Divulgation de vulnérabilité

Introduction

La présente politique de divulgation de vulnérabilité (la « Politique ») s’applique à l’intégralité des vulnérabilités que vous envisagez de signaler à Arctic Wolf (l’« Organisation »), pour autant que le domaine soit répertorié dans la liste des domaines concernés ci-après. Cette politique intègre par référence les termes et conditions contenus dans les conditions d'utilisation et l'avis de confidentialité d'Arctic Wolf. En participant à la recherche de vulnérabilités de quelque manière que ce soit, vous acceptez les termes de cette politique. Si vous n'êtes pas d'accord, vous ne pouvez pas participer.

Avant de tenter de trouver des vulnérabilités de sécurité ou de nous signaler une vulnérabilité, vous devez lire cette politique dans son intégralité et toujours agir en conformité avec elle.

L'Organisation se réserve le droit de modifier ou de mettre fin aux termes de cette politique à tout moment. Veuillez consulter régulièrement cette politique car nous mettons régulièrement à jour les conditions et l'éligibilité de nos programmes, qui entrent en vigueur dès leur publication. Nous apprécions ceux qui prennent le temps et les efforts pour signaler les vulnérabilités de sécurité conformément à cette politique. Cependant, nous n'offrons pas de récompenses pour les divulgations de vulnérabilités.

Signalement

Si vous pensez avoir découvert une vulnérabilité de sécurité liée au système de l'organisation, veuillez soumettre un rapport de vulnérabilité à l'adresse définie dans le champ CONTACT du fichier security.txt publié. Ne contactez pas Arctic Wolf par d’autres canaux que ceux indiqués dans notre fichier security.txt.

Les employés d’Arctic Wolf, les sous-traitants d’Arctic Wolf, les fournisseurs d’Arctic Wolf ou toute personne liée ou autrement affiliée aux employés, sous-traitants ou fournisseurs d’Arctic Wolf ne peuvent pas participer à ce programme.

Note : Arctic Wolf se réserve le droit de bloquer les tentatives qui enfreignent les règles de ce programme. Par exemple, un trafic excessif peut entraîner un blocage automatique.

Dans votre rapport, veuillez inclure des détails sur :

• Le site Web, l'adresse IP ou la page sur laquelle la vulnérabilité peut être observée ;
• Une brève description du type de vulnérabilité, par exemple « Vulnérabilité XSS » ;
• Veillez à ne fournir que les informations nécessaires pour que nous puissions reproduire vos résultats. Fournissez des exemples et des preuves de concepts fonctionnelles. Ceux-ci doivent être anodins et ne pas entraîner de destruction. Cela permet de s’assurer que le rapport peut être trié rapidement et de manière appropriée. Cela réduit également le risque de rapports en double ou d'exploitation malveillante de certaines vulnérabilités, telles que les rachats de sous-domaines.

Après avoir soumis votre rapport, nous nous efforçons d’y répondre le plus rapidement possible. La priorité des mesures correctives est évaluée en fonction de l’impact, de la gravité et de la complexité de la vulnérabilité. Le tri ou le traitement des rapports de vulnérabilité peut prendre un certain temps. Nous vous demandons simplement de nous accorder un délai raisonnable (au moins 90 jours à compter du rapport initial) pour répondre au problème. Cela permet à nos équipes de se concentrer sur la remédiation. Nous vous informerons lorsque la vulnérabilité signalée sera corrigée et vous pourrez être invité à confirmer que la solution couvre la vulnérabilité de manière adéquate.

Confidentialité

Vous acceptez de préserver la confidentialité de toutes les soumissions et de ne divulguer aucune soumission ou partie de celle-ci (y compris, mais sans s’y limiter, toute vulnérabilité ou tout retour d’information) à une tierce partie. Vous ne devez pas tenter d’accéder aux fichiers, informations personnelles ou autres données de l’Organisation (ou de ses employés, clients, sous-traitants ou prestataires de services). L’Organisation n’est pas tenue de préserver la confidentialité des informations communiquées.

Conseils

Vous ne devez PAS :

• enfreindre toute loi ou réglementation applicable ;
• accéder à des quantités de données inutiles, excessives ou importantes ; fournir uniquement une simple preuve de concept avec le moins d’exfiltration de données ;
• affecter la disponibilité, l’intégrité ou la confidentialité de toute information ou donnée sensible, personnelle ou non publique ;
• utiliser des outils d'analyse de haute intensité, invasifs ou destructeurs pour détecter les vulnérabilités ;
• soumettre des rapports détaillant les vulnérabilités non exploitables, ou des rapports indiquant que les services ne sont pas entièrement conformes aux « meilleures pratiques », par exemple des en-têtes de sécurité manquants ;
• communiquer toute vulnérabilité ou détails associés autrement que par les moyens décrits dans le fichier security.txt publié ;
• Ingénierie sociale, « phishing » ou attaquer physiquement le personnel ou l'infrastructure de l'Organisation ;
• utiliser un « robot », « spider » ou tout autre dispositif, programme, script, algorithme ou méthodologie automatique, ou tout processus manuel similaire ou équivalent, pour accéder à, acquérir ou copier des vulnérabilités ;
• soumettre toute soumission répertoriée dans la section « Vulnérabilités non concernées/meilleures pratiques » ;
• exiger une compensation financière afin de révéler toute vulnérabilité ;
• divulguer les vulnérabilités ou le contenu des signalements à des tiers (y compris tout support ou publication) sans l’accord écrit préalable de l’Organisation, au cas par cas.

Vous devez :

• déployer des efforts de bonne foi pour éviter les violations de la vie privée, la destruction des données et l’interruption ou la dégradation de notre service ; interagir uniquement avec les comptes que vous possédez ou avec l'autorisation explicite du titulaire du compte ;
• toujours vous conformer aux règles de protection des données et respecter la confidentialité de toutes les données détenues par l’Organisation ;
• protéger toutes les données téléchargées et les détails de vulnérabilité contre toute divulgation, sauf dans les cas prévus dans cette politique ;
• supprimer de manière appropriée toutes les données obtenues dans le cadre de votre recherche dès qu’elles ne sont plus nécessaires ou dans un délai d’un mois à compter de la résolution de la vulnérabilité, selon la première éventualité (ou selon les exigences des lois et réglementations en matière de protection des données) ;
• soumettre les étapes de reproduction détaillées (les rapports basés uniquement sur les résultats d'un outil/scanner automatisé ou qui décrivent des vecteurs d'attaque théoriques sans preuve d'exploitabilité ne peuvent pas être acceptés) ;
• communiquer toute divulgation par l’intermédiaire des canaux décrits dans le présent document.

Aspects prioritaires :

• Élévation de privilèges (horizontale ou verticale) ;
• SQL ou injection de commandes ;
• Cross-site scripting ;
• Exécution de code à distance ;
• Cross-site request forgery ;
• Divulgation d'information ;
• Décisions de sécurité via des entrées non fiables.

Domaines concernés

analytics.us001-prod.arcticwolf.net dashboard.arcticwolf.com docs.arcticwolf.com eloc.global-prod.arcticwolf.net portal.arcticwolf.com prp.prp.prod.global-prod.arcticwolf.net rendall.us001-prod.arcticwolf.net risk.artcicwolf.com services.risk.us001-prod.arcticwolf.net

cyberjumpstart.arcticwolf.com td-classic.arcticwolf.com cyberjumpstart-reg.arcticwolf.com/cjs/m3

Vulnérabilités non concernées/meilleures pratiques

• Vulnérabilités sur les systèmes qui n'appartiennent pas et ne sont pas exploités par Arctic Wolf, y compris les services tiers utilisés par Arctic Wolf ;
• Vulnérabilités de déni de service ;
• Vulnérabilités par force brute ;
• Les vulnérabilités nécessitent l’utilisation de navigateurs obsolètes/d’anciens plugins/navigateurs de logiciels en fin de vie ;
• Vulnérabilités qui nécessitent un accès physique à l'appareil d'un utilisateur ;
• Informations non sensibles disponibles via notre réseau de diffusion de contenu ou des sites Web publics ;
• Contrôles de sécurité supplémentaires manquants, tels que les en-têtes HSTS ou CSP qui n'entraînent pas directement de vulnérabilités ;
• Cookies manquant d'indicateurs de sécurité (pour les cookies non sensibles) ;
• Vulnérabilités de type détournement de clic ;
• Exposition de la bannière/divulgation de la version ;
• Présence d’un attribut d’autocomplétion sur les formulaires Web ;
• Contrôles de sécurité supplémentaires manquants qui n'entraînent pas directement de vulnérabilités, souvent considérés comme des « meilleures pratiques », tels que l'épinglage de certificats, l'atténuation des divulgations d'informations, la configuration SPF ou DMARC, les suites de chiffrement TLS ;
• Vulnérabilités de l’infrastructure et du matériel.

Dispositions légales

Cette politique est conçue pour être compatible avec les bonnes pratiques courantes en matière de divulgation des vulnérabilités. Il ne vous autorise pas à agir d'une manière incompatible avec la loi ou qui pourrait amener l'Organisation ou les organisations partenaires à violer des obligations légales.

Licence de soumission

En soumettant vos travaux de recherche à l’Organisation, vous lui accordez une licence non exclusive, irrévocable, perpétuelle, libre de droits, intégralement payée, internationale et pouvant faire l’objet d’une sous-licence sur la propriété intellectuelle de votre soumission, à toutes les fins pour lesquelles l’Organisation peut l’utiliser.

Vous acceptez de signer tout document qui pourrait être requis pour nous ou nos délégués pour confirmer les droits que vous avez accordés ci-dessus, et vous comprenez qu'aucune compensation ou aucun crédit ne vous est garanti pour l'utilisation de votre soumission.

En soumettant vos travaux de recherche à l’Organisation, vous déclarez et garantissez que votre contribution est le fruit de votre propre travail et que vous avez légalement le droit de soumettre ces travaux à l’Organisation.

Safe Harbor

Notre Safe Harbor soutient la protection des organisations et des individus engagés dans la recherche de vulnérabilité conformément à cette politique.

Nous considérons que les recherches de vulnérabilité menées de bonne foi pour se conformer à notre politique sont des activités autorisées protégées contre toute action juridique contradictoire de notre part. Nous renonçons à toute restriction pertinente dans nos Conditions de service et/ou nos Politiques d’utilisation acceptable qui entrerait en conflit avec la norme relative à la recherche de bonne foi en matière de sécurité décrite ici.

Nous considérons que les recherches de vulnérabilité menées de bonne foi dans un souci de conformité avec notre Politique constituent une activité autorisée au regard de toutes les lois anti-piratage applicables, y compris le Consumer Fraud and Abuse Act (CFAA) et le Digital Millennium Copyright Act (DMCA), et nous n’engagerons ni ne soutiendrons aucune action en justice à votre encontre au titre de ces lois.

Si la recherche est menée conformément à notre politique, l’organisation :

• n’engagera pas de poursuites judiciaires contre vous ni ne vous dénoncera, y compris pour avoir contourné les mesures technologiques que nous utilisons pour protéger les applications concernées ; et,
• prendra des mesures pour faire savoir que vous avez mené des recherches de bonne foi en matière de sécurité si des poursuites sont engagées contre vous par une tierce personne.

Si vous avez des questions ou avez besoin de précisions sur notre politique, veuillez nous contacter avant de vous engager dans une conduite qui pourrait être incompatible avec cette politique.

Comme toujours, vous êtes censé vous conformer à toutes les lois applicables. Si une action en justice est engagée par un tiers à votre encontre et que vous avez respecté la présente Politique, nous prendrons des mesures pour faire savoir que vos actions ont été menées dans le respect de la présente politique.

Veuillez noter que l’Organisation n’est pas en mesure d’autoriser des recherches de sécurité sur une infrastructure tierce, et qu’aucun tiers n’est lié par ce Safe Harbor.

Toute recherche de vulnérabilité en violation de cette politique n’est pas couverte par ce Safe Harbor. L'Organisation se réserve tous les droits et recours légaux disponibles en vertu de la loi.

La présente Politique ne vous autorise pas à accéder intentionnellement aux données de l’entreprise ou aux données du compte d’une autre personne sans son consentement exprès, y compris (mais sans s’y limiter) les informations ou données personnelles telles que définies par les lois applicables ou les données relatives à une personne physique identifiée ou identifiable.

Responsabilité

VOUS ASSUMEZ L’ENTIÈRE RESPONSABILITÉ ET LES RISQUES ASSOCIÉS À VOTRE PARTICIPATION À LA RECHERCHE DE VULNÉRABILITÉ. EN AUCUN CAS L’ORGANISATION (OU L’UN DE SES DIRIGEANTS, ADMINISTRATEURS, ACTIONNAIRES, EMPLOYÉS, FILIALES, SOCIÉTÉS AFFILIÉES, AGENTS OU ANNONCEURS) NE POURRA ÊTRE TENUE RESPONSABLE DE TOUT DOMMAGE INDIRECT, ACCESSOIRE, SPÉCIAL, PUNITIF, EXEMPLAIRE OU CONSÉCUTIF, DE TOUTE PERTE DE BÉNÉFICES OU DE TOUT DOMMAGE DÛ À UNE PERTE DE DONNÉES, UNE PERTE D’OPPORTUNITÉ D’EMPLOI OU À UNE INTERRUPTION D’ACTIVITÉ RÉSULTANT OU DÉCOULANT DE VOTRE PARTICIPATION OU DE LA PRÉSENTE POLITIQUE.

EN AUCUN CAS L’ORGANISATION (OU L’UN DE SES DIRIGEANTS, ADMINISTRATEURS, ACTIONNAIRES, EMPLOYÉS, FILIALES, SOCIÉTÉS AFFILIÉES, AGENTS OU ANNONCEURS) NE POURRA ÊTRE TENUE RESPONSABLE DE DOMMAGES DONT LE MONTANT TOTAL EXCÉDERAIT 200,00 DOLLARS AMÉRICAINS.

Mesure d'injonction

Une violation de votre part de la présente Politique peut entraîner des dommages irréparables et continus à l’Organisation, pour lesquels les dommages-intérêts ne suffisent pas, et l’Organisation a droit à une injonction et/ou à un décret d’exécution spécifique et à toute autre mesure appropriée (y compris des dommages-intérêts, le cas échéant) sans qu’il soit nécessaire de déposer une caution.

Indemnisation

Vous acceptez d'indemniser et de dégager l'Organisation de toute responsabilité pour toute perte ou dommage subi à la suite de toute violation de cette politique, y compris les honoraires d'avocat raisonnables et les frais engagés par l'Organisation.

Loi applicable et juridiction

Le présent accord sera régi à tous égards par les lois des États-Unis d'Amérique et par les lois de l'État du Delaware, États-Unis, sans égard aux principes de conflits de lois. Vous reconnaissez irrévocablement la compétence personnelle exclusive des tribunaux fédéraux et d’États situés dans le Delaware.

Modifications des présentes conditions

Nous pouvons modifier les termes de cette politique à tout moment. Nous publierons toute modification sur notre site Web et indiquerons la date d’entrée en vigueur de la mise à jour. Si vous n'acceptez pas la nouvelle politique, vous ne devez pas y participer.

Contact

Tel que défini dans le fichier security.txt.