Politique de Gestion des Vulnérabilités

1. Introduction

Ce document définit comment les vulnérabilités dans le logiciel DeskCamera sont suivies, évaluées et corrigées. DeskCamera est une application hors ligne, installée localement, qui diffuse l’écran vers des systèmes NVR/VMS au sein du réseau local du client. Elle n’enregistre ni vidéo ni audio, et ne collecte pas de données personnelles. Une connexion optionnelle au cloud peut être utilisée uniquement pour la gestion des licences ou la vérification des mises à jour. Aucune donnée personnelle n’est transmise dans ce cadre.

2. Objectif

Garantir la sécurité et la fiabilité de DeskCamera en minimisant l’exposition aux vulnérabilités connues par une évaluation structurée, une remédiation efficace et des mises à jour régulières.

3. Portée

S’applique à toutes les versions du logiciel DeskCamera, aux systèmes internes de développement, aux dépôts de code source, ainsi qu’à tous les composants tiers intégrés au logiciel.

4. Gouvernance et Rôles

  • CTO – Responsable de la politique, examine les vulnérabilités critiques
  • Équipe de développement – Assure la surveillance, l’évaluation et la résolution des vulnérabilités
  • Responsable sécurité – Coordonne la réponse aux vulnérabilités et la communication externe si nécessaire

5. Identification des Vulnérabilités

  • Surveillance continue des flux CVE et des alertes des fournisseurs
  • Revue de code interne et outils d’analyse statique lors du développement
  • Signalements de bugs par les clients ou chercheurs éthiques à l’adresse [email protected]

6. Classification et Évaluation du Risque

  • Les vulnérabilités sont classées comme Emergency, Haute, Moyenne ou Faible selon le score CVSS et leur impact métier
  • L’évaluation tient compte de la probabilité d’exploitation, de l’impact sur les fonctionnalités et de la surface d’exposition

7. Processus de Remédiation

  • Les vulnérabilités Emergency et Hautes sont traitées sous 5 jours ouvrables
  • Les correctifs sont intégrés à la prochaine version disponible après tests
  • Les dépendances sont mises à jour de manière proactive en cas de risque identifié

8. Processus de Mise à Jour et de Publication

  • Les versions sont signées à l’aide d’un certificat sécurisé stocké sur un support USB hors ligne
  • Les installateurs sont publiés sur le site officiel de DeskCamera
  • Les clients sont informés via la section des avis de sécurité (Security Advisories), si applicable

9. Responsabilités des Clients

  • Les clients sont responsables de télécharger et d’installer manuellement les mises à jour
  • DeskCamera ne peut pas déployer les mises à jour à distance ni accéder à l’environnement client ; les clients doivent donc appliquer les meilleures pratiques en matière de sécurité

10. Revue et Tests

  • Cette politique est revue chaque année par le CTO
  • Le contrôle de version est géré via GitHub
  • Les pratiques de gestion des vulnérabilités peuvent être ajustées à la suite d’un incident ou d’un avis de sécurité

11. Journalisation et Suivi des Modifications

  • Tous les changements de code et l’historique des accès sont enregistrés automatiquement via Azure DevOps Server
  • L’historique des commits, l’activité des utilisateurs et les changements de permissions sont stockés dans une base de données SQL interne
  • Les historiques Git sont conservés pour toutes les versions, et le contrôle d’accès basé sur les rôles garantit la traçabilité
  • La piste d’audit est conforme aux recommandations ISO 27001 et SOC 2 pour le développement sécurisé de logiciels