Politique de signalement et de divulgation des vulnérabilités du groupe Daikin Europe

Date de la dernière modification : 03/02/2025

Introduction

Daikin Europe N.V. (« DENV ») est une filiale à part entière de la société japonaise Daikin Industries Ltd. Le groupe Daikin produit, vend, distribue et commercialise des équipements et des solutions de climatisation, de chauffage, de ventilation et de réfrigération, ainsi que ses filiales.

Daikin Europe N.V., ainsi que ses filiales (ci-après dénommées « Groupe Daikin Europe »), s’engage à garantir la sécurité et l’intégrité de ses produits, systèmes, services et applications (ci-après les « Actifs ») afin d’assurer, entre autres, la protection des données, y compris les données à caractère personnel, et de la vie privée des utilisateurs finaux, et à prévenir tout impact négatif sur le fonctionnement du réseau ou toute utilisation abusive des ressources du réseau.

Objectif de la présente Politique

La présente Politique vise :

1. à encourager la divulgation responsable des vulnérabilités potentielles constatées dans les Actifs du Groupe Daikin Europe, et
2. à établir un processus permettant de signaler les problèmes de sécurité au Groupe Daikin Europe et de les gérer avec rapidité et efficacité, conformément à la législation applicable².

Public cible

Les personnes en droit de signaler des vulnérabilités incluent, mais sans s’y limiter, les chercheurs dans le domaine de la sécurité, les utilisateurs finaux, les experts indépendants, les partenaires du secteur et les membres du grand public (ci-après l’« Auteur d’un signalement »). Le Groupe Daikin Europe recommande de lire l’intégralité de la présente Politique de divulgation des vulnérabilités avant de signaler une vulnérabilité et de toujours agir en conformité avec cette politique.

Le Groupe Daikin Europe apprécie les contributions de toutes les parties prenantes qui lui permettent de garantir la sécurité des Actifs. Cependant, le Groupe Daikin Europe n'offre aucune récompense pécuniaire pour la divulgation d’une vulnérabilité.

Champ d’application

La présente Politique de signalement et de divulgation des vulnérabilités s’applique aux Actifs qui, si leur sécurité est compromise, peuvent potentiellement nuire au Groupe Daikin Europe

ou affecter ses activités. Ils incluent, mais sans s’y limiter, tous les produits fabriqués et/ou fournis par le Groupe Daikin Europe, ainsi que les actifs numériques, les applications de tiers et l'infrastructure informatique utilisés dans le cadre des activités du Groupe Daikin Europe.

Signalement

Si vous constatez une vulnérabilité de sécurité, veuillez en informer le Groupe Daikin Europe à l’adresse suivante : vulnerability@daikineurope.com

Lorsque vous signalez une vulnérabilité, veuillez fournir les informations suivantes :

• Le(s) nom(s) de modèle ou identificateur(s) des Actifs affectés et/ou les informations permettant d’identifier les Actifs affectés ;
• Une description de la vulnérabilité, y compris la manière dont elle peut être identifiée ou reproduite ;
• L’impact potentiel de la vulnérabilité ;
• Le code de la preuve de concept (s’il est disponible) ou d’autres preuves qui montrent les étapes pour reproduire la vulnérabilité ;
• Les coordonnées de l’Auteur du signalement (la transmission de données à caractère personnel⁴ n’est pas requise).

Avis de réception

À la réception d'un signalement de vulnérabilité, l’équipe de gestion des vulnérabilités du Groupe Daikin Europe notifiera sa réception à l’Auteur du signalement dans les 7 jours ouvrables.

L’avis de réception inclura un numéro de suivi ou un identifiant à titre de référence. Si des informations supplémentaires sont nécessaires pour enquêter sur la vulnérabilité signalée, l’équipe de gestion des vulnérabilités en fera part à l’Auteur du signalement.

Enquête

L’équipe de gestion des vulnérabilités du Groupe Daikin Europe réalisera une enquête au sein de l’organisation pour s’assurer que la validité, la gravité et la portée de chaque vulnérabilité signalée sont correctement évaluées.

Le Groupe Daikin Europe reconnaît l’importance de la transparence et de la collaboration dans la gestion efficace des vulnérabilités de sécurité signalées. Par conséquent, tout au long du processus d’enquête, l’équipe de gestion des vulnérabilités informera régulièrement l’Auteur du signalement sur l’état d’avancement de son enquête, y compris toute découverte significative ou tout élément nouveau.

Mesures correctives

Si le Groupe Daikin Europe estime qu’il est nécessaire de traiter et de résoudre une vulnérabilité en appliquant un correctif, un changement de configuration ou une autre mesure corrective (une « correction » ou des « corrections ») pour éliminer ou atténuer le risque, le Groupe Daikin Europe et/ou ses fournisseurs tiers prépareront les corrections. Les corrections seront conçues pour traiter la vulnérabilité identifiée sans compromettre la fonctionnalité ou la facilité d’utilisation des Actifs affectés.

Une fois les corrections élaborées et leur efficacité testée, elles seront distribuées par les canaux normaux, comme les mises à jour via le réseau sans fil, les mises à jour de firmware, les correctifs logiciels, selon la nature de la vulnérabilité. Si nécessaire, les partenaires commerciaux du Groupe Daikin Europe, y compris les revendeurs et les installateurs, seront informés des mesures qu’ils doivent mettre en œuvre, comme, par exemple, aider à la distribution de correctifs aux utilisateurs finaux ou fournir des consignes sur l’application des correctifs.

Après la correction des vulnérabilités signalées, le Groupe Daikin Europe effectuera des analyses post-mortem pour évaluer l’efficacité du processus de gestion et identifier les domaines d’amélioration. Les enseignements tirés des mesures de correction de chaque vulnérabilité seront documentés et intégrés dans les procédures de gestion futures pour améliorer le processus de traitement des vulnérabilités signalées.

L’Auteur du signalement sera informé du déploiement des corrections et des autres mesures prises pour diminuer la vulnérabilité.

Confidentialité et divulgation des vulnérabilités signalées

Le Groupe Daikin Europe s’engage à divulguer de manière responsable les vulnérabilités de sécurité à ses clients et ses utilisateurs finaux. Une fois qu’une vulnérabilité a fait l’objet d’une enquête complète, le Groupe Daikin Europe définira un plan de divulgation approprié, comme par exemple la communication sur la disponibilité de corrections et les instructions pour les appliquer. L’équipe de gestion des vulnérabilités informera l’Auteur du signalement en conséquence. Le but est de s’assurer que les parties concernées sont informées des risques graves de sécurité et reçoivent des consignes sur la manière de les atténuer.

Le Groupe Daikin Europe reconnaît les risques inhérents à la divulgation prématurée de vulnérabilités et, par conséquent, attire l’attention des Auteurs d’un signalement sur le fait qu’une telle divulgation, alors que la vulnérabilité n’est pas encore résolue, présente une menace significative pour la sécurité, en particulier celle des utilisateurs finaux des Actifs affectés.

La divulgation prématurée peut potentiellement faciliter l’exploitation d’une vulnérabilité par des entités malveillantes. Par conséquent, le Groupe Daikin Europe demande aux Auteurs de signalements de vulnérabilités potentielles de garantir une confidentialité absolue et de s’abstenir de divulguer à des tiers toute information concernant la vulnérabilité présumée, sauf s’ils y sont autorisés expressément par écrit par le Groupe Daikin Europe ou s’ils y sont tenus par la loi applicable.

Directives éthiques relatives au piratage informatique

Ce que l’Auteur d’un signalement NE DOIT PAS faire :

• Activité illégale : Évitez d’entreprendre des actions qui violent les lois ou réglementations applicables.
• Accès excessif aux données : Limitez l’accès aux données nécessaires à la recherche.
• Modification de données : Abstenez-vous de modifier des données dans les systèmes de l’organisation.
• Essais destructifs : Évitez d’utiliser des outils susceptibles d’endommager ou de perturber le fonctionnement des systèmes de l’organisation.
• Attaques par refus de service : N’essayez pas de surcharger ou de désactiver des services.
• Comportement perturbateur : Abstenez-vous de toute action susceptible d’interférer dans les activités de l’organisation.
• Vulnérabilités insignifiantes ou inexploitables : Ne signalez pas les vulnérabilités qui ne peuvent pas être exploitées ou sont des problèmes de configuration mineurs.
• Configuration TLS faible : Évitez de signaler les vulnérabilités liées aux configurations de protocole TLS faibles, sauf si elles présentent un risque de sécurité significatif.
• Communication non autorisée : Divulguez des vulnérabilités uniquement à l’équipe de sécurité désignée ou par les canaux spécifiés.
• Attaques par manipulation sociale ou attaques physiques : N’essayez pas de duper ou d’attaquer physiquement le personnel ou l'infrastructure de l’organisation.
• Extorsion : N’exigez aucun paiement en contrepartie de la divulgation de vulnérabilités.

Ce que l’Auteur d’un signalement DOIT faire :

• Protection des données : Respectez la vie privée des utilisateurs et du personnel du Groupe Daikin Europe.
• Sécurité des données : Stockez de manière sécurisée les données obtenues dans le cadre de la recherche.
• Effacement des données dans les délais : Effacez les données immédiatement, dès qu’elles ne sont plus nécessaires. Dans des cas exceptionnels, quand l’effacement immédiat est techniquement impossible ou interdit par la loi (par exemple en raison de sauvegardes, d’une obligation de préservation de preuves, etc.), les données doivent être effacées dans le mois qui suit la correction de la vulnérabilité. Ce délai d'un mois constitue la période maximale absolue de conservation des données, et tous les moyens doivent être mis en œuvre pour effacer les données dans les plus brefs délais.

Avis

La présente Politique de signalement et de divulgation des vulnérabilités fait l’objet d’une révision périodique et peut être mise à jour ou modifiée si nécessaire pour tenir compte des évolutions de la technologie, des lois applicables ou des meilleures pratiques.