X
Nous utilisons des cookies pour nous assurer que vous bénéficiez de la meilleure expérience possible sur notre site web. Si vous continuez, vous acceptez les conditions d'utilisation de notre site web.




Divulgation des vulnérabilités de Gallagher Animal Management


Nous accordons une grande importance à la recherche responsable en matière de sécurité et aux commentaires de nos clients. Si vous pensez avoir découvert une faille de sécurité potentielle dans l'une des solutions Gallagher Animal Management, veuillez nous en informer afin que nous puissions y remédier. Nous mettons à votre disposition une procédure de signalement claire via ce formulaire, s'engager à communiquer en temps opportun et offrir une protection de bonne foi pour le respect de ces lignes directrices. 


Si une faille de sécurité signalée affecte un produit tiers utilisé dans nos solutions, nous coordonnerons nos efforts avec ce fournisseur tout en protégeant vos informations. 

Définitions

 

Vulnérabilité – comportement fonctionnel d'un produit ou d'un service qui enfreint une politique de sécurité implicite ou explicite.  
Divulgation – action consistant à fournir initialement des informations sur une vulnérabilité à une partie qui n'était pas censée en avoir connaissance auparavant.  
Coordination – ensemble d'activités comprenant l'identification et l'engagement des parties prenantes, la médiation, la communication et d'autres activités de planification à l'appui de la divulgation des vulnérabilités. 
Remédiation – modification apportée à un produit ou à un service afin d'éliminer ou d'atténuer une vulnérabilité.
Avis – document ou message destiné à informer les autres d'une vulnérabilité, y compris, si possible, comment identifier et corriger les systèmes vulnérables. 

Le programme de divulgation des vulnérabilités s'applique aux solutions logicielles Gallagher Animal Management. 

Méthodes de divulgation 


Nous préférons que vous nous signaliez les failles de sécurité en privé en remplissant ce formulaire. Nous pouvons choisir de publier les détails de la faille, mais cette décision relève de la seule discrétion de Gallagher Animal Management, et non du chercheur en sécurité ou du client. Cela signifie que certaines failles peuvent ne jamais être rendues publiques.  

À ce stade, nous n'acceptons pas les signalements anonymes ; nous privilégions la collaboration. N'oubliez pas que l'anonymat limite les engagements dans les discussions relatives à la divulgation. 

Ce que vous ne devez pas faire 

 

Gallagher Animal Management considère les activités suivantes comme potentiellement dangereuses ou nuisibles à la sécurité de nos produits spécifiques. 

  • Ingénierie sociale, y compris l'hameçonnage.  
  • Attaques par force brute.  
  • Attaques par déni de service (DoS/DDoS).  
  • Accéder à des données ou informations qui ne vous appartiennent pas.  
  • Détruire ou corrompre des données ou des informations qui ne vous appartiennent pas.  
  • Publier ou partager avec d'autres personnes les vulnérabilités ou toute information personnelle que vous avez obtenues. Nous ne voulons pas que d'autres personnes tentent d'exploiter ces vulnérabilités.   
  • Partager ou publier toute information obtenue auprès de Gallagher Animal Management au cours de ce processus, car cela pourrait causer un préjudice à des personnes, être considéré comme une violation et vous exposer à des poursuites judiciaires.  
  • Falsification du matériel Gallagher. 

Types de vulnérabilités hors champ 


Gallagher Animal Management considère les classes de vulnérabilité suivantes comme hors de son champ d'application : 

  • Messages d'erreur détaillés sans impact significatif
  • Problèmes liés à des versions de navigateur non prises en charge
  • Méthodes de requête HTTP non sécurisées/manquantes
  • Utilisation de bibliothèques connues pour être vulnérables dans des contextes non exploitables
  • Clickjacking sans impact démontré
  • Problèmes d'enregistrement SPF/DKIM/DMARC  

Que nous dire 


Veuillez fournir autant d'informations que possible dans ce formulaire. Si vous avez besoin d'aide, veuillez nous envoyer un e-mail à l'adresse suivante am.techsupport@gallagher.com

Dans le formulaire, veuillez inclure : - 

  • Vos coordonnées (nom, adresse e-mail, organisation, fonction - client/chercheur en sécurité).  
  • Veuillez inclure des instructions claires et détaillées, ainsi que tout code de preuve de concept (PoC) pertinent démontrant comment reproduire la vulnérabilité. Si des informations supplémentaires sont nécessaires pour vérifier ou reproduire votre découverte, nous vous contacterons pour obtenir des précisions.  
  • Toute observation inhabituelle/non considérée comme normale avant l'incident   
  • Produit et versions concernés  
  • Configurations concernées
  • Si des informations personnelles ont été divulguées 
    • Supprimez toute information personnelle avant de signaler. 
    • Que s'est-il passé avec les informations personnelles exposées?  
  • Si la vulnérabilité a été partagée avec d'autres personnes ou publiée.  
  • Toute référence ou lecture complémentaire pouvant être utile.  
  • Recommandation sur la manière dont le problème pourrait être atténué ou résolu.  
  • Assistance pour tester à nouveau le problème une fois qu'une correction a été mise en œuvre. 
     

Ce que nous allons faire

 

  • Nous accuserons réception de votre e-mail dans un délai de 5 jours ouvrables. 
  • Nous examinerons le rapport que vous avez déposé et validerons vos conclusions. 
  • Nous vous contacterons à l'adresse e-mail que vous nous avez fournie pour vous communiquer les résultats de notre enquête et les mesures que nous avons prises. Si vous avez proposé des mesures de résolution, nous les examinerons et les prendrons en considération dans le cadre de notre réponse. 
  • Nous classerons les corrections par ordre de priorité en fonction de leur gravité et du risque qu'elles présentent ; certaines corrections peuvent dépendre de tiers et prendre plus de temps. Nous vous tiendrons informé régulièrement jusqu'à la clôture du dossier.  
  • Envisagez de demander de l'aide pour tester à nouveau le problème une fois la correction mise en œuvre (si nécessaire).
  • Nous ne proposons actuellement aucun programme de rémunération pour la divulgation de vulnérabilités ; si votre rapport est nouveau, pertinent et conforme à ces directives, nous pourrons vous offrir un cadeau symbolique (goodies), sous réserve de disponibilité et dans le respect des lois en vigueur.   

Sphère de sécurité 

 

  • Gallagher Animal Management reconnaît et apprécie le rôle important joué par les chercheurs indépendants en sécurité et nos clients dans le maintien de la sécurité de nos solutions.  
  • Nous n'engagerons aucune poursuite judiciaire et ne ferons appel aux forces de l'ordre uniquement pour avoir signalé une faille de sécurité, à condition que vous agissiez de bonne foi, que vous respectiez cette directive et que vous évitiez tout préjudice ou perturbation.  
  • Lorsque vous nous signalez une faille de sécurité, nous mettons en œuvre les mesures décrites dans la section « Ce que nous faisons ». Au cours de ce processus de divulgation, nous traitons toutes les informations sensibles de manière hautement confidentielle et appliquons en interne le principe du besoin d'en connaître. De même, nous vous demandons de : -  
    • Respectez une confidentialité stricte. Ne communiquez cette vulnérabilité à personne d'autre sans notre autorisation écrite. Si vous estimez qu'une autre personne doit en être informée, envoyez un e-mail à am.techsupport@gallagher.com et legal@gallagher.com et un responsable de la sécurité informatique ou un membre de l'équipe juridique agréé de Gallagher vous contactera.   
    • Si vous avez besoin de précisions concernant ces directives, veuillez nous envoyer un courriel à l'adresse suivante : am.techsupport@gallagher.com 
    • Veuillez comprendre que si la faille de sécurité concerne un autre fournisseur que Gallagher Animal Management, nous ne pouvons pas autoriser la recherche en matière de sécurité en son nom ni renoncer à ses droits ; ce tiers peut décider d'intenter une action en justice.   
    • Respectez toutes les lois et réglementations applicables. 
    • Veuillez nous contacter à l'adresse suivante am.techsupport@gallagher.com avant d'adopter un comportement qui pourrait être incompatible avec la présente directive ou ne pas être couvert par celle-ci. Nous pouvons refuser d'accorder la protection de la règle refuge pour les activités malveillantes, imprudentes, hors de portée ou non conformes, et nous nous réservons le droit de déterminer si une violation de la présente directive est accidentelle ou de bonne foi.  

Confidentialité et protection des données 


Nous traiterons toutes les informations personnelles contenues dans votre rapport conformément à notre déclaration de confidentialité et aux lois applicables en matière de confidentialité et de protection des données.  Lorsque la loi l'exige, nous informerons les autorités compétentes et les personnes concernées. 

Modifications apportées à cette directive 


Nous pouvons mettre à jour cette directive. Le cas échéant, nous publierons la nouvelle version sur cette page.  

Si vous souhaitez obtenir des précisions, veuillez nous envoyer un e-mail à l'adresse suivante am.techsupport@gallagher.com.

 

Pour nous signaler une vulnérabilité que vous avez découverte, veuillez remplir le formulaire ci-dessous

Vos coordonnées

Quelle vulnérabilité potentielle avez-vous identifiée ?

En soumettant ce formulaire, vous acceptez que Gallagher Animal Management conserve vos informations personnelles aussi longtemps que nécessaire pour atteindre les objectifs approuvés et pour vous contacter. Vos informations seront collectées et conservées en toute sécurité par Gallagher Group Limited, basé en Nouvelle-Zélande, et pourront être partagées avec l'ensemble du groupe Gallagher si nécessaire. Pour plus de détails sur la manière dont nous utilisons et gérons vos informations personnelles, vos droits d'accès, de correction ou de suppression de vos informations personnelles, et comment nous contacter à propos de vos informations personnelles, veuillez consulter notre Déclaration de confidentialité.