée pour votre aide à la sécurisation de nos produits.
- Si nous confirmons la vulnérabilité de sécurité, nous en informerons notre partenaire de coordination cert@vde.
- Nous mettrons les problèmes signalés à la disposition du public après qu'une solution soit disponible ou publiée. La vulnérabilité est publiée sous la forme d'un avis de sécurité selon la norme CSAF 2.0.
- La vulnérabilité est publiée via notre partenaire de coordination cert@vde.
- Nous aurons un dialogue ouvert pour discuter des questions.
Questions
Des questions concernant cette politique peuvent être envoyées à psirt@wago.com. Nous vous invitons également à nous contacter pour nous faire part de suggestions visant à améliorer cette politique.