Sécurité des produits NETGEAR
Notre engagement
Chez NETGEAR, nous nous efforçons de connecter les utilisateurs à Internet en toute sécurité grâce à des pratiques de conception sécurisées, à l'intégrité de la chaîne d'approvisionnement, à une surveillance proactive des menaces et à des fonctionnalités de sécurité innovantes. Notre équipe s'engage à mettre en œuvre un programme de sécurité des produits solide qui gagne la confiance des clients et s'adapte à l'évolution du paysage des cybermenaces.
Signaler une vulnérabilité
L'équipe de sécurité des produits NETGEAR examine tous les signalements de vulnérabilités de sécurité affectant les produits et services NETGEAR. Si vous êtes un chercheur en sécurité et pensez avoir découvert une faille de sécurité potentielle, signalez vos découvertes via notre plateforme Bug Bounty.
Les chercheurs qui ne souhaitent pas participer au programme de primes peuvent toujours soumettre leurs découvertes via notre programme de récompenses Kudos ou en envoyant un e-mail à notre équipe de sécurité des produits à l'adresse security@netgear.com.
Incluez dans votre rapport :
- Produits, modèles, matériel, micrologiciel ou versions logicielles concernés
- Étapes de reproduction claires/PoC, comportement attendu vs réel
- Impact sur la sécurité ou gravité suggérée
- Vos coordonnées et comment vous créditer ou si vous préférez rester anonyme
Pour plus d'informations, consultez notre fichier security.txt.
Gestion et réponse aux vulnérabilités
Notre équipe de sécurité des produits gère le cycle de développement sécurisé sur toutes les gammes de produits, y compris le tri et la divulgation des problèmes de sécurité.
À quoi s'attendre :
Réponse initiale
Les rapports sont confirmés sous 3 jours ouvrables aux États-Unis.
Le tri initial est effectué sous 5 jours ouvrables aux États-Unis.
Mises à jour de résolution de problèmes
Les chercheurs sont informés lorsqu'un correctif est prêt ou qu'un CVE est attribué.
Incitations et reconnaissance publique
Les contributeurs éligibles reçoivent une récompense Bug Bounty et/ou une reconnaissance publique et sont mentionnés dans l'enregistrement CVE s'ils le demandent.
Nous respectons les étiquettes FIRST TLP v2.0 dans toutes nos communications. En l'absence d'étiquette, nous traitons les soumissions comme TLP : AMBER, qui peuvent être partagées avec nos partenaires technologiques sur la base du besoin d'en connaître dans le but de développer ou de tester des correctifs.
Priorisation et analyse
Nous priorisons la réponse aux problèmes en utilisant la méthodologie Stakeholder-Specific Vulnerability Categorization (SSVC) et employons le Common Vulnerability Scoring System (CVSS) pour évaluer la gravité technique des problèmes.
Calendrier et éligibilité des produits
Les problèmes nécessitant une attention immédiate déclenchent notre plan d'intervention d'urgence et sont traités dès que possible. Dans les autres cas, nous développons des correctifs et des solutions pour les produits pris en charge via nos cycles standard de développement, d'assurance qualité et de déploiement progressif. Dans des cas exceptionnels, la correction peut prendre plus de temps lorsqu'elle dépend de tiers ou d'organismes de normalisation. Les rapporteurs sont tenus informés dans de tels cas.
Tous les problèmes qui nous sont signalés font l'objet d'un tri afin de déterminer leur applicabilité aux produits pris en charge. En règle générale, seuls les produits encore sous garantie reçoivent des mises à jour de sécurité.
Avis de sécurité
Les avis de sécurité sont publiés sur la page des avis de sécurité NETGEAR. La divulgation publique est coordonnée pour maximiser la sécurité des utilisateurs. Les chercheurs sont crédités dans les avis s'ils le souhaitent.
Les avis concernant les problèmes nécessitant une attention immédiate sont publiés dès que raisonnablement possible. Tous les autres problèmes sont publiés dans une mise à jour mensuelle de correctif de sécurité qui répertorie les vulnérabilités traitées.
Partenariat de programme avec CVE
NETGEAR est un partenaire du programme CVE (CNA) et est autorisé à attribuer des identifiants CVE et à publier des enregistrements CVE pour les vulnérabilités dans tous les produits NETGEAR, les produits de ses filiales et les composants tiers utilisés dans les produits NETGEAR qui ne sont pas déjà couverts par le périmètre d'un autre CNA.
Processus d'attribution
Nous attribuons et publions les identifiants CVE et les enregistrements CVE conformément aux règles opérationnelles CVE CNA. Nos enregistrements incluent des informations CWE, CVSS et CPE, alignées sur nos objectifs de l'engagement CISA Secure by Design.
Appareils hérités
Notre capacité à valider les vulnérabilités dans les appareils obsolètes ou non pris en charge est limitée. Pour aider les clients à comprendre les risques, nous attribuons des identifiants CVE pour les problèmes affectant ces appareils lorsque des preuves crédibles d'une vulnérabilité et de son impact sont fournies.
Composants tiers
Si une vulnérabilité affecte principalement un composant tiers disposant de sa propre CNA, nous nous coordonnons avec cette CNA et évitons les attributions en double.
NETGEAR s'aligne sur les normes de l'industrie
Notre politique et nos processus sont alignés sur des normes, cadres et lignes directrices largement reconnus :
- ISO/IEC 29147:2018 (divulgation publique des vulnérabilités) et ISO/IEC 30111:2019 (traitement des vulnérabilités).
- NIST Secure Software Development Framework
- Cyber Resilience Act (CRA, Règlement (UE) 2024/2847)
- FIRST PSIRT Services Framework
- CISA Secure by Design principes
Safe Harbor et recherche de bonne foi
Nous encourageons les chercheurs en sécurité à se manifester avec leurs découvertes et à nous les signaler sans crainte de conséquences juridiques. Si vous agissez de bonne foi et suivez cette politique, NETGEAR considérera cette recherche comme autorisée et n'engagera pas de poursuites judiciaires. Si une action en justice est engagée par un tiers contre un chercheur en sécurité pour des activités menées conformément à cette politique, NETGEAR fera connaître cette autorisation.
La bonne foi dans ce contexte signifie : éviter les violations de la vie privée, la destruction de données ou la perturbation de service ; ne pas accéder, exfiltrer ou conserver des données qui ne vous appartiennent pas ; ne pas divulguer publiquement avant que NETGEAR ait eu une possibilité raisonnable de corriger ; ne pas aider les cybercriminels à exploiter les vulnérabilités contre nos clients ; arrêter les tests si vous rencontrez des données utilisateur ; respecter la législation applicable.
DERNIÈRE MISE À JOUR : DÉCEMBRE 2025
S'applique à tous les matériels, micrologiciels, logiciels, applications mobiles, services cloud et propriétés web de NETGEAR et de ses filiales, sauf indication contraire.