Veuillez utiliser cette page pour signaler des vulnérabilités de sécurité potentielles dans les produits et les logiciels. Pour plus d'informations sur la divulgation des vulnérabilités, consultez les directives suivantes.
Politique de divulgation des vulnérabilités
THORN est un fournisseur de solutions d’éclairage intégrée pour l’éclairage professionnel intérieur et extérieur. Nous proposons une gamme complète de luminaires, de systèmes de gestion de l’éclairage et de capteurs polyvalents de haute qualité pour diverses applications. La sécurité est une valeur fondamentale pour THORN, également fabricant de systèmes de contrôle et de logiciels sophistiqués. C’est pourquoi THORN s’engage à protéger la vie privée et les données des utilisateurs de ses produits et logiciels afin d’en assurer la sécurité.
THORN valorise la contribution des chercheurs externes en sécurité qui agissent de bonne foi. Afin d’aider THORN à maintenir un niveau élevé de protection de la vie privée pour ses utilisateurs et systèmes, cette politique a pour but de fournir aux chercheurs en sécurité des lignes directrices claires pour leurs activités de divulgation et de leur communiquer nos préférences en matière de signalement des vulnérabilités.
Nous vous encourageons vivement à nous contacter pour signaler toute vulnérabilité de sécurité dans nos produits et logiciels.
Si vous faites un effort de bonne foi pour vous conformer à cette politique lors de vos recherches, THORN traitera ce signalement de manière responsable et travaillera avec la personne concernée pour comprendre la situation et résoudre le problème.
Dans le cadre de cette politique, « recherche » désigne les activités dans lesquelles tu :
Veuillez nous informer dès que possible si vous découvrez une faille de sécurité réelle ou potentielle.
Veuillez tout mettre en œuvre pour éviter les atteintes à la vie privée, la dégradation de l’expérience utilisateur, la perturbation des systèmes de production ainsi que la destruction ou la manipulation des données.
N'utilisez les exploits que dans la mesure nécessaire pour confirmer la présence d’une vulnérabilité. N'utilisez pas un exploit pour compromettre ou exfiltrer des données, établir un accès persistant en ligne de commande ou l’utiliser pour passer à d'autres systèmes.
Une fois que vous avez établi qu’une vulnérabilité existe ou que vous rencontrez des données sensibles (informations personnelles identifiables, financières, exclusives ou secretscommerciaux de tiers), vous devez cesser vos tests, nous en informer immédiatement et ne divulguer cesdonnées à personne.
Cette politique s’applique aux systèmes et services suivants : les produits de marque THORN, les micrologiciels associés et les logiciels liés aux produits.
Signaler une vulnérabilité
Nous utiliserons les informations soumises dans le cadre de cette politique à des fins défensives uniquement, afin d'atténuer ou de corriger les vulnérabilités. Si vos découvertes incluent des vulnérabilités qui affectent l’ensemble des utilisateurs d’un produit ou d’un service, et pas seulement THORN, il est possible que nous partagions votre rapport (contenant des informations anonymes) avec les parties concernées (fournisseurs, partenaires, distributeurs, clients) sans autorisation expresse.
Nous acceptons les rapports de vulnérabilité par e-mail à l’adresse product-security(at)zumtobelgroup.com. Les soumissions n'ayant pas de lien avec les vulnérabilités de nos produits, micrologiciels ou logiciels liés aux produits ne seront pas traitées.
Les rapports peuvent être soumis de manière anonyme.
Afin de nous aider à trier et à prioriser les soumissions, nous vous recommandons d’inclure dans votre rapport :
C'est en anglais, si possible
Contient une description du numéro
Indique le numéro d'article du produit en question
Date de fabrication (si applicable)
Version du logiciel Names (si applicable)
Contient une description de l'endroit où la vulnérabilité ou les problèmes de sécurité ont été découverts et de l'impact potentiel de l'exploitation
Contient une description détaillée des étapes nécessaires pour reproduire la vulnérabilité (des scripts de preuve de concept ou des captures d’écran sont utiles)
Ce que tu peux attendre de nous / délais de réponse
Lorsque vous choisissez de partager vos informations de contact avec nous, nous nous engageons à collaborer avec vous aussi ouvertement et rapidement que possible.
Dans un délai de 5 jours ouvrables, à l'exclusion des samedis, nous accuserons réception de votre rapport.
Après avoir été informés d’un manquement de conformité, nous vous fournirons un point sur la situation tous les 20 jours civils, et ce, jusqu’à ce que les problèmes de sécurité signalés soient résolus.