Politique de signalement et de divulgation de faille du Groupe Daikin Europe

Dernière modification réalisée le : 03/02/2025

Introduction

Daikin Europe N.V. (« DENV ») est une filiale à part entière de la société japonaise Daikin Industries Ltd. Le groupe Daikin et ses filiales produisent, vendent, distribuent et commercialisent des équipements et des solutions de climatisation, de chauffage, de ventilation et de réfrigération.

Daikin Europe N.V. et ses filiales (ci-après dénommés « Groupe Daikin Europe ») s’engagent à assurer la sécurité et l’intégrité de leurs produits, systèmes, services et applications (ci-après les « Actifs ») pour garantir, entre autres, la protection des données, y compris les données personnelles, et la vie privée des utilisateurs finaux, ainsi que pour éviter tout impact négatif sur la fonctionnalité réseau ou toute utilisation abusive des ressources du réseau.

Objectif de cette politique

L’objectif de cette politique est :

1. d’encourager la divulgation responsable de toute faille de sécurité potentielle découverte dans les Actifs du Groupe Daikin Europe, et
2. de mettre en place un processus pour le signalement des problèmes de sécurité au Groupe Daikin Europe et la résolution rapide et efficace de ces problèmes, en conformité avec la législation applicable².

Public cible

Les personnes susceptibles de signaler des failles de sécurité incluent, mais sans s’y limiter, les chercheurs en sécurité, les utilisateurs finaux, les experts indépendants, les partenaires de l’industrie et les membres du grand public (ci-après, le « Lanceur d’alerte »). Le Groupe Daikin Europe recommande de lire la présente politique de divulgation de faille dans son intégralité avant de signaler une faille, et de toujours agir en conformité avec cette politique.

Le Groupe Daikin Europe apprécie les contributions de toutes les parties prenantes qui aident le Groupe Daikin Europe à assurer la sécurité des Actifs. Toutefois, le Groupe Daikin Europe n’offre aucune récompense monétaire pour les divulgations de failles.

Champ d’application

La présente Politique de divulgation et de signalement de faille est applicable à tout Actif qui, en cas de compromission, est susceptible de nuire au Groupe Daikin Europe ou d’affecter ses activités. Ceci inclut, mais sans s’y limiter, tous les produits fabriqués et/ou fournis par le Groupe Daikin Europe, ainsi que les actifs numériques, les applications tierces et l’infrastructure informatique utilisés au sein de l’environnement commercial du Groupe Daikin Europe.

Rapports

En cas de découverte d’une faille de sécurité, la signaler au Groupe Daikin Europe à l’adresse suivante : vulnerability@daikineurope.com

Lors du signalement d’une faille de sécurité, merci de fournir les informations suivantes :

• Nom du(des) modèle(s) ou identifiant(s) des Actifs affectés et/ou informations permettant l’identification des Actifs affectés ;
• Description de la faille, y compris comment elle peut être identifiée ou reproduite ;
• Impact potentiel de la faille ;
• Code de preuve de concept (le cas échéant) ou autre preuve démontrant les étapes nécessaires pour reproduire la faille ;
• Coordonnées du Lanceur d'alerte (aucune nécessité de communication de données personnelles4).

Confirmation de réception

Lors de la réception d'un rapport de faille, l’équipe Antifaille du Groupe Daikin Europe confirmera au Lanceur d’alerte réception de ce rapport dans un délai de 7 jours ouvrés.

La confirmation inclura un identifiant ou un numéro de suivi à des fins de référence. Si des informations supplémentaires s'avèrent nécessaires pour l’enquête sur la faille signalée, l’équipe Antifaille en informera le Lanceur d'alerte.

Enquête

L’équipe Antifaille du Groupe Daikin Europe réalisera une enquête au sein de l’organisation pour assurer l’évaluation correcte de la validité, de la sévérité et de la portée de chaque faille signalée.

Le Groupe Daikin Europe reconnaît l’importance de la transparence et de la collaboration dans la gestion efficace des failles de sécurité signalées. Par conséquent, tout au long du processus d'enquête, l’équipe Antifaille tiendra le Lanceur d’alerte régulièrement informé de la progression du processus, y compris d’éventuel(le)s découvertes importantes ou développements supplémentaires.

Correction

Si le Groupe Daikin Europe juge nécessaire de remédier à une faille via l’application d’un correctif, d’un changement de configuration ou d’une autre mesure de correction (un « correctif » ou des « correctifs ») afin d’éliminer ou de réduire le risque, le Groupe Daikin Europe et/ou ses fournisseurs tiers prépareront les correctifs. Les correctifs seront conçus de façon à remédier à la faille identifiée sans compromettre la fonctionnalité ou l’opérabilité des Actifs affectés.

Une fois les correctifs développés et leur efficacité testée, ils seront distribués par voie normale, comme par exemple des mises à jour à distance, des mises à jour de micrologiciels, des correctifs logiciels, en fonction de la nature de la faille. Si nécessaire, les partenaires commerciaux du Groupe Daikin Europe, y compris les revendeurs et les installateurs, seront informés de toute action requise de leur part, comme par exemple aider à distribuer les correctifs aux utilisateurs finaux ou fournir des instructions pour l’application du correctif.

Une fois les failles signalées corrigées, le Groupe Daikin Europe réalisera des analyses post-mortem pour évaluer l’efficacité du processus de réponse et identifier les améliorations possibles. Les leçons tirées de chaque effort de correction de faille seront documentées et intégrées aux procédures de réponse futures pour améliorer le processus de traitement des failles signalées.

Le Lanceur d’alerte sera informé du déploiement des correctifs et de toute mesure supplémentaire mise en œuvre pour corriger la faille.

Confidentialité et divulgation des failles signalées

Le Groupe Daikin Europe s’engage à divulguer de façon responsable les failles de sécurité à ses clients et utilisateurs finaux. Une fois une enquête sur une faille terminée, le Groupe Daikin Europe déterminera un plan de divulgation approprié, comme par exemple une communication concernant la disponibilité de correctifs et des instructions pour leur application. L’équipe Antifaille informera le Lanceur d’alerte en conséquence. L’objectif est d'assurer que les parties affectées soient informées sur les risques sécuritaires sérieux et reçoivent des instructions sur la procédure à suivre pour les réduire.

Le Groupe Daikin Europe est conscient des risques inhérents associés à une divulgation prématurée des failles et, par conséquent, souligne aux Lanceurs d’alerte que tant que la faille n'est pas corrigée, une telle divulgation constitue un important risque sécuritaire, notamment pour les utilisateurs finaux des Actifs affectés.

Une divulgation prématurée serait susceptible de faciliter une exploitation par des entités malveillantes. Le Groupe Daikin Europe demande par conséquent aux Lanceurs d’alerte de failles potentielles de s'abstenir de divulguer à des tiers des informations relatives à la faille soupçonnée, sauf si expressément autorisé par écrit par le Groupe Daikin Europe ou exigé par la loi applicable.

Directives de piratage contrôlé

Ce qu’un Lanceur d’alerte NE DOIT PAS faire :

• Activité illégale : éviter toute action en violation avec les lois ou réglementations applicables.
• Accès excessif aux données : limiter l’accès aux données à ce qui est vraiment nécessaire pour la recherche.
• Modification des données : s'abstenir de modifier des données dans les systèmes de l’organisation.
• Tests destructifs : éviter d’utiliser des outils risquant d’endommager ou de perturber les systèmes de l’organisation
• Attaques par déni de service : ne pas tenter de surcharger ou de désactiver des services.
• Comportement perturbateur : s’abstenir de toute action susceptible d’interférer avec les opérations de l’organisation.
• Failles anodines ou non exploitables : ne pas signaler les failles non exploitables ou qui sont des problèmes mineurs de configuration.
• Faible configuration TLS : éviter de signaler des failles liées à des configurations TLS faibles si elles ne constituent pas un important risque pour la sécurité.
• Communication non autorisée : ne pas divulguer de failles à des personnes autres que l’équipe de sécurité désignée ou via les canaux spécifiés.
• Attaques d’ingénierie sociale ou physique : ne pas tenter d’abuser ou de nuire physiquement au personnel ou à l’infrastructure de l’organisation.
• Extorsion : ne pas demander de paiement pour les divulgations de failles.

Ce qu’un Lanceur d’alerte DOIT faire :

• Protection des données : respecter la vie privée des utilisateurs et des collaborateurs du Groupe Daikin Europe.
• Sécurité des données : assurer le stockage sécurisé de toutes les données obtenues pendant la recherche.
• Suppression des données en temps opportun : supprimer les données dès qu’elles ne sont plus nécessaires. En cas de circonstances exceptionnelles dans lesquelles une suppression immédiate est techniquement impossible ou légalement restreinte (par ex., en raison de sauvegardes, de conservation à des fins juridiques), les données doivent être supprimées dans le mois qui suit la correction de la faille. Ce délai d’un mois représente la période de conservation maximale absolue et il convient de tout mettre en œuvre pour supprimer les données au plus tôt.

Remarque

^{Cette Politique de signalement et de divulgation de faille fait l’objet d’un examen périodique et peut être mise à jour ou modifiée comme nécessaire pour refléter l’évolution de la technologie, des lois applicables ou des meilleures pratiques.}