Annonce d'une faille ou divulgation coordonnée d'une vulnérabilité (Coordinated Vulnerability Disclosure, CVD)

Vous avez découvert une vulnérabilité dans un système informatique ou encore dans une application, un logiciel ou du matériel informatique disponible sur le marché et vous souhaitez la signaler? La règle d'or à suivre consiste à signaler la vulnérabilité directement au vendeur ou au propriétaire du système. S'ils ne réagissent pas à votre annonce ou si leur réponse est insuffisante, le NCSC peut servir d'intermédiaire pour résoudre le problème de sécurité.

Différents moyens permettent de signaler une vulnérabilité.

Biens de l'administration fédérale

Si vous avez découvert une vulnérabilité technique dans un système informatique, une application ou du matériel informatique de l'administration fédérale, signalez-la au NCSC au moyen du formulaire ci-dessous. Veuillez vous conformer à notre politique commune en matière de divulgation des vulnérabilités pour effectuer votre signalement en bonne et due forme.


Si les biens concernés sont liés au système de certificat COVID ou au système suisse de traçage de proximité pour le COVID-19, veuillez utiliser le formulaire spécial d'annonce.

Autres biens

Si vous avez découvert une vulnérabilité dans un système informatique ou un produit autre que ceux de l'administration fédérale, mais non dénué d'incidences pour la Suisse, signalez toujours la vulnérabilité d'abord au propriétaire du système ou au fournisseur du produit. Signalez-la au NCSC uniquement si ces derniers ne prennent pas les mesures qui s'imposent. En pareil cas, le NCSC interviendra en sa qualité d'intermédiaire et leur signalera lui aussi la vulnérabilité.

Publication des CVE

Si vous avez découvert une vulnérabilité dans une application, un logiciel ou du matériel informatique utilisé par les entreprises suisses, le NCSC peut coordonner la publication de cette CVE (abréviation anglaise désignant les vulnérabilités et expositions communes), en sa qualité d'autorité habilitée à attribuer des numéros CVE.

Comment nous communiquer une annonce de vulnérabilité?

  • Remplissez le formulaire ci-dessous en détaillant votre découverte. Indiquez votre clé PGP publique pour que le NCSC puisse se mettre en rapport avec vous immédiatement et en toute sécurité.
  • Fournissez un maximum d'informations; cela permettra d'assurer la reproductibilité de la vulnérabilité et d'accélérer le processus.
  • Dans le cas des vulnérabilités relativement complexes, le NCSC devra peut-être prendre directement contact avec vous. Veuillez par conséquent indiquer au moins une adresse électronique ou un numéro de téléphone.
  • Pour que la communication soit cryptée, utilisez la clé PGP de l'adresse vulnerability [at] ncsc.ch.

PGP Key - vulnerability [at] ncsc.ch (ASC, 3 kB, 01.10.2021)Fingerprint:
F25A B97C 779A 0C6A 0DE0 F356 BCBB 3E22 5F16 898


Notifier une vulnérabilité

*
Courte description de la vulnérabilité (au maximum 250 caractères).
 
Description niveau de gravité voir https://www.first.org/cvss/calculator/3.0.
*
Présentez votre découverte de manière aussi détaillée que possible afin que nous puissions reproduire le problème et le résoudre au plus vite.
 
Décrivez les répercussions qu’entraîne cette vulnérabilité. Sur quels éléments l’exploitation de la faille a-t-elle une incidence?
 
Si disponible, une approche de solution peut être décrite ici.
 
Utilisez des fichiers ASCII (par exemple Markdown) pdf ou png pour la documentation.
*

Informations personnelles (facultatif)

Vous pouvez nous transmettre vos coordonnées personnelles. Cela nous permettra de prendre contact avec vous au cas où nous aurions des questions supplémentaires. 

 
 
 
 
Vous pouvez joindre ici votre clé publique PGP. Remarque : copiez la clé PGP dans un fichier texte avec l'extension .txt.
 


Dernière modification 02.09.2022

Début de la page

https://www.ncsc.admin.ch/content/ncsc/fr/home/infos-fuer/infos-it-spezialisten/themen/schwachstelle-melden.html