CloudBlue met tout en œuvre pour assurer la sécurité et la fiabilité de tous les produits CloudBlue. Pour intégrer la sécurité dans notre cycle de vie de développement logiciel (SDLC), nous suivons les Modèle de maturité de la Software Assurance (SAMM). Notre SDLC sécurisé garantit que les activités d'assurance de la sécurité telles que les tests d'intrusion, la révision du code et l'analyse de l'architecture font partie intégrante de l'effort de développement.

Équipe de sécurité

Nous avons une équipe dédiée responsable de la sécurité des produits CloudBlue. Dès le début du développement, l'équipe de sécurité participe aux revues de conception pour définir les exigences de sécurité aux côtés des exigences fonctionnelles et pour effectuer une analyse des risques de l'architecture.

L'équipe de sécurité collabore quotidiennement avec les développeurs et recherche en permanence tout problème de sécurité dans la base de code CloudBlue. L'équipe de sécurité construit également l'infrastructure de sécurité pour Secure SDLC. Pour détecter les problèmes les plus courants, nous utilisons une analyse automatique intégrée à nos pipelines de développement de logiciels :

  • Chaque fois qu'un nouveau code est transmis à un référentiel, une analyse automatique de test de sécurité des applications statiques (SAST) est effectuée.
  • Pour les instances déployées des produits CloudBlue, une analyse DAST (Dynamic Application Security Testing) est effectuée pour détecter les problèmes de sécurité lors de l'exécution.
  • L'exécution de l'analyse de la composition logicielle (SCA) est utilisée pour garantir que nous n'expédions pas notre produit avec des dépendances vulnérables. Il suit automatiquement les dépendances tierces et leurs licences pour chaque composant. Chaque vulnérabilité connue doit être corrigée avant la publication.

De plus, lorsqu'une nouvelle fonctionnalité est développée, l'équipe de sécurité examine manuellement son code source et effectue des tests dynamiques à l'aide de différents outils standard de l'industrie.

Formations Sécurité

Dans le cadre de la pratique SAMM Education & Guidance, chaque personne participant au cycle de vie du logiciel reçoit des instructions sur la manière de développer et de déployer un logiciel sécurisé. Nos développeurs sont conscients des risques de sécurité courants décrits dans le Top Ten de l'OWASP, et nos équipes R&D suivent des formations régulières pour renforcer les sujets de sécurité en utilisant des plateformes de formation commerciales ainsi que des cours et des supports développés en interne. La formation est dispensée annuellement et demandée à la demande.

Nous avons également fait un pas en avant en adoptant l'initiative Security Champions. Les champions de la sécurité sont des membres actifs d'une équipe qui s'intéressent à la sécurité et souhaitent contribuer à la sécurité de nos produits. Ils agissent comme un élément de soutien dans le processus d'assurance de la sécurité et ont le rôle de point de contact unique (SPOC) au sein de leurs équipes.

Ouvrir le projet de sécurité des applications Web (OWASP)

L'open source c'est génial ! Nous pensons que l'utilisation de normes et d'outils ouverts communautaires est un élément essentiel du développement de logiciels sécurisés, en particulier à long terme. C'est pourquoi nous avons adopté plusieurs outils OWASP, les avons intégrés à notre SDLC sécurisé et avons fait d'OWASP SAMM le cœur de notre SDLC sécurisé. En utilisant l'open source, nous visons à :

  • Bénéficiez de l'open source en utilisant des normes et des outils communautaires.
  • Contribuez à l'open source en vérifiant qu'il convient aux solutions d'entreprise.

Pour rendre l'aspect sécurité des produits CloudBlue plus transparent, nous suivons Norme de vérification de la sécurité des applications (ASVS). ASVS est un cadre communautaire d'exigences et de contrôles de sécurité qui se concentre sur la définition des contrôles de sécurité fonctionnels et non fonctionnels nécessaires pour concevoir, développer et tester des applications Web et des services Web modernes. Nous ne traitons pas cette norme comme une source de vérité immuable, mais plutôt comme un point de départ pour une discussion sur un sujet de sécurité.

Test de pénétration externe

Une fois expédiés aux clients, nos produits deviennent une partie de leur infrastructure, augmentant la surface d'attaque potentielle. C'est pourquoi nos clients demandent régulièrement à leurs propres équipes de sécurité ou à des équipes externes d'effectuer des tests d'intrusion sur nos produits afin de s'assurer que la sécurité globale de leur infrastructure n'est pas affectée. Les rapports de ces tests nous permettent de voir du point de vue du client et de mieux comprendre ses besoins et ses exigences.

Cryptographie

Nous prenons un ensemble de mesures pour nous assurer que les données de nos produits sont cryptées.

Le hasard

Toutes les valeurs qui doivent être aléatoires, telles que les clés de cryptage générées de manière aléatoire et les vecteurs d'initialisation, sont générées à l'aide d'un générateur de pseudo-numéros cryptographiquement sécurisé.

En plus de la source appropriée de caractère aléatoire, la taille minimale suivante de données aléatoires est utilisée :

ObjetEntropie minimale (bits)
Clés cryptographiques128 et plus
vecteur IV128 et plus
Session ID80 et plus

Crypto symétrique

CloudBlue Commerce utilise l'algorithme Advanced Encryption Standard (AES) pour chiffrer les données, comme le recommande le National Institute of Standards and Technology (NIST) pour une utilisation à long terme du stockage, et parce qu'il est souvent inclus dans les exigences de conformité des clients.

Nous utilisons les modes AES suivants :

  • AES en mode Galois/Mode compteur (GCM)
  • AES en mode Cipher Block Chaining (CBC) avec un code d'authentification de message haché (HMAC)

ChiffrerObjetFormat de stockage
AES-128-CBC avec IV aléatoireStocker des données sensibles$AES-128-CBC${IV}${Données chiffrées en BASE64}
AES-128-GCM avec Nonce unique aléatoireStocker et envoyer des données sensibles$AES-128-GCM${Nonce}${Données chiffrées en BASE64}
AES-128-CBC-HMAC avec IV aléatoireStocker et envoyer des données sensibles$AES-128-CBC${IV}${Données chiffrées en BASE64}${HMAC BASE64}

Sécurité des transports

Pour fournir un transfert de données sécurisé sur le réseau, CloudBlue Commerce utilise TLS 1.2 avec les suites de chiffrement suivantes :

DHE-RSA-AES256-GCM-SHA384 DHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES256-SHA256 DHE-RSA-AES128-SHA256 ECDHE-RSA-AES256-SHA384 ECDHE-RSA-AES128-SHA256

Certifications

Nous travaillons constamment à l'élargissement de la couverture de conformité. Actuellement, nous sommes certifiés ISO27001:2013.

CloudBlue a mis en place des politiques et des procédures pour démontrer la conformité au RGPD et les termes du code de conduite RGPD de Cloud Security Alliance par CloudBlue et nos sous-traitants ultérieurs. Pour démontrer sa conformité, CloudBlue est en mesure de fournir les preuves énumérées ci-dessous :

  • Auto-évaluation STAR disponible sur le site Web de Cloud Security Alliance
  • Version publique de la politique de sécurité de l'information et des politiques connexes
  • Certificat ISO 27001 (nécessite une NDA)
  • Déclaration de confidentialité : https://corp.ingrammicro.com/en-us/legal/privacy

Confidentialité des données et protection des données

CloudBlue étant une organisation mondiale, se conforme à différentes lois et réglementations sur la confidentialité des données, notamment le Règlement général sur la protection des données (RGPD), le California Consumer Privacy Act (CCPA) et le Code de conduite GDPR de la Cloud Security Alliance. Nous intégrons les mesures de sécurité techniques et organisationnelles requises et garantissons la protection des droits de la personne concernée.

En utilisant les Services, vous acceptez que nous puissions utiliser les Données conformément à notre Déclaration de confidentialité, disponible ici.

Chaque partie reconnaît et accepte de se conformer à la législation sur la protection des données et la confidentialité applicable à l'exécution des présentes Conditions (« Lois sur la protection des données »), telles que, sans s'y limiter, le cas échéant, le California Consumer Privacy Act (« CCPA ») et le European Règlement général de l'Union sur la protection des données (Règlement (UE) 2016/679) (« RGPD »), y compris lors de l'utilisation, de la manipulation, de la divulgation, du transfert, du partage ou du traitement de quelque manière et à quelque fin que ce soit, de toute information relative à une personne identifiée ou identifiable personne ("Données personnelles") reçues de ou au nom de l'autre partie, pour la durée de la durée des présentes Conditions. Toutes les données personnelles divulguées par une partie et traitées par l'autre partie dans le cadre des présentes conditions sont des informations confidentielles de la partie divulgatrice et sont soumises aux obligations de confidentialité énoncées à l'article 9 des présentes conditions.

Vous reconnaissez que vous pouvez tirer parti de certaines fonctionnalités de la Plateforme pour générer des informations et des données sur l'utilisateur final pour les opérations commerciales requises. Si des données d'utilisateur final sont demandées et rendues disponibles ou accessibles pour vous, vos employés, agents ou sous-traitants, vous vous conformerez pleinement à toutes les lois, réglementations et ordonnances gouvernementales applicables, y compris celles relatives aux données personnelles et/ou aux informations personnellement identifiables ( « PII ») et la confidentialité des données en ce qui concerne les données que vous recevez ou auxquelles vous avez accès en vertu des présentes Conditions ou en relation avec l'exécution de tout autre service que vous ou un client recevez. Vous protégerez autrement les IPI et n'utiliserez, ne divulguerez ni ne transférerez ces IPI à l'étranger, sauf autorisation de la personne concernée ou conformément aux lois applicables. Dans la mesure où vous recevez des IPI liées à l'exécution de ces Conditions, vous protégerez la vie privée et les droits légaux de ces tiers.

Nonobstant toute disposition contraire dans les présentes Conditions, CloudBlue peut copier, modifier, distribuer et autrement utiliser les Données personnelles reçues de ou en votre nom dans la mesure nécessaire aux fins de fournir la Plateforme et les Services. Vous garantissez et déclarez que vous avez déjà mis en place ou que vous obtiendrez, selon le cas, et que vous maintiendrez en vigueur toutes les permissions, consentements et autorisations qui sont requis par les lois applicables pour que vous fournissiez ou organisiez la fourniture de données personnelles à Nuage Bleu. Vous déclarez et garantissez que vous avez la pleine capacité et le droit légal de fournir et de mettre à disposition des données personnelles à CloudBlue comme prévu par les présentes conditions. Vous ne mettrez par aucun acte ou omission CloudBlue en violation de ses obligations légales en vertu de la législation applicable en matière de protection des données et de la vie privée et en relation avec les présentes Conditions.

Dans la mesure où le CCPA s'applique à l'exécution des présentes Conditions par les parties, les Données personnelles telles qu'elles sont utilisées dans les présentes Conditions comprennent toutes les « informations personnelles » telles que ce terme est défini dans le CCPA. Chaque partie reconnaît et accepte que, en ce qui concerne le partage de ces Données personnelles avec CloudBlue en vertu des présentes Conditions, CloudBlue est un « fournisseur de services » tel que ce terme est défini dans le CCPA. En ce qui concerne les données personnelles constituées d'"informations personnelles" telles que ce terme est défini dans le CCPA, CloudBlue certifie par la présente qu'il comprend qu'il est interdit de (a) vendre ces données personnelles (comme "vendre" est défini dans le CCPA), (b) conserver, utiliser ou divulguer ces données personnelles à des fins autres que l'objectif spécifique d'exécution des services ou autrement autorisé par le CCPA, y compris la conservation, l'utilisation ou la divulgation des données personnelles à des fins commerciales autres que la fourniture les Services, et (c) conserver, utiliser ou divulguer les Données personnelles en dehors de sa relation commerciale directe avec vous.

CloudBlue utilise l'algorithme Advanced Encryption Standard (AES) pour chiffrer les données au repos. Toutes les données au niveau du stockage sont cryptées avec AES256 par défaut. Le trafic est chiffré en transit à l'aide de Transport Layer Security 1.2 (TLS) avec un chiffrement AES-256 standard. TLS est un ensemble de protocoles cryptographiques standard utilisés pour chiffrer les informations échangées sur le réseau.

La disponibilité est garantie en tirant parti de notre infrastructure sur le niveau premium Azure, qui offre une haute disponibilité grâce à la redondance régionale.

RGPD & Traitement des données personnelles

Aux fins de traitement des Données Personnelles provenant de l'Espace Economique Européen, qui est soumis au RGPD, CloudBlue s'engage à incorporer au titre de la présente clause 11.2 un accord de traitement de données (ci-après « DPA »), dont les termes font partie intégrante des présentes. Les conditions et s'appliquent uniquement si et dans la mesure où CloudBlue traite des données personnelles dans le cadre de la fourniture de la plate-forme et des services (collectivement, les « services cloud »).

Les termes utilisés dans le présent DPA, mais non définis ici (le cas échéant) ont le sens indiqué dans les présentes Conditions, le RGPD ou le CCPA, selon le cas, respectivement.

Chaque partie reconnaît et accepte que, dans la mesure où les données personnelles sont soumises au RGPD, le client est le « contrôleur de données » de ces données personnelles que CloudBlue traite en son nom et CloudBlue est le « sous-traitant des données ».

Dans la mesure où CloudBlue « traite » (tel que ce terme est défini dans le RGPD) des données personnelles soumises au RGPD pour le compte du client, CloudBlue doit :

  • Traiter uniquement les données personnelles fournies par le client conformément à ses instructions, à aucune autre fin que celles déterminées par le client, dans la mesure nécessaire pour exécuter ses obligations énoncées dans les présentes conditions et afin de se conformer à une obligation légale.

Si, toutefois, à tout moment au cours de l'exécution du présent ATD et des présentes Conditions, CloudBlue établit que les instructions du client apparaissent de quelque manière que ce soit comme illégales ou non conformes à la législation applicable, CloudBlue en informera sans délai le client et attendra instructions supplémentaires.

Prendre des mesures raisonnables pour assurer la fiabilité du personnel qui a accès aux Données personnelles traitées dans le cadre de l'exécution des obligations en vertu des présentes Conditions et que tout le personnel à qui CloudBlue divulgue des Données personnelles est informé que les Données personnelles sont des informations confidentielles et soumises à la obligations énoncées dans le présent ATD et les présentes Conditions.

  • Compte tenu de l'état de l'art, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités du traitement et de la nature des Données Personnelles ainsi que du risque et de la gravité pour les droits et libertés des personnes physiques, prendre et maintenir pendant l'exécution du présent DPA des mesures techniques et organisationnelles appropriées contre le traitement non autorisé ou illégal de ces données personnelles et contre la perte, la destruction ou l'endommagement accidentel des données personnelles. Des informations supplémentaires sur les mesures de sécurité mises en œuvre par CloudBlue sont disponibles en vertu de la clause 10 ci-dessus des présentes Conditions, et sur demande écrite à CloudBlue. En acceptant ces Conditions et ce DPA, le client accepte les mesures de sécurité prises et mises en œuvre par CloudBlue.
  • Informer dans les meilleurs délais le client de toute demande d'une personne concernée d'exercer ses droits d'accès, de rectification, de modification, de limitation de traitement ou de suppression (« droit à l'oubli »), de portabilité des données, d'opposition au traitement de ses Données Personnelles Données ou toute autre demande de personne concernée, avis de tiers, violations de données personnelles ou perte de données personnelles du client et assister et coopérer avec le client afin d'empêcher les conséquences de celles-ci et d'assurer le respect des lois applicables en matière de protection des données. Le client supportera les frais déraisonnables encourus par CloudBlue liés à une telle assistance et coopération.
  • Fournir une assistance raisonnable au client afin de lui permettre de se conformer à ses obligations en vertu des lois sur la protection des données, y compris, mais sans s'y limiter, les demandes des personnes concernées, dans la mesure où le client n'a pas autrement accès aux informations pertinentes et dans la mesure où ces les informations sont disponibles pour CloudBlue. CloudBlue fournira une assistance raisonnable au client dans la coopération ou la consultation préalable avec l'autorité de contrôle en ce qui concerne l'exécution de ses tâches en vertu du présent DPA, dans la mesure requise par les lois sur la protection des données. Le client supportera les frais liés à cette assistance.
  • À la résiliation des présentes conditions, cesser tout traitement des données personnelles du client et supprimer ou, à la demande du client, renvoyer tous les fichiers contenant les données personnelles, à moins que la conservation des données personnelles ne soit requise par la loi. Le client supportera les frais liés à ce retour ou à cette suppression de données. CloudBlue fournit une assistance à la résiliation pendant la période post-résiliation autorisée aux clients (le cas échéant)
  • Toute modification concernant les services cloud pertinents sera communiquée aux clients par e-mail ou par les gestionnaires de compte technique
  • CloudBlue reste responsable envers nos clients de l'exécution des obligations de notre sous-traitant ultérieur.
  • CloudBlue partagera les accords conclus avec nos sous-traitants ultérieurs, en partie, à la demande du client, si nécessaire pour démontrer la conformité.
  • Les clients CloudBlue peuvent recevoir directement une copie des données personnelles qu'ils ont fournies, dans le cadre de leur service fourni, dans un format structuré, couramment utilisé, lisible par machine et interopérable
  • Les utilisateurs autorisés peuvent demander via le portail client que CloudBlue supprime tous les enregistrements client via une suppression de base de données. CloudBlue ne supprimera les données client que sur instruction explicite des clients conformément à nos conditions générales CloudBlue renverra les données dans un format standard au client (contrôleur de données) sur demande sans frais supplémentaires.

Le client reconnaît et accepte que CloudBlue puisse être amenée à sous-traiter l'une quelconque de ses opérations de traitement concernant les Données Personnelles du client à ses sociétés affiliées ou à des sous-traitants tiers situés dans différents pays. À cette fin, en acceptant les termes et conditions du présent DPA et des présentes Conditions, le client accorde par la présente à CloudBlue une autorisation générale de recourir à des sous-traitants si nécessaire pour assurer l'exécution des Services Cloud, les obligations de CloudBlue en vertu des présentes Conditions ou pour assurer le respect des obligations légales. Pour éviter toute ambiguïté, CloudBlue ne sous-traitera ses opérations de traitement en vertu du présent ATD et des présentes Conditions que conformément aux exigences des Lois sur la protection des données applicables. Sur demande écrite du client, CloudBlue fournira au client une liste des sous-traitants impliqués dans le traitement des Données Personnelles en vertu des présentes. Le client reconnaît et accepte que CloudBlue puisse être amené à transférer, divulguer ou autrement autoriser l'accès aux Données Personnelles traitées dans le cadre de la fourniture des Services Cloud à ses affiliés ou sous-traitants situés dans différents pays, y compris en dehors de l'Espace Economique Européen (« EEE ”) dans le but d'assurer l'exécution des obligations des Services Cloud et de CloudBlue en vertu du présent ATD et des présentes Conditions ou pour assurer le respect d'une obligation légale. En acceptant les termes et conditions du présent ATD et des présentes Conditions, le client accepte ces transferts de données. Une liste des emplacements de transfert de données peut être fournie au client sur demande écrite à CloudBlue. Pour éviter tout doute, CloudBlue convient que toute divulgation, accès ou transfert en dehors de l'EEE des données personnelles du client traitées en vertu des présentes sera effectué conformément aux lois applicables sur la protection des données.

Le client ne fournira pas le traitement, le transfert ou l'accès à CloudBlue à des données personnelles à moins que, le cas échéant, la personne concernée n'ait donné son consentement au traitement de ses données personnelles en vertu des lois sur la protection des données. Le client reconnaît et accepte qu'il a la seule responsabilité de fournir les informations de transparence nécessaires et d'obtenir tous les consentements nécessaires des personnes concernées pour le traitement des données personnelles en vertu du présent ATD et des présentes conditions. Le client garantit et déclare ainsi que lorsqu'une telle transparence des informations et un tel consentement sont nécessaires, le client a fourni ces informations et obtenu le consentement de la personne concernée, et sur demande écrite, des copies de ces consentements seront fournies à CloudBlue avant de transférer les données personnelles pour En traitement.

CloudBlue s'engage à se soumettre à des audits ou à faire appel à un auditeur, inspecteur, régulateur et autre représentant tiers indépendant, désigné par écrit par le client pour effectuer un audit au nom du client afin de valider la conformité de CloudBlue à ses obligations en vertu du présent ATD, cependant un tel audit ne peut être demandé qu'avec un préavis écrit de trente (30) jours ouvrables et exécuté au cours des mois suivants (juillet, août et septembre) et seulement une fois tous les douze (12) mois. Un tel auditeur, inspecteur, régulateur ou autre représentant tiers désigné par le client sera soumis à un accord de confidentialité fourni à CloudBlue avant l'audit. CloudBlue fournira au client, aux fins de l'audit et sur demande écrite, les informations raisonnables nécessaires pour démontrer le respect des obligations de CloudBlue en vertu du présent ATD, à l'exclusion de toute information, document ou dossier relatif aux relations commerciales de CloudBlue avec tout tiers ou les documents ou enregistrements déjà audités par le client au cours des douze (12) mois précédents. Le client doit effectuer toute inspection à une date mutuellement convenue, pendant les heures normales de travail et sans interférer avec le cours des opérations commerciales de CloudBlue. Tous ces audits seront à la charge exclusive du client.

Nonobstant toute disposition contraire dans les présentes Conditions, le client doit indemniser et dégager CloudBlue de toute responsabilité, pertes, réclamations, pénalités, dommages, coûts et dépenses de quelque nature que ce soit, y compris s'ils sont imposés par l'autorité de contrôle à CloudBlue et découlant de tout réclamations, actions, procédures ou règlements, résultant de la violation ou du non-respect par le client des termes et conditions du présent ATD, des présentes Conditions et/ou des lois applicables sur la protection des données.

Le présent ATD entrera en vigueur à la date d'exécution des présentes Conditions et restera pleinement en vigueur pendant la durée des présentes Conditions. Ce DPA prendra automatiquement fin avec la résiliation ou l'expiration des Conditions.

Informations sur le traitement des données

A. Les catégories de personnes concernées dont les données personnelles peuvent être traitées en vertu des présentes incluent, sans toutefois s'y limiter :

  1. les employés du client qui ont des comptes sur la Plateforme
  2. revendeurs, sous-revendeurs et l'utilisateur final

B. Le type de données personnelles traitées peut inclure : le prénom, le nom, l'adresse, l'e-mail, le numéro de téléphone et toute autre information pouvant être requise et mise à la disposition de CloudBlue par le client aux fins de la fourniture du service.

C. Les Données Personnelles seront en tout état de cause traitées pour les besoins de l'exécution des Services.

D. Les données personnelles seront traitées pendant la durée des Conditions et conformément aux lois sur la protection des données.

E. La personne de contact de CloudBlue concernant cette section onze (11) est :

Nom : Aaron Mendelsohn Ingram Micro Data Protection Officer

Adresse e-mail: privacy@ingrammicro.com.

Comment signaler un problème de sécurité

À propos de la politique

Fournir un niveau élevé de sécurité des produits est une priorité absolue de CloudBlue. Nous pensons que la transparence de l'évaluation de la sécurité nous aidera, nous, les équipes de sécurité externes et nos clients, à être sur la même longueur d'onde en matière de sécurité dans CloudBlue. Nous sommes prêts à travailler avec toute personne qui soumet des rapports de vulnérabilité de bonne foi, comme décrit dans cette section. C'est pourquoi nous avons formalisé le processus de traitement des failles de sécurité.

De marché

Nous exhortons tout le monde à suivre ces règles lors de la recherche :

  • Respectez les lois applicables et toutes les exigences de licence logicielle applicables.
  • Faites tout votre possible pour éviter les violations de la vie privée, les perturbations des systèmes de production, la dégradation des performances et la perte de données lors des tests de sécurité.
  • Utilisez les canaux de communication identifiés pour nous signaler les informations de vulnérabilité.
  • Gardez les informations sur les vulnérabilités que vous avez découvertes confidentielles entre vous et CloudBlue jusqu'à ce que nous ayons eu 90 jours pour résoudre le problème.

Critères de vulnérabilité

L'exploitabilité est notre critère général pour commencer à traiter un problème comme une vulnérabilité. En d'autres termes, nous considérons un bogue comme une vulnérabilité si le bogue peut avoir un impact sur la confidentialité, l'intégrité ou la disponibilité de notre produit. Dans tous les autres cas, nous le traitons comme un bogue régulier et les délais fournis dans la section Analyse ne sont pas applicables.

Par le terme « attaquant », nous entendons un acteur malveillant qui tente d'avoir un impact négatif sur la confidentialité, l'intégrité ou la disponibilité de notre produit. Nous supposons qu'un attaquant est un expert hautement qualifié possédant une connaissance approfondie de notre produit et de son architecture interne, et que les mesures de sécurité qui relèvent du principe de la sécurité par l'obscurité n'auront aucun effet.

Chaque bogue doit être corrigé. Cependant, la procédure pour corriger un bogue est différente de la correction d'une vulnérabilité. Dans la section Exclusions ci-dessous, vous pouvez trouver les problèmes les plus fréquemment signalés qui ne sont pas des vulnérabilités de notre point de vue et sont ensuite traités comme des bogues réguliers.

Exclusions

  • Exposition de trace de pile.
  • Exposition des adresses IP internes.
  • Déclarations selon lesquelles le logiciel est obsolète ou vulnérable sans code d'exploitation de preuve de concept.
  • Vulnérabilités qui ne peuvent pas être utilisées sans impliquer les utilisateurs de CloudBlue Commerce, par exemple, self-xss ou demander à un utilisateur de coller du code JavaScript dans la console du navigateur.
  • Rapports non validés de scanners de vulnérabilité Web automatisés, tels qu'Acunetix, Owasp Zap et Burp Suite.
  • Incompatibilités de protocole.
  • Panneaux de connexion exposés.
  • Indicateurs de cookies manquants sur les cookies de non-authentification.
  • Problèmes qui affectent uniquement les agents utilisateurs ou les versions d'application obsolètes. Nous ne prenons en compte que les exploits dans les dernières versions de navigateur pour Safari, Mozilla Firefox, Google Chrome, Microsoft Edge et Internet Explorer.
  • Problèmes nécessitant un accès physique à l'ordinateur ou à l'appareil de la victime.
  • Divulgation de chemin.
  • Problèmes de capture de bannière : déterminer quel serveur Web nous utilisons, quelle version est utilisée, etc.
  • Rapports hautement spéculatifs sur les dommages théoriques.

Procédure de signalement

Rapport

Pour signaler une faille de sécurité affectant les produits CloudBlue, veuillez contacter l'équipe CloudBlue Application Security. Nous répondons à ces rapports dans les trois jours ouvrables.

Veuillez rapporter les informations suivantes :

  • Une description de la vulnérabilité, y compris le code d'exploitation de preuve de concept ou les traces réseau (le cas échéant).
  • Détails du produit concerné, y compris la version du produit et le composant concerné.
  • Publicité de la vulnérabilité, ou si elle a déjà été divulguée publiquement.

Tout le monde est encouragé à signaler les vulnérabilités découvertes, quel que soit le contrat de service ou l'état du cycle de vie du produit. CloudBlue accueille les rapports de vulnérabilité des chercheurs, des groupes industriels, des CERT, des partenaires et de toute autre source, car CloudBlue ne nécessite pas d'accord de non-divulgation comme condition préalable à la réception des rapports. CloudBlue respecte les intérêts de la partie déclarante (les rapports peuvent être rendus anonymes sur demande) et s'engage à traiter toute vulnérabilité dont on peut raisonnablement penser qu'elle est liée aux produits CloudBlue dans la section Portée. CloudBlue suit les pratiques de divulgation coordonnée des vulnérabilités (CVD) et pour protéger l'écosystème, nous demandons à ceux qui nous signalent de faire de même.

Pour plus d'informations sur les CVD, veuillez vous référer au document suivant : Le guide CERT pour la divulgation coordonnée des vulnérabilités.

Analyses

Tout d'abord, l'équipe de sécurité des applications CloudBlue étudie et reproduit la vulnérabilité. Si nécessaire, CloudBlue demandera plus d'informations au déclarant.

Au cours de cette étape, l'équipe de sécurité des applications CloudBlue effectue les actions suivantes :

  • Analyse l'impact en fonction des exigences de sécurité existantes, de la portée et du contexte de la vulnérabilité.
  • Réalise l'étape d'exploitation de la vulnérabilité.
  • Calcule la gravité de la vulnérabilité à l'aide du score CVSS v3.1.

En fonction des résultats, l'équipe de sécurité des applications attribue ensuite l'un des niveaux de gravité suivants à la vulnérabilité :

  • Critique : vulnérabilités qui ne peuvent pas être atténuées par les solutions de sécurité et qui nécessitent une publication de correctif dans un délai d'une semaine.
  • Moyen : Vulnérabilités qui peuvent être atténuées par les solutions de sécurité existantes, par exemple, WAF, mais nécessitent une publication de correctif dans les trois semaines.
  • Faible : Vulnérabilités et problèmes susceptibles d'être résolus dans la version la plus proche de notre produit. La version du correctif peut être publiée dans plus de trois semaines.

Maniabilité

CloudBlue effectue la gestion interne des vulnérabilités en collaboration avec les groupes de développement responsables. Pendant ce temps, une communication régulière est maintenue entre CloudBlue et la partie déclarante pour s'informer mutuellement de l'état actuel et pour s'assurer que la partie déclarante comprend la position de CloudBlue. S'il est disponible, un correctif logiciel pré-publié peut être fourni à la partie déclarante pour vérification.

Divulgation

Une fois le problème analysé avec succès et si un correctif est nécessaire, les correctifs correspondants seront développés et préparés pour être distribués. CloudBlue utilisera les processus de notification client existants pour gérer la publication des correctifs, ce qui peut inclure une notification directe au client ou la publication publique d'un avis de sécurité contenant toutes les informations nécessaires.

Une note d'avis de sécurité CloudBlue contient généralement les informations suivantes :

  • La description de la vulnérabilité et son score CVSS v.3.1.
  • La description de l'impact.
  • La liste des produits et des versions de logiciel ou de matériel concernés connus.
  • Informations sur les facteurs atténuants et les solutions de contournement.
  • L'emplacement des correctifs disponibles.

Portée

  • Plateforme CloudBlue Commerce
  • Plateforme CloudBlue Connect

Hors champ

Environnements d'infrastructure avec des composants liés aux opérations du produit :

  • Mauvaise configuration et vulnérabilités du système d'exploitation.
  • Tout service tiers ou service hébergé par des fournisseurs tiers.
  • Résultats pour les applications ou les systèmes non répertoriés dans la section "Portée".
  • Bugs UI et UX et fautes d'orthographe.
  • Vulnérabilités de déni de service au niveau du réseau (DoS/DDoS).
  • Résultats des tests physiques tels que l'accès au bureau, par exemple, les portes ouvertes ou le talonnage.
  • Les résultats proviennent principalement de l'ingénierie sociale, par exemple, le phishing.

Pour protéger votre vie privée, veuillez ne jamais transmettre à CloudBlue des informations que nous pourrions reconnaître comme :

  • Informations personnellement identifiables (PII);
  • Données du titulaire de la carte de crédit.

Informations sur les contacts

Si vous pensez avoir trouvé une faille de sécurité dans l'un de nos produits, veuillez nous envoyer un e-mail à security@cloudblue.com.

Veuillez inclure les détails suivants dans votre rapport :

  • La description de l'emplacement et de l'impact potentiel de la vulnérabilité.
  • Une description détaillée des étapes requises pour reproduire la vulnérabilité. Le code d'exploitation de preuve de concept, les captures d'écran et les captures d'écran compressées nous sont tous utiles.
  • Votre nom ou identifiant et un lien pour une reconnaissance dans notre Hall of Fame ou une demande d'anonymat.

Veuillez utiliser notre clé PGP lorsque cela est possible pour chiffrer votre rapport :

—–COMMENCER LE BLOC DE CLÉ PUBLIQUE PGP—–
 mQENBF2Df8wBCADGZg6pHjT+aBo1jeRKWamK/4ITw9jzN5lHSlsmmtzS5nFFM0fG
 2AGVMuB7P9zQNzDBqpSfydVysUS0I0aB+XNP0YTPzBQpKouLzcmu4vMgcOnoSg+s
 ija4BoMjae4LBM1rIjuZHJz9dEVr8WLMcOxkmZpFG1sp/kQFAsJoEDgXhTLf/Yk1
 gItEcfdwb6BATDK8LrCtpYf9QrC8Inrz+C4IB6WOWnLgyUB1J+ETRADaAukwZHHP
 qDl+wzc5X8K+oTI4DklVczwjz/E/4KmDyuCK1mCZKV9rbf3J4rlnANEwBWgljT2L
 mapYq4g8wNiUfSoN76npdG7IBKh73BPeRpylABEBAAG0MkFwcGxpY2F0aW9uIFNl
 Y3VyaXR5IDxhcHBzZWN1cml0eUBpbmdyYW1taWNyby5jb20+iQFUBBMBCAA+FiEE
 tSwZneL5D+vWJaosJSUaNxXdHuYFAl2Df8wCGwMFCQPDfEQFCwkIBwIGFQoJCAsC
 BBYCAwECHgECF4AACgkQJSUaNxXdHuaNAgf/SS/bpxlUmiHr1/oCZ25pbFmolwiL
 KqyBaue11rnzOqSpZkn/orIumGTBDkhxq1EFQPKTcCLZX4b3/iaFd/pkdA4A/95x
 /5KgijQ0V4YU6XUR+84KQD2nM+GFpAw9oWJa+0DbQkXA/6eunURzKWpZD+W5orbO
 892mTQsZVXgn3+deOEhqtp9bKx6Wgixf1k1Q5UaAu5TVCkpKeZn7Df4mZcLjgOuk
 fUrblbCnoe5oXfHa7Gtdl2gUMQMuxUIWUz3CdizXcITmjVdh2GZm4vYg9fnAd+me
 cK12yZueol/Nrlv+1Q1V905oVxxDevlPf/1LDaT8ifVnWP5og+V/+k1LGbkBDQRd
 g3/MAQgA2rGOMuzFKtwBHOZcsD6uI4hgrONuHMLEppk/AAmr26+pU99ezvgiOVaC
 n9lkgt5/Wl2iNe1P8R0ptfqWtmOIKcdtyVnpV8EyJ4Zk8DY/YH1TkTAR/CmeHAwm
 vKVQc9lnXgn3BNL0RfUk4lG5iH6CqXkKUAz82PJLXaCvG8LSD+u78pYXVHJ8Y61b
 hD3y4idfKeSwcsL0bmN4zelw4VY7z72+i30pzTQOkZUkkUasXEGy1CsdOhxKg/Ef
 8cBQE5LVTDGd6/OrnRLfoGYJS5uEBp5kCp36ruB0pIpRdE8ZyJXUczpIm1m962OD
 +Yem+OVGtDCerKfr6Bhy2tMXDxULbQARAQABiQE8BBgBCAAmFiEEtSwZneL5D+vW
 JaosJSUaNxXdHuYFAl2Df8wCGwwFCQPDfEQACgkQJSUaNxXdHuZP5gf/dLVXCqD8
 nVHGjllA2e4O8+Crhp3uQxS5U8/aK9i2W6jiSI3OqDPsS7Uzn/NF/7YpY/A2Lm6h
 cQIKSHHmiRt0STzzNKeDBRDX/JUkJOpl/8A77+8G0GG3d8lYzokn5NGYmyrtx1D/
 uZZfDuTh4ghSdljs+700vxnz1oBVckLiNP4FUp28gPVayhgENEVYxv3fypzI7btw
 M6FHc77kvk+cCK9aVxOGEp6fNUGz6Y6INGk1/m3orPuSdQTmGxXZtNas7nV4Opb0
 kbErrXy03rWO3YM7czqg+EcjC2yMbqkqqinMtvblxDQZMwabjCl3JKHuE84YscJc
 2g9N9g2aAOGWpw==
 =fpiJ
 —– FIN DU BLOC DE CLÉ PUBLIQUE PGP—–

CloudBlue, une Ingram Micro Business utilise des cookies pour améliorer la convivialité de notre site. En continuant à utiliser ce site et/ou en vous connectant, vous acceptez l'utilisation de ces cookies. Pour plus d'informations, visitez notre Politique de confidentialité.
J'ACCEPTE