Divulgation coordonnée de vulnérabilités (Coordinated Vulnerability Disclosure, CVD)

Vous avez découvert une vulnérabilité dans un système informatique ou dans des applications, des logiciels ou du matériel informatique qui a un impact sur la Suisse et vous souhaitez la signaler ? Il existe différentes manières de signaler une vulnérabilité à l’OFCS en fonction du type de système impacté.

Si la vulnérabilité signalée a un impact sur un système informatique, une application ou du matériel informatique de l'administration fédérale, vous devez la signaler à l'OFCS en utilisant le formulaire ci-dessous. Veuillez suivre politique commune en matière de divulgation des vulnérabilités afin de garantir la conformité de votre signalement.

Si vous avez découvert une vulnérabilité dans un système ou un produit informatique n'appartenant pas à l'administration fédérale, mais qui a un impact sur la Suisse en général, la vulnérabilité doit toujours être signalée en premier lieu au propriétaire du système ou au fournisseur du produit.

Vous ne devez signaler vos découvertes a l’OFCS que si vous ne trouvez pas de point de contact ou si les parties concernées ne fournissent pas de réponse adéquate à la vulnérabilité.

Si vous avez découvert une vulnérabilité dans un d'logiciel ou un matériel utilisé par des entreprises suisses, l’OFCS , en sa qualité d'autorité habilitée à attribuer des numéros CVE (CNA), peut coordonner la publication du CVE correspondant.

Note importante sur les critères d'obtention du CVE:

Pour assurer un traitement plus rapide de votre demande CVE, veuillez indiquer s'il existe une référence publique confirmant l'existence de la vulnérabilité ou si celle-ci a été planifiée par vous ou le fournisseur conformément aux exigences MITRE.
La référence doit au minimum :

• Mentionner la vulnérabilité (y compris l'identifiant CVE prévu ou existant) et les versions du produit affectées par la vulnérabilité
• Être accessible au public et ne pas nécessiter d'inscription ou de login

Conformément à la loi fédérale sur la sécurité de l'information, le NCSC peut publier des informations relatives aux vulnérabilités, en indiquant les logiciels ou le matériel concernés, ce qui pourrait également servir de référence CVE sous certaines conditions (art. 73c, al. 1, al. 2).

Afin d'accélérer le processus, veuillez créer une première version du CVE dans le « Vulnogram » , l'exporter au format JSON et la joindre à votre demande.

Si la vulnérabilité signalée affecte un service cloud, assurez-vous qu'elle est éligible selon les exigence 7.4.4 des règles d'attribution: «The vulnerability requires customer or peer action to resolve».

Comment nous communiquer une annonce de vulnérabilité?

• Remplissez le formulaire ci-dessous en détaillant votre découverte. Indiquez votre clé PGP publique pour que l'OFCS puisse prendre contact avec vous de manière immédiate et sécurisée.
• Pour les rapports concernant des systèmes en dehors de l'administration fédérale, confirmez que vous avez essayé de contacter les parties concernées et indiquez le point de contact dans les champs appropriés.
• Mentionnez si votre demande est liée à une publication de CVE, dans ce cas joignez une première version et indiquez si la publication d'une référence est déjà prévue (voir la note importante sur les exigences CVE).
• Fournissez autant d'informations que possible pour que l’OFCS puisse reproduire la vulnérabilité ou au moins en évaluer la validité sur la base du rapport.
• L’OFCS pourrait avoir besoin de communiquer directement avec vous pendant le suivi d'un cas. Veuillez fournir au moins une adresse e-mail (vous pouvez toujours communiquer avec nous de manière anonyme).
• Pour que la communication soit chiffrée, utilisez la clé PGP de l'adresse vulnerability [at] ncsc.ch.