Product Security Incident Response

Le PSIRT Thales (l’équipe de réponse aux incidents sur la sécurité des produits) joue un rôle crucial dans la gestion des incidents de cybersécurité liés aux fuites de données et vulnérabilités impactant les produits et services développés par Thales.

Thales s'engage à fournir à ses clients les garanties nécessaires concernant les fonctions de sécurité et les capacités de ses produits et services.

Pour cette raison, le PSIRT Thales joue un rôle central dans la gestion des incidents, qu’il s’agisse de fuites de données ou de vulnérabilités, affectant les produits et services du Groupe Thales.

Le périmètre d’action du PSIRT Thales couvre l’ensemble des produits et services des entités, filiales et coentreprises du Groupe Thales.

© 123RF

Gestion des vulnérabilités

Thales accorde une attention particulière à la découverte et à la correction des vulnérabilités potentielles pouvant affecter la sécurité de ses produits et services.

Dans ce cadre, Thales met à disposition un point de contact pour les personnes souhaitant signaler des vulnérabilités potentielles, en suivant le modèle de divulgation responsable.
Ce point d’entrée public dédié (psirt(at)thalesgroup[.]com) permet aux chercheurs de contacter l’équipe concernée.

Le PSIRT Thales assure le tri et le traitement approprié des signalements au sein des différentes entités du Groupe Thales.

Divulgation responsable

Le modèle de divulgation responsable implique la qualification et l’évaluation de l’impact des problèmes de sécurité signalés.
Une fois le problème confirmé, le chercheur est informé des investigations menées par Thales, et une période d’embargo est convenue, afin d’atténuer les risques pour les clients et les utilisateurs finaux.

Chaque chercheur s’engage à respecter les principes suivants :

  • Ne pas exploiter la faille de sécurité découverte, par exemple en téléchargeant plus de données que nécessaire pour démontrer la vulnérabilité, ou en supprimant/modifiant des données.
  • Ne pas divulguer les informations partagées tant qu’elles n’ont pas été corrigées et sans le consentement de Thales.
  • Ne pas mener d’attaques telles que l’ingénierie sociale, les attaques par déni de service, l’intrusion physique sur site, le courriel indésirable ou l’exploitation d’applications tierces.

Pour signaler une vulnérabilité potentielle ou une fuite de données affectant un produit ou service du Groupe Thales, veuillez contacter le PSIRT Thales en envoyant un e-mail à psirt(at)thalesgroup[.]com.

Pour nous signaler un incident de cybersécurité impliquant une infrastructure Thales, veuillez consulter la page du CERT Thales.

En cas d’envoi d’informations sensibles, merci de chiffrer votre e-mail à l’aide de PGP :

Clé PGP du PSIRT Thales :

  • ID: 0x8448AE39
  • Hash: FC3C 4520 576E C756 AE73 0030 5369 49C4 8448 AE39

Tous les e-mails de prospection commerciale seront ignorés.

Avis de confidentialité

Thales traitera les informations communiquées de manière sécurisée et appliquera les normes industrielles afin d’en garantir la confidentialité.

Cependant, il appartient à la personne effectuant le signalement d’évaluer les données transmises, afin de s’assurer qu’elles ne contreviennent à aucune loi ou réglementation applicable. En cas de doute, Thales recommande de ne pas transmettre ces informations via ce canal et d’attendre sa réponse afin de convenir ensemble des modalités de transmission.

Les données personnelles du déclarant sont utilisées uniquement pour mener à bien les actions liées aux vulnérabilités de sécurité signalées. Elles ne seront pas divulguées à des tiers sans le consentement de l'auteur, sauf si la loi l’exige.

Thales Group et le Programme CVE

© Thales

Depuis octobre 2021, le PSIRT Thales agit en tant qu’autorité d’attribution de numéros de CVE (CVE Numbering Authority - CNA).

Son périmètre couvre :

  • Les produits et technologies sous la marque Thales Group,
  • Les produits et technologies des filiales du Groupe Thales,
  • Les vulnérabilités dans des logiciels tiers, découvertes par le Groupe Thales ou ses filiales, qui ne relèvent pas du périmètre d’une autre CNA.

Depuis janvier 2025, le Groupe Thales fait partie des « Root » du programme CVE.

Son rôle est de soutenir le modèle fédéré du programme d’autorité d’attribution des numéros CVE (CVE Numbering Authority Program).
Pour une organisation plus cohérente, le Groupe Thales devient « Root » pour ses filiales.

Dans le cadre de ce programme, le PSIRT Thales assure également le rôle de CNA-LR (l'autorité d’attribution de numéros CVE de dernier recours).

Notre programme CVE

© Thales

Processus d’appel

Les parties estimant qu’une CNA rattachée à Thales en tant que « Root » ne respecte pas les règles des CNAs (par exemple, ne répond pas dans les délais, refuse d’attribuer un identifiant CVE à une vulnérabilité, ne remplit pas un enregistrement CVE dans les temps, etc.) peuvent contacter Thales à ce sujet.

Thales évaluera alors le signalement et prendra les mesures nécessaires.

Consultez les Règles des CNAs pour une description générale du processus.

  • Thales sera le point de contact pour l’escalade des problèmes concernant ses CNAs.
  • Thales traitera les problèmes d’attribution CVE de ses CNAs nécessitant une escalade.
  • Pour contacter Thales au sujet d’un problème, envoyez un message détaillé contenant vos questions, problèmes et commentaires à l’adresse cna-coordinator(at)thalesgroup[.]com.
  • Thales accusera réception dans un délai de 3 jours ouvrés.
  • Thales contactera les entités appropriées (la CNA concernée et le demandeur) pour recueillir les informations pertinentes sur le problème.
  • Une fois toutes les informations collectées, Thales communiquera sa décision à toutes les parties concernées, une fois le différend ou la réclamation entièrement examiné. Cette décision sera définitive.
  • Les différends seront clairement documentés dans l’entrée CVE si un identifiant CVE est attribué à la suite d’un problème escaladé.
Signaler un problème concernant une CNA Les règles des CNAs

En savoir plus