Pour nous assurer que nos produits maintiennent les normes de sécurité et l'intégrité les plus élevées, nous avons un processus officiel d'enquête qui est géré par l'équipe d'enquête sur la sécurité des produits.
Le chiffre suivant illustre le processus OneSpan PSIRT à un niveau élevé.
Découverte
Dans un premier temps, le OneSpan PSIRT prend conscience d'une vulnérabilité présumée dans un ou plusieurs produits OneSpan. Cela peut se produire de plusieurs façons :
Un tiers (client, partenaire, chercheur, etc.) signale une vulnérabilité suspecte directement à OneSpan.
- OneSpan prend connaissance d'une publication publique (sur Bugtraq, VulnDev, etc.) au sujet d'une vulnérabilité présumée.
- OneSpan lui-même département découvre une vulnérabilité dans un produit OneSpan.
- Par la suite, le OneSpan PSIRT enregistre la vulnérabilité présumée avec des détails à l'appui, et informe le journaliste qu'il enquête sur l'affaire.
Si la vulnérabilité présumée est signalée en privé par un tiers, le OneSpan PSIRT demande au journaliste de maintenir une stricte confidentialité jusqu'à ce que des résolutions complètes soient disponibles et aient été publiées par le OneSpan PSIRT, conformément aux pratiques de divulgation. Le OneSpan PSIRT tiendra le journaliste au courant de toutes les étapes du processus.
Analyse interne
PSIRT signale la vulnérabilité présumée aux équipes de produits concernées aux fins de vérification. L'équipe de produit tente de reproduire le problème pour vérifier s'il s'agit bien d'une vulnérabilité.
Tout au long de l'analyse, le OneSpan PSIRT s'efforce de travailler en collaboration avec le journaliste pour confirmer la nature de la vulnérabilité, recueillir les renseignements techniques requis et assurer les mesures correctives appropriées.
Le OneSpan PSIRT gère toutes les informations sensibles sur une base hautement confidentielle. La distribution au sein de OneSpan est limitée aux personnes qui ont besoin de savoir et qui peuvent aider à la résolution.
Si la vulnérabilité suspectée est confirmée, le OneSpan PSIRT et l'équipe produit travaillent ensemble pour définir le niveau de gravité de la vulnérabilité à l'aide du système commun de notation de vulnérabilité (CVSS), version 2.0.
Atténuation
L'équipe de produit détermine pour quelles versions de produit un correctif doit être développé et fournit une estimation pour la date de sortie des correctifs. L'équipe de produit développe également les correctifs.
Notification
PSIRT détermine si une publication de sécurité sera publiée et, dans l'affirmative, le type de publication de sécurité qui sera utilisée pour divulguer la vulnérabilité.
PSIRT rédige une publication sur la sécurité, en coopération avec l'équipe produit. Avec l'accord du journaliste, le OneSpan PSIRT peut reconnaître la contribution du journaliste lors de la divulgation publique de la vulnérabilité. Si nécessaire, le OneSpan PSIRT travaille avec MITRE Corporation pour générer des identifiants CVE pour la vulnérabilité.
Le OneSpan PSIRT publie la publication de sécurité via différents canaux :
- Sur le site de PSIRT
- Via les avis de sécurité et le flux RSS de réponse
Le OneSpan PSIRT peut également publier la publication de sécurité sur les forums de sécurité, les bases de données de vulnérabilité ou les listes de courriels. Toutefois, seul le site officiel OneSpan PSIRT est tenu à jour.
Enfin, OneSpan informe également les clients à l'aide d'un produit impacté par e-mail.