Sécurité

Déclaration de Cozyla sur la divulgation coordonnée de vulnérabilités

Dernière mise à jour : 28 août 2024

Cozyla s'engage à garantir la sécurité des clients qui utilisent ses produits et services.

Stratégie de sécurité

Les informations relatives aux vulnérabilités étant relativement sensibles, nous vous recommandons vivement, lors du signalement d'une vulnérabilité de sécurité potentielle à Cozyla, d'utiliser notre clé PGP publique pour chiffrer vos communications et de nous transmettre les détails techniques.

Fichier de clé publique PGP de Cozyla

  • Veuillez utiliser notre clé publique PGP pour chiffrer tout envoi d'e-mail à l'adresse security@cozyla.com.

  • Veuillez nous fournir des coordonnées complètes et suffisantes (telles que le nom de votre organisation et votre nom de contact) afin que nous puissions vous joindre.

  • Veuillez fournir une description technique du problème ou de la vulnérabilité constatée.

  • Veuillez préciser le produit exact que vous avez testé, y compris son nom et son numéro de version.

  • Pour nous aider à vérifier le problème, veuillez fournir toute information complémentaire utile, notamment les détails sur les outils utilisés pour effectuer les tests ainsi que les configurations de test concernées.

Stratégie de mise à jour et de maintenance logicielle

Lorsqu'une vulnérabilité est identifiée, la mise à jour du micrologiciel (firmware) s'effectue selon les étapes suivantes :

  1. Identification : Les vulnérabilités sont signalées par les utilisateurs, etc.

  2. Vérification : Validation de la vulnérabilité signalée.

  3. Résolution : Recherche et développement d'un correctif par le responsable des technologies de sécurité et l'ingénieur logiciel.

  4. Validation : Réalisation de tests d'assurance qualité (QA) et de validation sur le correctif.

  5. Certification : Si une authentification Google est requise, les composants concernés seront soumis à un laboratoire de certification tiers agréé par Google pour test et approbation.

  6. Déploiement : Diffusion de la résolution par mise à jour à distance (OTA - Over-The-Air).

Délai de réponse

À la réception d'un rapport de vulnérabilité, nous en accuserons réception et fournirons une notification de réponse dans un délai d'environ 7 jours ouvrables. Cela comprend la confirmation du problème et les premiers commentaires. Les mises à jour concernant l'avancement du développement et du déploiement du correctif seront communiquées par e-mail dans les plus brefs délais.

Une fois la vulnérabilité vérifiée, nous divulguerons les informations détaillées sur le problème et sa résolution correspondante selon le calendrier suivant :

  1. Vulnerabilités critiques : à corriger sous 30 jours ;

  2. Vulnérabilités élevées : à corriger sous 60 jours ;

  3. Vulnérabilités moyennes : à corriger sous 90 jours ;

  4. Vulnérabilités faibles : à corriger dans un délai supérieur.

Remarques

Nos produits reçoivent des mises à jour de sécurité régulières pour assurer une protection continue. La période de support prédéfinie pour les mises à jour de sécurité se termine un an après la fin de vie du produit (EOL - End of Life), laquelle intervient 3 ans après la date de fabrication du produit. La date de fabrication se trouve sur l'emballage du produit.

Plan de réponse aux incidents de sécurité

Si un incident de sécurité survient, il doit être traité comme une urgence de la plus haute priorité. Le PDG (CEO) et le CTO doivent en être informés et participer activement à la gestion de l'incident. S'il s'agit d'un problème de maintenance logicielle, il sera traité conformément au processus de la « Stratégie de mise à jour et de maintenance logicielle » détaillée sur cette page.

Une réunion de crise doit être organisée immédiatement afin de recueillir les informations, de clarifier la situation de l'incident et d'estimer les délais de remédiation.

Avis important

Si vous décidez de partager des informations avec Cozyla, vous acceptez que les informations soumises soient considérées comme non exclusives et non confidentielles, et que Cozyla soit autorisée à utiliser ces informations de quelque manière que ce soit, en tout ou en partie, sans aucune restriction. De plus, vous acceptez que la soumission d'informations ne crée aucun droit à votre profit ni aucune obligation à la charge de Cozyla.