Vous pouvez utiliser cette page pour signaler d’éventuelles failles de sécurité dans nos produits et logiciels. Pour plus d’informations sur le traitement des données, consultez nos directives ci-dessous.
Politique de traitement de données
Zumtobel est un fournisseur de solutions d’éclairage intégrées pour l’éclairage professionnel intérieur et extérieur. Nous proposons une gamme complète de luminaires de haute qualité, de systèmes de gestion de l’éclairage et de capteurs multifonctions pour un large éventail d’applications. En tant que fabricant de systèmes de contrôle et de logiciels technologiquement avancés, la sécurité constitue également une valeur essentielle pour Zumtobel. Nous nous engageons à protéger la vie privée et les données des utilisateurs de nos produits et logiciels.
Parce que nous apprécions la contribution des chercheurs en sécurité agissant de bonne foi pour nous aider à maintenir un haut niveau de protection des données pour nos utilisateurs et nos systèmes, cette politique a pour objectif de fournir des instructions claires pour la divulgation responsable des vulnérabilités et de préciser nos préférences concernant le signalement des failles identifiées.
Nous vous encourageons vivement à nous contacter pour signaler toute faille de sécurité potentielle dans nos produits et logiciels.
Si vous vous efforcez de bonne foi de respecter cette politique lors de vos recherches en matière de sécurité, Zumtobel s’engage à agir de manière responsable et à collaborer avec la personne ayant signalé la faille afin de comprendre le problème et d’y apporter une solution.
Dans le cadre de cette politique, le terme « recherche » désigne les activités au cours desquelles vous :
Nous informez dès que possible si vous découvrez un problème de sécurité réel ou potentiel.
Efforcez-vous de tout mettre en œuvre pour éviter les atteintes à la vie privée, les perturbations de l'expérience utilisateur, les interruptions des systèmes de production et la destruction ou la manipulation de données.
N’utilisez les exploits que dans la mesure strictement nécessaire pour confirmer l’existence d’une vulnérabilité. N’utilisez pas d’exploit pour compromettre ou exfiltrer des données, pour établir un accès persistant à une ligne de commande, ni pour accéder à d’autres systèmes.
Dès que vous confirmez l’existence d’une faille de sécurité ou que vous accédez à des données sensibles (informations personnelles, financières, confidentielles ou secrets commerciaux), vous devez immédiatement interrompre vos tests et nous en informer sans délai. Vous n’êtes pas autorisé à partager ces données avec des tiers.
Cette politique s'applique aux systèmes et services suivants : produits Zumtobel, micrologiciels associés et logiciels liés aux produits.
Signaler une vulnérabilité de sécurité
Les informations transmises dans le cadre de cette politique seront tilisées uniquement pour améliorer la sécurité et la qualité de nos services. Si vos remarques concernent des points qui touchent l’ensemble des utilisateurs d’un produit ou d’un service, et pas seulement Zumtobel, nous pouvons transmettre votre rapport – de manière anonymisée – aux parties concernées, comme nos fournisseurs, partenaires, distributeurs ou clients, afin de garantir une expérience plus sûre et plus fiable pour tous.
Nous acceptons les rapports d'anomalies par e-mail à l’adresse : product-security(a)zumtobelgroup.com. Les demandes qui ne concernent pas des anomalies dans nos produits, micrologiciels ou logiciels associés ne seront pas traitées.
Les signalements peuvent être effectués de manière anonyme.
Afin de nous aider à examiner et à prioriser les signalements, nous vous recommandons d’inclure les éléments suivants dans votre rapport :
Si possible, rédigez-le en anglais.
Une description précise du problème.
La référence de l’article ou du produit concerné.
Indique la date de fabrication du produit (si applicable)
La version du logiciel (le cas échéant).
L’endroit où la vulnérabilité ou le problème de sécurité a été découvert, ainsi que les impacts potentiels de son exploitation.
Une description détaillée des étapes nécessaires pour reproduire la vulnérabilité (les scripts de preuve de concept ou les captures d’écran sont particulièrement utiles).
Ce que vous pouvez attendre de nous / Délais de réponse
Vos coordonnées sont incluses afin que nous puissions nous engager à communiquer avec vous aussi ouvertement et rapidement que possible.
Nous accuserons réception de votre rapport sous 5 jours ouvrables (hors samedis).
Une fois informés d’une anomalie, nous vous fournirons une mise à jour de l’avancement tous les 20 jours calendaires, jusqu’à la résolution complète du problème signalé.