Support et téléchargement

Politique de divulgation de vulnérabilités de Brother PSIRT

 

 

Cette politique décrit la manière dont les clients et les personnes chargées de la détection des failles de sécurité signalent les vulnérabilités à Brother ("Brother", "nous", "notre" ou "nos") et à notre service d'assistance. Le terme PSIRT, qui fait référence au Product Security Incident Response Team en anglais, est utilisé dans cette politique pour désigner l'équipe chargée de gérer les incidents de sécurité liés aux produits.

Périmètre du rapport de vulnérabilité

Les vulnérabilités liées à nos produits, logiciels et services cloud font l'objet d'un rapport de vulnérabilité conformément à la présente politique.

Nous n'acceptons pas de rapport pour les raisons suivantes :

• Produits non pris en charge (versions d'essai, produits en fin de vie),
• Vulnérabilités non reproductibles,
• Vulnérabilités divulguées,
• Vulnérabilités non exploitables,
• Vulnérabilités liées au volume ou au déni de service (à savoir, entre autres, par le simple fait de submerger notre service avec un volume élevé de demandes),
• Faiblesses de la configuration TLS (par exemple, prise en charge d'une suite de chiffrement "faible" ou présence d'une prise en charge TLS 1.0, sweet32, BEAST, etc.),
• Attaques d'ingénierie sociale,
• Bogues de sécurité dans les sites web de tiers qui intègrent les produits,
• Rapports indiquant que les produits ne sont pas entièrement conformes aux "meilleures pratiques", comme des en-têtes de sécurité manquants.

Signaler une vulnérabilité

Pour signaler une vulnérabilité liée à nos produits, logiciels et services cloud, veuillez utiliser le formulaire de rapport disponible sur notre site web au lien ci-dessous.
Signaler une faille de sécurité potentielle à Brother PSIRT (disponible uniquement en anglais)

Pour trier et hiérarchiser votre rapport, veuillez fournir les informations suivantes :

• Le nom du produit, la version du logiciel et la fonctionnalité / le protocole réseau où la vulnérabilité a été découverte,
• L'impact potentiel si les vulnérabilités sont exploitées,
• Une description détaillée des étapes à suivre pour reproduire la vulnérabilité.

Brother PSIRT est le point de contact pour les demandes concernant les vulnérabilités des produits. Veuillez noter que nous pourrions ne pas être en mesure de répondre à des demandes qui ne sont pas liées à des vulnérabilités.
Concernant les demandes non liées à des vulnérabilités, veuillez contacter votre centre d'appel Brother local ou le revendeur auprès duquel vous avez acheté le produit. Veuillez vous référer au Site web Brother pour les informations de contact.

Mesures prises à la suite d'un signalement

Nous accuserons réception du rapport dans les 7 jours suivant la réception d'un rapport concernant une vulnérabilité pour nos produits, logiciels ou services cloud. Dans certains cas, un représentant de la société de vente Brother de votre région peut vous contacter au sujet du rapport. Pour faciliter cette communication, il se peut que nous partagions les informations personnelles que vous avez fournies au contact de signalement de vulnérabilité Brother PSIRT avec la société de vente Brother. Veuillez consulter notre politique de confidentialité pour savoir comment nous traitons les informations personnelles.

Notre service de développement responsable du produit concerné examinera la vulnérabilité signalée pour confirmer s'il s'agit d'une nouvelle vulnérabilité. Une fois que nous aurons confirmé l'existence de la vulnérabilité dans notre produit, nous vous contacterons à nouveau en utilisant l'adresse électronique que vous avez fournie.

Lorsque la vulnérabilité signalée est résolue, nous nous coordonnons avec la personne ayant effectuée le signalement et les parties concernées pour fixer une date de publication d'un avis de sécurité, afin que nos clients puissent prendre les mesures qui s'imposent. Dès que nous aurons achevé la préparation de la divulgation publique, nous publierons l'avis de sécurité sur notre site web.

Prime aux bogues

Nous n'offrons pas de programme de chasse aux bogues rémunéré, quel que soit le contenu du rapport.