Le présent document fournit des exigences et des recommandations à l'attention de fournisseurs concernant la divulgation de vulnérabilités dans des produits et services. La divulgation de vulnérabilité permet aux utilisateurs d'effectuer une gestion des vulnérabilités techniques telle que spécifiée dans l'ISO/IEC 27002:2013, 12.6.1 [ ]. La divulgation de vulnérabilité aide les utilisateurs à protéger leurs systèmes et données, à prioriser les investissements défensifs et à mieux apprécier le risque. L'objectif d'une divulgation de vulnérabilité est de réduire le risque associé à l'exploitation de vulnérabilités. Une divulgation de vulnérabilité coordonnée est particulièrement importante lorsque plusieurs fournisseurs sont affectés. Le présent document fournit: - des lignes directrices sur la réception de signalements concernant des vulnérabilités potentielles; - des lignes directrices sur la divulgation d'informations concernant la remédiation de vulnérabilités; - des termes et définitions spécifiques à la divulgation de vulnérabilités; - une vue d'ensemble des concepts associés à la divulgation de vulnérabilité; - des considérations relatives aux techniques et politiques de divulgation de vulnérabilité; - des exemples de techniques, de politiques (Annexe A) et de communications (Annexe B) . D'autres activités associées intervenant entre la réception et la divulgation de signalements de vulnérabilités sont décrites dans l'ISO/IEC 30111. Le présent document s'applique aux fournisseurs qui choisissent de pratiquer la divulgation de vulnérabilité pour réduire le risque pour les utilisateurs de produits et services de fournisseurs.

Voir plus Voir moins