Politique de divulgation coordonnée des vulnérabilités

La Politique de divulgation coordonnée des vulnérabilités (CVD), désignée P39, établit un processus structuré et formel pour la réception, le traitement et la divulgation publique des vulnérabilités dans les réseaux et systèmes d'information de l’organisation. Cette politique a été développée spécifiquement pour combler les lacunes identifiées dans les politiques précédentes concernant la notification et la coordination des vulnérabilités détectées en externe, en assurant une conformité proactive à l’article 21(2)(e) de la directive NIS2 ainsi qu’un alignement avec des normes internationales, notamment ISO/IEC 29147 et le règlement d’exécution (UE) 2024/2690 de la Commission. L’objectif de cette politique est double : faciliter la détection et la résolution en temps utile des vulnérabilités de sécurité en s’appuyant à la fois sur des appréciations internes et sur des apports externes, et créer des voies claires et sécurisées permettant aux parties externes, telles que les chercheurs en sécurité, les partenaires et les clients, de notifier des vulnérabilités. Plus précisément, la politique impose la mise en place d’un canal public de notification des vulnérabilités, généralement une adresse courriel de contact sécurité ou un formulaire web chiffré publié sur le site web de l’organisation, afin de soutenir une communication sûre et efficace avec les notifiants. Cette politique de divulgation coordonnée des vulnérabilités détaille les responsabilités et la collaboration requises entre toutes les parties impliquées : l’équipe de réponse aux vulnérabilités (VRT), responsable du triage et de la coordination de la remédiation et de la divulgation ; les équipes informatiques et de développement, qui valident et traitent les aspects techniques des vulnérabilités ; les professionnels de la communication, qui préparent des avis à destination des parties prenantes et du public ; et les notifiants externes eux-mêmes, qui doivent respecter les lignes directrices de divulgation responsable. Point important, la politique consacre un principe de « safe harbor » : les chercheurs de bonne foi qui agissent conformément aux règles de la politique sont protégés contre des actions en justice, favorisant une culture coopérative de gestion des vulnérabilités. La politique est explicite sur les niveaux de service et les contrôles : les accusés de réception des notifications sont garantis sous 2 jours ouvrables, la gravité est triée rapidement, et les vulnérabilités critiques déclenchent une atténuation accélérée et une escalade vers la direction. Les délais de divulgation sont précisés (généralement sous 90 jours ou selon accord mutuel), et les avis publics sont coordonnés afin de maximiser la sécurité tout en créditant les notifiants qui consentent à être nommés. La confidentialité des vulnérabilités soumises et des identités des notifiants est soulignée jusqu’à ce qu’une divulgation publique coordonnée soit convenue. La gouvernance du programme de divulgation coordonnée des vulnérabilités est stricte. La politique est revue annuellement ou après des incidents significatifs, avec des exigences d’amélioration continue fondées sur des revues post-mortem. Des indicateurs sont suivis, des journaux sont conservés et des audits réguliers sont imposés afin d’assurer la transparence et l’efficacité du traitement des vulnérabilités conformément à la politique et aux réglementations applicables. Cette politique n’est pas adaptée aux PME (il n’y a pas de notation PME telle que « S ») et suppose des fonctions dédiées de sécurité, de développement et de communication pour un fonctionnement correct de la divulgation coordonnée des vulnérabilités, répondant à des exigences strictes pour ISO/IEC 27001:2022 et des directives sectorielles telles que NIS2.