Politique de divulgation des vulnérabilités
Comment signaler une vulnérabilité de sécurité à ADNT Sàrl. Divulgation coordonnée, point de contact unique et engagements alignés sur le Cyber Resilience Act (CRA).
La sécurité de nos produits et de nos clients est une priorité. Si vous pensez avoir découvert une vulnérabilité dans l’un de nos firmwares, logiciels, produits ou services, nous vous invitons à nous la signaler de façon responsable. Cette politique décrit la marche à suivre et nos engagements en retour.
Elle s’inscrit dans une démarche de divulgation coordonnée des vulnérabilités (CVD), alignée sur les exigences du Cyber Resilience Act européen (règlement (UE) 2024/2847).
Point de contact unique
- Email : security@adnt.io
- security.txt : adnt.io/.well-known/security.txt
- Clé PGP : ADNTIO-Security.asc
Empreinte :
F8C0 2587 6310 2591 ED54 CC9D DC19 021C F9E2 2A58
Pour les signalements sensibles, merci de chiffrer votre message avec notre clé PGP.
Comment signaler
Pour nous aider à traiter votre signalement rapidement, merci d’inclure :
- une description de la vulnérabilité et de son impact potentiel ;
- le produit, le firmware, le logiciel ou le service concerné, et sa version ;
- les étapes de reproduction (preuve de concept, journaux, captures) ;
- toute information permettant de vous recontacter.
Nos engagements
- Accusé de réception sous 48 heures.
- Triage initial — qualification de la sévérité et détermination d’une exploitation active éventuelle — sans délai après l’accusé de réception, et au plus tard sous 72 heures.
- Information régulière sur l’avancement de l’investigation et du correctif.
- Mention de votre contribution (si vous le souhaitez) une fois la vulnérabilité corrigée.
Signalement aux autorités (CRA, article 14)
Si le triage révèle une vulnérabilité activement exploitée affectant un produit que nous avons mis à disposition sur le marché européen, nous notifions le CSIRT désigné comme coordinateur et l’ENISA via la Single Reporting Platform, selon les délais du Cyber Resilience Act :
- alerte précoce sous 24 heures à compter de la prise de connaissance ;
- notification complète sous 72 heures ;
- rapport final sous 14 jours après la mise à disposition d’une mesure corrective.
Ces obligations de signalement s’appliquent à partir du 11 septembre 2026.
Divulgation coordonnée
Nous appliquons un principe de divulgation coordonnée : nous publions les détails de la vulnérabilité une fois le correctif disponible, en concertation avec vous, dans un délai raisonnable (généralement 90 jours).
Engagement de bonne foi
Nous nous engageons à ne pas entreprendre d’action en justice contre une personne qui :
- agit de bonne foi et dans le respect de cette politique ;
- évite toute atteinte à la confidentialité, à l’intégrité et à la disponibilité de nos services et de ceux de nos clients ;
- ne divulgue pas la vulnérabilité avant la fin du processus de divulgation coordonnée.
Hors périmètre
Ne sont pas considérés comme des vulnérabilités, sauf impact concret démontré :
- les rapports issus de scanners automatisés sans preuve d’exploitabilité ;
- les attaques par déni de service (DoS / DDoS) ;
- l’ingénierie sociale et le phishing visant nos collaborateurs ;
- les bonnes pratiques manquantes sans vecteur d’attaque concret (en-têtes, configuration TLS, etc.).
📧 Signalement : security@adnt.io