Cybersécurité: Gestion des vulnérabilités chez Alstom
Alstom reconnaît la nécessité de disposer de programmes de cybersécurité efficaces pour répondre aux exigences de ses clients en matière de produits, solutions et services sûrs et sécurisés et a mis en place une équipe de réponse aux incidents de sécurité des produits (PSIRT) afin d'identifier et de traiter les vulnérabilités de ses produits, solutions et services.
Cette page décrit l'approche d'Alstom pour la réception de rapports relatifs à des vulnérabilités potentielles de cybersécurité dans ses Produits, Solutions et Services et la pratique standard d'Alstom pour informer les clients et les autres parties prenantes requises des vulnérabilités vérifiées.
Clients d'Alstom
Si vous êtes ou représentez un client d'Alstom, veuillez signaler (ou conseiller au client de signaler) les problèmes potentiels de cybersécurité, y compris les vulnérabilités, au représentant contractuel / chef de projet d'Alstom, tel qu'identifié et conformément au contrat de fourniture ou de service du client avec Alstom, afin de garantir le traitement et la gestion appropriés du problème potentiel.
Chercheurs en sécurité et autres chercheurs de vulnérabilités
Si vous souhaitez signaler une vulnérabilité potentielle de cybersécurité dans un produit et/ou un service d'Alstom, veuillez fournir les informations suivantes en langue anglaise (si possible) :
- Vos coordonnées
- Produit, solution ou service concerné : nom/désignation, configuration.
- Description de la vulnérabilité et de son impact potentiel.
- Description de la manière de reproduire le problème (preuve de concept ou code d'exploitation).
- Description des conditions de réalisation du problème.
Veuillez envoyer ces informations à l'adresse électronique PSIRT : psirt@alstomgroup.com
En cas d'informations sensibles, veuillez fournir votre rapport crypté en utilisant notre clé PGP ci-dessous :
Clé Publique PGP et empreinte digitale : 60EA 8A05 639E EAE3 8D7F D0D0 5691 53A2 A90C 80AD (les réponses peuvent être signées avec cette clé).
Veuillez noter qu'en soumettant ces informations, vous acceptez que :
- Vous vous abstiendrez de divulguer publiquement toute information sur la vulnérabilité jusqu'à ce qu'Alstom ait explicitement accepté de le faire.
- Vous ne vous engagerez pas dans des activités liées à la vulnérabilité découverte qui pourraient affecter les clients ou les fournisseurs d'Alstom.
- Vous n'avez enfreint aucune loi ou réglementation en communiquant ces informations et données connexes à Alstom.
- Vous ne tirerez pas profit du problème de sécurité.
- ALSTOM peut utiliser et distribuer les informations selon les besoins, et vous acceptez que la communication ne crée aucun droit pour vous ni aucune obligation pour Alstom.
Veuillez inclure uniquement les informations nécessaires à ALSTOM pour examiner et traiter tout problème potentiel de cybersécurité (par exemple, une vulnérabilité ou une violation potentielle). Toute information personnelle soumise sera traitée conformément à notre avis de confidentialité.
Comment Alstom répond à une vulnérabilité confirmée :
Alstom accusera réception de la vulnérabilité présumée au déclarant dès que les informations auront été examinées. Alstom évaluera les informations fournies par le déclarant.
Si la validité de la vulnérabilité signalée est confirmée, Alstom évaluera cette constatation avec les risques associés au(x) produit(s) et service(s) concerné(s) et étudiera les contre-mesures appropriées et développera les résolutions et stratégies nécessaires, y compris les mesures appropriées à prendre avec ses clients concernés et les autorités compétentes, le cas échéant.
Pendant cette phase, nous pouvons communiquer avec le déclarant pour obtenir des informations supplémentaires.
Le déclarant peut, à la discrétion d'Alstom, être informé des conclusions de ces évaluations.