Politique relative aux vulnérabilités de cybersécurité de Distech Controls
La présente politique concerne l’investigation et la publication des vulnérabilités de cybersécurité qui peuvent potentiellement affecter les produits et services mis à disposition par Distech Controls.
Distech Controls fait partie du groupe Acuity Brands et à ce titre bénéficie de la politique de cybersécurité mise en place au niveau du groupe.
Une équipe cybersécurité dédiée
Les équipes de cybersécurité de Distech Controls se charge de coordonner les attentes des différents intervenants concernant les problématiques de cybersécurité qui peuvent potentiellement affecter les produits et services Distech Controls. Dans cette optique, l’équipe gère la procédure de réception, d’investigation et de notification relative aux vulnérabilités de cybersécurité et autres problématiques affectant notre infrastructure cloud. L’équipe de cybersécurité de Distech Controls collabore avec des clients, des consultants, des chercheurs en sécurité, des institutions académiques et d’autres fournisseurs afin de gérer les problèmes potentiels de cybersécurité découverts au sein des produits et services Distech Controls.
Signalement d’une vulnérabilité de cybersécurité
Toute personne ou entreprise ayant connaissance d’un problème de cybersécurité produit est fortement encouragée à contacter l’équipe Distech Controls. Une identification rapide des vulnérabilités de cybersécurité est essentielle pour éliminer des menaces potentielles. Distech Controls considère avec intérêt tous les signalements et accorde une attention particulière à la sécurité produit et réseau, et s’engage à communiquer de manière responsable.
Si vous pensez avoir identifié une vulnérabilité potentielle de cybersécurité, vous pouvez contacter l’équipe Distech Controls à l’adresse e-mail suivante : psirt@acuitybrands.com. Celle-ci identifiera les équipes produit compétentes pour apporter une réponse au problème.
Distech Controls encourage le chiffrement des informations sensibles transmises à l’équipe cybersécurité. L’équipe prend en charge les messages chiffrés via PGP/GNU Privacy Guard. La clé PGP publique de l’équipe psirt@acuitybrands.com (94694357) est disponible sur plusieurs serveurs de clés publiques.
Lorsque vous souhaitez signaler des problèmes potentiels de cybersécurité, veuillez préciser autant d’informations que possible (voir ci-dessous) pour aider l’équipe à comprendre la nature et l’ampleur de la vulnérabilité potentielle :
- Nom du produit et version affectée par la vulnérabilité
- Instructions pas-à-pas permettant de reproduire la vulnérabilité
- Preuve de concept ou code de l’exploit
- Impact potentiel de la vulnérabilité, y compris la façon dont le cybercriminel peut l’exploiter
Procédure de réponse aux incidents de cybersécurité produit de Distech Controls
La procédure cybersécurité de Distech Controls a été conçue sur la base de la norme ISO 30111 et de documentation issue du Forum of Incident Response and Security Teams (FIRST). Le schéma suivant détaille notre procédure de réponse.
Ci-dessous figurent les étapes de la procédure illustrée dans la Figure 1. Après finalisation de chaque étape, l’équipe cybersécurité de Distech Controls détermine les actions appropriées. Certaines de ces étapes peuvent par conséquent ne pas être mises en œuvre dans certains cas.
- Signalement : réception d’une information concernant une vulnérabilité potentielle de cybersécurité
- Tri : validation du signalement, établissement des priorités et identification des ressources
- Analyse : réalisation d’une évaluation d’impact et élaboration du plan de remédiation
- Coordination : communication à tous les collaborateurs de la chronologie des événements
- Remédiation : déploiement des correctifs et mise à jour des services cloud
- Notification : notification aux clients concernés
- Feedback : réalisation des activités post-remédiation
Lorsqu’un problème est signalé à l’équipe cybersécurité de Distech Controls, ce dernier est évalué en fonction de l’impact potentiel de la vulnérabilité identifiée. L’équipe collaborera avec la personne à l’origine du signalement ainsi que les équipes de développement produit afin de déterminer la sévérité et l’ampleur du problème signalé.
En général, l’équipe cybersécurité utilise le système CVSS v3.1 (Common Vulnerability Scoring System version 3.1) pour définir le niveau de sévérité des vulnérabilités identifiées. Si un problème de sécurité existe au niveau d’un composant logiciel tiers utilisé au sein d’un produit Distech Controls, le système CVSS peut être ajusté pour refléter l’impact sur nos propres produits. Le système CVSS est géré par l’organisme FIRST. De plus amples informations sont disponibles sur le site Web FIRST.org website.
Dès que la sévérité et l’ampleur du problème ont été déterminées, l’équipe cybersécurité travaille de pair avec les ressources internes et externes appropriées afin d’identifier la disponibilité des correctifs et d’élaborer un plan de communication. Au cours de l’investigation, Distech Controls traite toutes les informations non publiques de manière hautement confidentielle. Nous tenons à jour toutes les informations concernant la vulnérabilité identifiée au sein de systèmes de fichiers chiffrés et leur diffusion est limitée à ceux qui interviennent activement dans sa résolution ou qui ont légitimement besoin d’en prendre connaissance. De même, l’équipe cybersécurité de Distech Controls demande aux personnes qui signalent une vulnérabilité de conserver ces informations strictement confidentielles jusqu’à ce que les détails aient été publiés via la procédure de communication coordonnée appropriée. Reportez-vous à la prochaine rubrique de la présente politique pour en savoir plus sur les critères de communication.
Après publication de tout problème de sécurité, l’équipe analyse notre cycle de vie de développement sécurisé (SDL) et continue de surveiller les réseaux afin de détecter tout signe d’exploitation active
Réception d’informations relatives à une vulnérabilité de cybersécurité de la part de Distech Controls
Distech Controls peut communiquer des informations relatives à la cybersécurité de manière confidentielle aux clients concernés et de manière publique via des bulletins de sécurité produit. Tous les problèmes de cybersécurité ne seront pas communiqués à la fois de manière confidentielle et de manière publique. Les bulletins de sécurité produit publics sont publiés sur le site (www.acuitybrands.com/psirt) lorsque l’un des événements suivants se produit :
- Distech Controls n’est pas en mesure d’identifier les clients concernés
- Les mises à jour logiciel sont disponibles pour tous les produits affectés
- L’opinion publique manifeste de l’intérêt à propos du problème
- Une vulnérabilité donne lieu à un débat public
- Aucun correctif n’est créé pour les produits affectés
Les personnes peuvent également s’abonner aux bulletins de sécurité produit de Distech Controls par e-mail directement sur la page web ou via un flux RSS. Tous les flux RSS de Distech Controls sont disponibles à l’adresse suivante : http://news.acuitybrands.com/us/follow-us-via-rss
Les bulletins de sécurité résument les informations relatives à une vulnérabilité ou un autre problème de cybersécurité pour aider les clients à évaluer les risques présents au sein de leurs environnements. Ils sont conçus pour aider les lecteurs à reproduire le problème à des fins de tests ou d’autres recherches. En général, les bulletins de sécurité incluront :
- Les produits et versions affectés
- Le niveau de sévérité de la vulnérabilité
- Une brève description de la vulnérabilité et de son impact potentiel en cas d’exploitation
- Les détails de remédiation accompagnés d’informations de mise à jour/contournement
Accéder à la page des bulletins de sécurité publics de Distech Controls.
ACCEDERDistech Controls met à disposition des bulletins de sécurité pour porter des informations de sécurité potentiellement importantes à la connaissance des différents intervenants. Toutefois, les bulletins de sécurité sont fournis « en l’état » sans garantie expresse ni tacite. Distech Controls ne garantit pas leur exhaustivité ni leur exactitude. Il incombe aux lecteurs de confirmer l’exactitude des informations énoncées dans les bulletins de sécurité, en déterminant leur applicabilité à leur propre installation et en prenant les mesures qu’ils peuvent considérer comme étant nécessaires, le cas échéant.
Marques concernées par cette politique
Cette politique concerne tous les logiciels et firmware vendus par Acuity Brands ainsi que les marques suivantes : Atrius™, DGLogik™, Dark To Light® (DTL), Distech Controls®, EldoLED®, Fresco™, Holophane®, IOTA®, nLight®, nLight® AIR, ROAM®, SensorSwitch™, Synergy®, and XPoint Wireless®.
