Pourquoi devriez-vous signaler les vulnérabilités ?

Nous invitons chaleureusement chacun — que vous soyez ou non client de METTLER TOLEDO — à partager ses précieux commentaires sur l’ensemble des produits et solutions MT ! Vos retours sont essentiels pour nous. Nous vous assurons que toutes les données, en particulier les informations personnelles, seront traitées avec la plus grande confidentialité et sans qu’il soit nécessaire de signer un accord de non-divulgation.

En signalant des vulnérabilités, vous jouez un rôle essentiel en nous aidant à améliorer nos produits. Cela nous permet de traiter rapidement ces problèmes et de tenir nos clients informés des mesures d’atténuation, des contournements et des correctifs. Cette démarche collaborative nous permet de renforcer la robustesse et la fiabilité des produits et solutions MT, afin de permettre à nos clients de gérer efficacement les risques de sécurité.

Comment pouvez-vous signaler les vulnérabilités ?

Nous encourageons vivement chacun à signaler toute vulnérabilité liée à la sécurité concernant les produits ou solutions MT. La fourniture d’informations complètes, précises et détaillées aide notre équipe de réponse aux incidents de sécurité des produits (PSIRT) à réagir de manière plus efficace et plus efficiente.

Pour votre commodité, MT propose deux moyens simples de nous contacter. 

1. Envoyer un e-mail à psirt@mt.com

2. Via notre partenaire CERT@VDE : https://cert.vde.com/helper/reportvuln/

Les deux canaux de communication mentionnés ci-dessus sont surveillés du lundi au vendredi de 8 h 00 à 17 h 00 CET. 

La langue privilégiée est l’anglais.

Qui recevra le signalement ?

METTLER TOLEDO veille à ce que le rapport soit mis à la disposition des spécialistes compétents, en mesure de traiter le problème décrit. L’accès au rapport sera réservé aux seuls employés de MT, afin de garantir qu’aucune partie externe ne puisse le consulter.

De plus, MT s’engage à garder confidentielles les coordonnées de la partie signalante, sauf si celle-ci demande expressément que ses informations soient divulguées.

Que fera-t-on du signalement ?

Le PSIRT de METTLER TOLEDO est une équipe centrale et interdisciplinaire qui examinera en détail l’impact et la pertinence de la vulnérabilité signalée sur les produits et solutions MT.

À quelle vitesse MT PSIRT réagira-t-il ?

En général, la réception d’une vulnérabilité signalée sera confirmée dans un délai de deux jours ouvrables. Merci de votre engagement à renforcer la sécurité des produits MT !

Quelle est l’approche pour corriger le problème ?

Chez METTLER TOLEDO, le traitement des problèmes de sécurité implique souvent d’aligner nos processus de développement en matière de sûreté et de sécurité sur les exigences industrielles, ce qui peut avoir une incidence sur le calendrier de mise en œuvre des mesures d’atténuation ou des correctifs. Nous vous remercions de votre patience pendant ce processus et, si vous le souhaitez, nous maintiendrons une communication étroite avec la personne ayant signalé le problème.

Étant donné que de nombreux composants et systèmes MT sont fortement intégrés dans l’infrastructure de nos clients, nous demandons à la personne ayant signalé le problème de coordonner avec nous toute divulgation d’information. Cela permet de s’assurer que les informations ne sont pas divulguées prématurément, avant que des mesures d’atténuation appropriées, des solutions de contournement ou des correctifs effectifs ne soient en place.

Merci de votre compréhension et de votre coopération !

Comment le public sera-t-il informé du résultat ?

Pour les vulnérabilités classées Critique ou Élevée, METTLER TOLEDO demandera l’attribution d’un numéro CVE (Common Vulnerabilities and Exposures), et des avis de sécurité seront publiés sur notre plateforme partenaire, CERT@VDE. Pour les vulnérabilités classées Moyenne et Faible, les informations seront incluses dans les notes de version de la prochaine version du produit.

Les clients peuvent choisir de s’abonner à un flux RSS/Atom ou de consulter directement les produits et solutions MT sur CERT@VDE.

Dans les cas extrêmes, par exemple lorsque la sécurité fonctionnelle est menacée, les clients concernés seront contactés directement dans les plus brefs délais. Nous évaluons soigneusement chaque vulnérabilité et suivons une politique de divulgation responsable. Dans de rares cas, METTLER TOLEDO peut également fournir des commentaires sur des vulnérabilités qui n’affectent pas les produits et solutions MT.

Que contient l'avis ?

Un avis fournit des faits pertinents et l’historique de la vulnérabilité, garantissant que les clients et les parties prenantes sont bien informés.

Veuillez consulter une ligne directrice pour des informations utiles (toutes les informations sont facultatives)

  • Coordonnées personnelles (nom, organisation, e-mail, téléphone, pays)
  • Description de la vulnérabilité (effet, procédure de reproduction, fichiers journaux, pcap, ID CWE, ID CVE si disponible)
  • Nom du produit affecté
  • Version logicielle du produit affecté
  • Numéro de série du produit affecté
  • Commentaires supplémentaires
  • Divulgation (prévoyez-vous de divulguer la vulnérabilité, ou est-elle déjà divulguée ?)
  • Pouvons-nous ou devons-nous vous contacter ?

Logiciel open source

Chez METTLER TOLEDO, nous soutenons de tout cœur le concept des logiciels Open Source, en tant qu’élément essentiel de la transformation numérique.

Notre engagement est d’apporter des bénéfices à nos clients, à nos employés et à la communauté au sens large, tout en contribuant activement à cet écosystème collaboratif.

Si vous avez des questions concernant l’utilisation de l’Open Source et la gestion des licences chez METTLER TOLEDO, veuillez contacter notre responsable de la conformité Open Source (OSCO) à l’adresse osco@mt.com.

Je veux...
Besoin d'aide?
Notre équipe est là pour vous aider. Venez discuter avec nos experts.