Gestion des vulnérabilités | Axis Communications

La sécurité grâce à la transparence

Pourquoi la gestion des vulnérabilités est importante

Une vulnérabilité logicielle est une faiblesse qui, si elle est exploitée, peut entraîner une faille de sécurité et entraîner une perte de confidentialité, d’intégrité des données et de disponibilité. Aucun logiciel n’est exempt de vulnérabilité à 100 %. La gestion des vulnérabilités est un processus continu qui implique l’identification et la correction continues des points faibles de l’environnement.

La gestion des vulnérabilités renforce la sécurité et la fiabilité des produits et services Axis, ce qui permet aux clients d’opérer de manière aussi sûre que possible. Nous pensons que la transparence dans la gestion et la divulgation des vulnérabilités renforce la sécurité et la responsabilité de sorte à contribuer à réduire les risques et à instaurer la confiance.

Idées fausses courantes

Les vulnérabilités ne sont pas synonymes de mauvaise qualité

Une idée fausse courante est que les vulnérabilités sont synonymes de mauvaise qualité. Aucun logiciel n’est totalement exempt d’erreurs ou de bugs ; l’existence de vulnérabilités ne contribue donc pas à la qualité d’un produit ou d’un fournisseur. L’approche adoptée par un fournisseur pour gérer les vulnérabilités est ce qui importe le plus. Chez Axis, nous adoptons une approche proactive en recherchant et en corrigeant les vulnérabilités tout au long du cycle de vie de nos produits. Afin de minimiser les erreurs dès le départ, nous intégrons des activités en matière de sécurité dans notre processus de développement. Après une publication, nous coopérons ouvertement avec des parties externes pour gérer et corriger les vulnérabilités nouvellement découvertes et nous appliquons un processus de divulgation responsable.

Ces efforts sont décrits et guidés par l'Axis Security Development Model (ASDM) qui est décrit plus bas sur cette page.

La divulgation ne conduit pas à l’exploitation

Une autre idée fausse fréquente est que la divulgation des vulnérabilités permet aux pirates de les exploiter librement et, par conséquent, elles ne devraient pas être divulguées. Lorsque nous divulguons des vulnérabilités via les avis de sécurité Axis, nous fournissons un strict minimum de détails. Cela protège les clients en minimisant le risque qu’un pirate exploite une vulnérabilité. Notre objectif consiste à fournir un correctif pour une vulnérabilité avant de la divulguer.

Axis met en œuvre les meilleures pratiques du secteur

Depuis 2015, Axis développe des processus et des outils de gestion des vulnérabilités. La gestion des vulnérabilités est un voyage sans fin ; c'est pourquoi nous nous efforçons constamment d’améliorer nos processus conformément aux meilleures pratiques du secteur. Pour identifier, corriger et divulguer les vulnérabilités, nous coopérons de manière transparente et responsable, de manière coordonnée, avec des parties externes telles que des chercheurs, des pirates informatiques éthiques, des clients finaux et des partenaires. Nous suivons les meilleures pratiques en matière de divulgation coordonnée des vulnérabilités ; ainsi, les vulnérabilités peuvent nous être signalées en toute sécurité.

Voir plus Afficher moins

2016 - Nous avons divulgué publiquement les vulnérabilités corrigées.

2017 - Conception de l’Axis Security Development Model (ASDM). ASDM veille à ce que les considérations en matière de cybersécurité soient intégrées dans le cycle de vie des produits et des solutions Axis.

2020 - Réalisation de notre premier test d’intrusion externe.

2021 - Création de la politique Axis Vulnerability Management Policy. Elle décrit la façon dont les vulnérabilités sont gérées dans nos produits et services et ce que l’on peut attendre d’Axis en tant que fournisseur de confiance.

2021 - En avril, nous rejoignons le programme Common Vulnerabilities and Exposures (CVE) et nous devenons une autorité de numérotation CVE (CNA). Nous signalons les vulnérabilités à l’aide d’identifiants CVE et nous respectons le cadre de bonnes pratiques décrit par le programme CVE.

2022 - En décembre, nous lançons un programme privé de bug bounty en partenariat avec Bugcrowd pour les produits réseau basés sur AXIS OS.

2023 - Publication du cadre de cybersécurité Axis. Il décrit les processus et procédures Axis mis en place pour répondre en permanence aux risques liés à la sécurité, à la fois dans l'infrastructure informatique de notre entreprise et dans nos offres de produits.

2024 - Transformation du programme privé de bug bounty AXIS OS en programme public de bug bounty AXIS OS : tous les chercheurs en sécurité et tous les pirates éthiques disposant d’un compte Bugcrowd peuvent signaler les vulnérabilités liées à AXIS OS.

2024 - Lancement d’un nouveau programme privé de bug bounty pour AXIS Camera Station Pro.

Axis Security Development Model (ASDM)

Axis Security Development Model (ASDM)

L’objectif de l’ASDM est de réduire les vulnérabilités et les coûts de développement en fournissant des conseils et en établissant une base de référence pour la cybersécurité. Nous avons développé nous-mêmes l'ASDM de sorte à l'adapter à nos produits et services. Ce programme nous aide à trouver et à éliminer de manière proactive des milliers de vulnérabilités avant la sortie du produit et à continuer à traiter les vulnérabilités tout au long du cycle de vie du produit. Notre objectif consiste à améliorer la cybersécurité, mais pas uniquement à se conformer aux processus ou aux exigences de certification. Ainsi, les équipes de développement d’Axis décident des activités à mettre en œuvre en fonction du type de logiciel qu’elles développent.

En savoir plus sur ASDM

Programmes de recherche de bugs associés à Bugcrowd

Programmes de recherche de bugs associés à Bugcrowd

Nos programmes de recherche de bugs associés à Bugcrowd nous aident à renforcer considérablement la sécurité de nos produits et de nos solutions tout en offrant un accès à une communauté internationale de chercheurs de confiance et de pirates éthiques. Lorsqu’une vulnérabilité est identifiée, nous offrons une récompense en espèces (une prime). Le montant de la récompense dépend de la gravité de la vulnérabilité. Nous révisons régulièrement le montant de nos récompenses en espèces pour maintenir nos programmes attrayants et compétitifs.

Plusieurs de nos divulgations de CVE sont le résultat de découvertes issues d'un programme de recherche de bugs d'Axis.

Vous souhaitez en savoir plus sur notre partenariat avec Bugcrowd ? Découvrez notre webinaire de questions-réponses enregistré en direct en octobre 2024 ici.

Tests de pénétration

Tests de pénétration

Les tests de pénétration externes fournissent un aperçu et une assurance concernant la sécurité d'un produit à un moment donné. Ils sont réalisés chaque année par des sociétés tierces spécialisées. Pour les relevés clients, veuillez visiter la page de ressources sur la cybersécurité.

Traitez facilement les vulnérabilités

Axis fournit des logiciels qui permettent aux clients de déployer plus facilement des correctifs de vulnérabilité et de nouvelles versions de logiciels avec des mises à jour en matière de sécurité sur de nombreux appareils. Les logiciels de gestion vidéo Axis tels que AXIS Companion, AXIS Camera Station et les logiciels de gestion vidéo partenaires tels que Milestone XProtect® et Genetec™ Security Center alertent les utilisateurs des nouvelles versions d'AXIS OS pour les produits utilisés. AXIS Device Manager et AXIS Device Manager Extend fournissent également des alertes et permettent aux clients de mettre à jour le système d'exploitation de plusieurs appareils.

Formulaire de signalisation d'une vulnérabilité

Pour contribuer à renforcer la sécurité, veuillez partager vos constatations et découvertes avec nous. Le contenu sensible peut être crypté à l’aide de notre clé publique PGP.

Signaler une vulnérabilité