Gestion des vulnérabilités | Axis Communications

La sécurité grâce à la transparence

Pourquoi la gestion des vulnérabilités est importante

Une vulnérabilité logicielle est une faiblesse qui, si elle est exploitée, peut entraîner une faille de sécurité et entraîner une perte de confidentialité, d’intégrité des données et de disponibilité. Aucun logiciel n’est exempt de vulnérabilité à 100 %. La gestion des vulnérabilités est un processus continu qui implique l'identification et la correction continues des faiblesses.

La gestion des vulnérabilités renforce la sécurité et la fiabilité des produits et services Axis, permettant ainsi aux clients d'être opérationnels de la manière la plus sécurisée possible. Nous pensons que la transparence dans la gestion et la divulgation des vulnérabilités renforce la sécurité et la responsabilité de sorte à contribuer à réduire les risques et à instaurer la confiance.

Idées fausses courantes

Les vulnérabilités ne sont pas synonymes de mauvaise qualité

Une idée fausse courante est que les vulnérabilités sont synonymes de mauvaise qualité. Aucun logiciel n’est totalement exempt d’erreurs ou de bugs ; l’existence de vulnérabilités ne contribue donc pas à la qualité d’un produit ou d’un fournisseur. L’approche adoptée par un fournisseur pour gérer les vulnérabilités est ce qui importe le plus. Chez Axis, nous adoptons une approche proactive en recherchant et en corrigeant les vulnérabilités tout au long du cycle de vie de nos produits. Afin de minimiser les erreurs dès le départ, nous intégrons des activités en matière de sécurité dans notre processus de développement. Après une publication, nous coopérons ouvertement avec des parties externes pour gérer et corriger les vulnérabilités nouvellement découvertes et nous appliquons un processus de divulgation responsable.

Ces efforts sont décrits et guidés par l'Axis Security Development Model (ASDM) qui est décrit plus bas sur cette page.

La divulgation ne conduit pas à l’exploitation

Une autre idée fausse fréquente est que la divulgation des vulnérabilités permet aux pirates de les exploiter librement et, par conséquent, elles ne devraient pas être divulguées. Lorsque nous divulguons des vulnérabilités via les avis de sécurité Axis, nous fournissons un strict minimum de détails. Cela protège les clients en minimisant le risque qu’un pirate exploite une vulnérabilité. Notre objectif consiste à fournir un correctif pour une vulnérabilité avant de la divulguer.

Axis met en œuvre les meilleures pratiques du secteur

Depuis 2015, Axis développe des processus et des outils de gestion des vulnérabilités. La gestion des vulnérabilités est un voyage sans fin ; c'est pourquoi nous nous efforçons constamment d’améliorer nos processus conformément aux meilleures pratiques du secteur. Pour identifier, corriger et divulguer les vulnérabilités, nous coopérons de manière transparente et responsable, de manière coordonnée, avec des parties externes telles que des chercheurs, des pirates informatiques éthiques, des clients finaux et des partenaires. Nous suivons les meilleures pratiques en matière de divulgation coordonnée des vulnérabilités ; ainsi, les vulnérabilités peuvent nous être signalées en toute sécurité.

2016 - Nous avons divulgué publiquement les vulnérabilités corrigées.

2017 - Nous avons conçu l'Axis Security Development Model (ASDM). ASDM veille à ce que les considérations en matière de cybersécurité soient intégrées dans le cycle de vie des produits et des solutions Axis.

2020 - Nous avons réalisé notre premier test de pénétration externe.

2021 - Nous avons créé la politique Axis Vulnerability Management Policy. Elle décrit la façon dont les vulnérabilités sont gérées dans nos produits et services et ce que l’on peut attendre d’Axis en tant que fournisseur de confiance.

2021 - En avril, nous avons rejoint le programme Common Vulnerabilities and Exposures (CVE) et nous sommes devenus une autorité de numérotation CVE (CNA). Nous divulguons les vulnérabilités via les identifiants CVE et suivons le cadre des meilleures pratiques décrit par le programme CVE.

2022 - En décembre, nous avons lancé un programme privé de recherche de bugs en partenariat avec Bugcrowd pour les produits réseau basés sur AXIS OS.

2023 - Nous avons publié le cadre de cybersécurité Axis. Il décrit les processus et procédures Axis mis en place pour répondre en permanence aux risques liés à la sécurité, à la fois dans l'infrastructure informatique de notre entreprise et dans nos offres de produits.

2024 - Nous avons transformé notre programme de chasse privé aux bugs AXIS OS en notre programme de chasse public aux bugs AXIS OS, ce qui signifie que tous les chercheurs en sécurité et les pirates éthiques disposant d'un compte Bugcrowd peuvent signaler les vulnérabilités liées à AXIS OS.

2024 - Nous avons lancé un nouveau programme de chasse privé aux bugs pour AXIS Camera Station Pro.

Axis Security Development Model (ASDM)

L’objectif de l’ASDM est de réduire les vulnérabilités et les coûts de développement en fournissant des conseils et en établissant une base de référence pour la cybersécurité. Nous avons développé nous-mêmes l'ASDM de sorte à l'adapter à nos produits et services. Ce programme nous aide à trouver et à éliminer de manière proactive des milliers de vulnérabilités avant la sortie du produit et à continuer à traiter les vulnérabilités tout au long du cycle de vie du produit. Notre objectif consiste à améliorer la cybersécurité, mais pas uniquement à se conformer aux processus ou aux exigences de certification. Ainsi, les équipes de développement d’Axis décident des activités à mettre en œuvre en fonction du type de logiciel qu’elles développent.

En savoir plus sur ASDM

Programmes de recherche de bugs associés à Bugcrowd

Nos programmes de recherche de bugs associés à Bugcrowd nous aident à renforcer considérablement la sécurité de nos produits et de nos solutions tout en offrant un accès à une communauté internationale de chercheurs de confiance et de pirates éthiques. Lorsqu’une vulnérabilité est identifiée, nous offrons une récompense en espèces (une prime). Le montant de la récompense dépend de la gravité de la vulnérabilité. Nous révisons régulièrement le montant de nos récompenses en espèces pour maintenir nos programmes attrayants et compétitifs.

Plusieurs de nos divulgations de CVE sont le résultat de découvertes issues d'un programme de recherche de bugs d'Axis.

Tests de pénétration

Les tests de pénétration externes fournissent un aperçu et une assurance concernant la sécurité d'un produit à un moment donné. Ils sont réalisés chaque année par des sociétés tierces spécialisées. Pour les relevés clients, veuillez visiter la page de ressources sur la cybersécurité.

Traitez facilement les vulnérabilités

Axis fournit des logiciels qui permettent aux clients de déployer plus facilement des correctifs de vulnérabilité et de nouvelles versions de logiciels avec des mises à jour en matière de sécurité sur de nombreux appareils. Les logiciels de gestion vidéo Axis tels que AXIS Companion, AXIS Camera Station et les logiciels de gestion vidéo partenaires tels que Milestone XProtect® et Genetec™ Security Center alertent les utilisateurs des nouvelles versions d'AXIS OS pour les produits utilisés. AXIS Device Manager et AXIS Device Manager Extend fournissent également des alertes et permettent aux clients de mettre à jour le système d'exploitation de plusieurs appareils.

Formulaire de signalisation d'une vulnérabilité

Pour contribuer à renforcer la sécurité, veuillez partager vos constatations et découvertes avec nous. Le contenu sensible peut être crypté à l’aide de notre clé publique PGP.

Signaler une vulnérabilité