Sommaire

• Comment réagir aux signalements de problèmes de sécurité
  • Introduction
  • Pourquoi Quintessence vous a contacté
  • Comment réagir lorsqu'on vous contacte
    • Vérifiez l'authenticité du contact
    • Considérez les impacts potentiels
    • Nos engagements durant la phase de résolution
    • Collaborez avec Quintessence
    • Divulgation responsable
      • Contact initial
      • Réponse
      • Correctif
  • Conclusion

Comment réagir aux signalements de problèmes de sécurité

Introduction

Dans un monde numérique en constante évolution, la sécurité des systèmes d'information est plus cruciale que jamais.

Quintessence s'engage à améliorer la posture de sécurité des entreprises et à protéger les données des utilisateurs. Lorsque nous détectons une vulnérabilité au sein d'un service, notre objectif est de vous en informer de manière responsable et efficace, afin que vous puissiez la corriger avant qu'elle ne soit exploitée par des acteurs malveillants.

Cet article de blog a pour vocation de vous guider sur la meilleure façon de réagir si vous êtes contacté par Quintessence pour signaler une vulnérabilité.

Pourquoi Quintessence vous a contacté

En tant qu'équipe spécialisée en cybersécurité, Quintessence consacre ses efforts à détecter et à répondre aux vulnérabilités des systèmes informatiques de nos clients. Nous participons activement à la communauté cyber en contribuant à des projets open source et en signalant des failles de sécurité à plusieurs entreprises. Nos interventions ont permis de découvrir plus de 10 secrets compromis et de signaler proactivement plusieurs incidents de sécurité.

Lorsque nous identifions une vulnérabilité dans votre infrastructure ou votre application, cela signifie que nous avons détecté une faille potentielle qui pourrait être exploitée, compromettant ainsi la sécurité des données utilisateurs ou la disponibilité de votre service.

Comment réagir lorsqu'on vous contacte

Vérifiez l'authenticité du contact

La première étape consiste à vous assurer que le contact provient bien de Quintessence. Tous nos emails sont signés avec PGP. Vous pouvez vérifier la signature de nos mails en un seul clic grâce à notre outil de vérification de signature. Un hyperlien contenant le message et sa signature au format cleartext (en) se trouve dans la signature de chacun de nos emails.

Considérez les impacts potentiels

Si votre site comporte un fichier security.txt valide, nous l'utiliserons pour fournir les informations suivantes :

1. Score CVSS de la vulnérabilité identifiée
2. Les étapes de reproduction de la vulnérabilité
3. Une éventuelle preuve de concept pour tester la vulnérabilité rapidement, sous forme de code source ou de vidéo

Ces éléments vous permettront de comprendre la nature de la vulnérabilité détectée et son impact potentiel sur votre organisation, ainsi que d'aider à corriger le problème.

Attention : Ne minimisez pas les risques de sécurité. Considérez que cela pourrait toujours être plus grave que ce que vous pourriez penser.

Nos engagements durant la phase de résolution

Durant la phase de résolution, nous vous accompagnons gratuitement dans la résolution de la vulnérabilité. Nous offrons autant de conseils et de ressources que possible pour vous aider à corriger le problème identifié.

Lorsqu'un correctif est déployé, nous nous assurerons qu'il est efficace.

Collaborez avec Quintessence

Notre équipe est à votre disposition pour vous accompagner dans la résolution de la vulnérabilité. Nous facturons des frais journaliers pour toute aide additionnelle dont vous pourriez avoir besoin.

Voici comment nous pouvons vous aider :

1. Audits : Réalisation d’audits approfondis de votre base de code pour identifier et évaluer les vulnérabilités complexes.
2. Conseil : Accompagnement dans la mise en place de stratégies de sécurité sur mesure, adaptées à votre secteur.
3. Pentest : Simulation d’attaques réelles pour tester la robustesse de vos infrastructures et révéler les failles à corriger.
4. Monitoring : Surveillance continue des forums cybercriminels pour détecter rapidement toute activité malveillante.

Divulgation responsable

Si aucune action n'est prise et que nous estimons que la vulnérabilité est suffisamment importante pour la sécurité des utilisateurs, nous publierons publiquement les détails du problème. Nous suggérerons également des correctifs possibles ainsi que des conseils pour les utilisateurs potentiellement impactés.

Voici comment nous procédons :

Contact initial

Nous prenons contact avec vous pour vous expliquer le problème et vous fournir les informations nécessaires pour le résoudre.

Si nous n'obtenons aucune réponse après 31 jours et plusieurs relances, nous divulguerons publiquement les détails. Le lien vers la divulgation vous sera envoyé via le même canal de communication que celui utilisé pour le contact initial.

Réponse

Dans le cas où nous recevons une réponse, le délai de 31 jours est réinitialisé jusqu'à ce qu'une prochaine action soit prise. Si le problème persiste au-delà de 31 jours et que nous estimons que l'incident est négligé, nous divulguerons publiquement les détails et le lien vers la divulgation sera communiqué via le même canal de communication que celui utilisé pour les échanges précédents.

Correctif

Si un correctif est appliqué, nous vérifions son efficacité et nous communiquerons chacun des tests réalisés, ainsi que les résultats attendus et obtenus.

Nous vous demanderons ensuite la permission pour publier les événements sur notre site, ce qui permettra de mettre en lumière la réactivité de vos équipes pour traiter le problème.

Conclusion

La sécurité des systèmes d'information est une responsabilité partagée. En collaborant avec Quintessence, vous bénéficiez de notre expertise pour identifier et corriger les vulnérabilités, renforçant ainsi la protection de vos données et la confiance de vos utilisateurs. N'hésitez pas à nous contacter pour toute question ou assistance supplémentaire.

Contactez-nous dès aujourd'hui pour renforcer la sécurité de vos systèmes et protéger vos données contre les menaces potentielles.