Notre engagement
Chez NETGEAR, nous nous efforçons de connecter les utilisateurs à Internet en toute sécurité grâce à des pratiques de conception sécurisées, à l'intégrité de la chaîne d'approvisionnement, à une surveillance proactive des menaces et à des fonctionnalités de sécurité innovantes. Notre équipe s'engage à mettre en œuvre un programme de sécurité des produits solide qui gagne la confiance des clients et s'adapte à l'évolution du paysage des cybermenaces.
Signaler une vulnérabilité
L'équipe de sécurité des produits NETGEAR examine tous les signalements de vulnérabilités de sécurité affectant les produits et services NETGEAR. Si vous êtes un chercheur en sécurité et pensez avoir découvert une faille de sécurité potentielle, signalez vos découvertes via notre plateforme Bug Bounty.
Les chercheurs qui ne souhaitent pas participer au programme de primes peuvent toujours soumettre leurs découvertes via notre programme de récompenses Kudos ou en envoyant un e-mail à notre équipe de sécurité des produits à l'adresse security@netgear.com.
Incluez dans votre rapport :
- Produits, modèles, matériel, micrologiciel ou versions logicielles concernés
- Étapes de reproduction claires/PoC, comportement attendu vs réel
- Impact sur la sécurité ou gravité suggérée
- Vos coordonnées et comment vous créditer ou si vous préférez rester anonyme
Pour plus d'informations, consultez notre fichier security.txt.
Gestion et réponse aux vulnérabilités
Notre équipe de sécurité des produits gère le cycle de développement sécurisé sur toutes les gammes de produits, y compris le tri et la divulgation des problèmes de sécurité.
À quoi s'attendre :
Réponse initiale
Les rapports sont confirmés sous 3 jours ouvrables aux États-Unis.
Le tri initial est effectué sous 5 jours ouvrables aux États-Unis.
Mises à jour de résolution de problèmes
Les chercheurs sont informés lorsqu'un correctif est prêt ou qu'un CVE est attribué.
Incitations et reconnaissance publique
Les contributeurs éligibles reçoivent une récompense Bug Bounty et/ou une reconnaissance publique et sont mentionnés dans l'enregistrement CVE s'ils le demandent.
Priorisation et analyse
Nous priorisons la réponse aux problèmes en utilisant la méthodologie Stakeholder-Specific Vulnerability Categorization (SSVC) et employons le Common Vulnerability Scoring System (CVSS) pour évaluer la gravité technique des problèmes.
Calendrier et éligibilité des produits
Les problèmes nécessitant une attention immédiate déclenchent notre plan d'intervention d'urgence et sont traités dès que possible. Dans les autres cas, nous développons des correctifs et des solutions pour les produits pris en charge via nos cycles standard de développement, d'assurance qualité et de déploiement progressif. Dans des cas exceptionnels, la correction peut prendre plus de temps lorsqu'elle dépend de tiers ou d'organismes de normalisation. Les rapporteurs sont tenus informés dans de tels cas.
Tous les problèmes qui nous sont signalés font l'objet d'un tri afin de déterminer leur applicabilité aux produits pris en charge. En règle générale, seuls les produits encore sous garantie reçoivent des mises à jour de sécurité.
NETGEAR s'aligne sur les normes de l'industrie
Notre politique et nos processus sont alignés sur des normes, cadres et lignes directrices largement reconnus :
- ISO/IEC 29147:2018 (divulgation publique des vulnérabilités) et ISO/IEC 30111:2019 (traitement des vulnérabilités).
- NIST Secure Software Development Framework
- Cyber Resilience Act (CRA, Règlement (UE) 2024/2847)
- FIRST PSIRT Services Framework
- CISA Secure by Design principes
Safe Harbor et recherche de bonne foi
Nous encourageons les chercheurs en sécurité à se manifester avec leurs découvertes et à nous les signaler sans crainte de conséquences juridiques. Si vous agissez de bonne foi et suivez cette politique, NETGEAR considérera cette recherche comme autorisée et n'engagera pas de poursuites judiciaires. Si une action en justice est engagée par un tiers contre un chercheur en sécurité pour des activités menées conformément à cette politique, NETGEAR fera connaître cette autorisation.
La bonne foi dans ce contexte signifie : éviter les violations de la vie privée, la destruction de données ou la perturbation de service ; ne pas accéder, exfiltrer ou conserver des données qui ne vous appartiennent pas ; ne pas divulguer publiquement avant que NETGEAR ait eu une possibilité raisonnable de corriger ; ne pas aider les cybercriminels à exploiter les vulnérabilités contre nos clients ; arrêter les tests si vous rencontrez des données utilisateur ; respecter la législation applicable.