Signaler un problème de sécurité ou de confidentialité

Indiquez toutes les informations appropriées dans le formulaire, notamment celles concernant le problème que vous signalez. Classez votre problème dans l’une des catégories suivantes :

• Vulnérabilité des logiciels ArcGIS : pour signaler une vulnérabilité détectée dans ArcGIS Online ou un produit Esri.
• Problème de confidentialité – Produit logiciel ArcGIS : si vous rencontrez un problème de confidentialité concernant nos applications, par exemple ArcGIS Online ou un autre produit Esri.
• Problème de confidentialité – Société Esri : si vous rencontrez un problème de confidentialité dans des documents marketing ou sur le site de la société Esri.com, par exemple.
• Problème de confidentialité – Site ou URL non sécurisés : pour signaler un abus ayant trait à la marque Esri. Il peut s’agir de domaines trompeurs qui prétendent être liés à Esri, de fournisseurs de logiciels Esri crackés ou de sites de hameçonnage ciblant des clients ou employés Esri.
• Autre : pour tous les autres problèmes de sécurité, confidentialité ou conformité.

Vos informations de contact seront utilisées uniquement pour le suivi des informations que vous avez fournies.

---

L’équipe Esri chargée de la gestion des incidents liés à la sécurité des produits (PSIRT) fournit une clé PGP publique à utiliser lors de la communication avec notre équipe. Utilisez cette clé lorsque vous fournissez à Esri des informations sur les vulnérabilités des logiciels.

Politique de signalement de vulnérabilité

L’équipe PSIRT reconnaît le rôle essentiel des chercheurs en sécurité indépendants en matière de sécurité Internet. Nous encourageons le signalement responsable des vulnérabilités détectées sur notre site ou application. L’équipe Esri s’engage à collaborer avec la communauté de sécurité pour vérifier et corriger les vulnérabilités potentielles qui lui sont signalées. Esri n’intentera pas de poursuites ou n’entamera pas d’enquête judiciaire à votre encontre si cette politique est respectée.

Esri n’autorise pas les types suivants de recherche en sécurité

• Déclenchement, ou tentative de déclenchement, d’une condition de déni de service.
• Utilisation d’outils de sécurité automatisés sans le consentement explicite d’Esri. L’utilisation d’outils automatisés peut donner lieu à une enquête ou au blocage de votre ou vos adresses IP.
• Accès, ou tentative d’accès, à des données ou informations qui ne vous appartiennent pas.
• Destruction ou endommagement, ou tentative de destruction ou d’endommagement, de données ou informations qui ne vous appartiennent pas.

Vulnérabilités des composants tiers

Les logiciels Esri contiennent souvent des bibliothèques ou des binaires tiers ou open source. Avant d’envoyer une demande concernant l’impact sur les logiciels Esri d’un éventuel problème de sécurité lié à un composant tiers, consultez le document Esri contenant les réponses aux CVE de composants tiers, disponible dans l’onglet Documents.

Engagements de l’équipe PSIRT

Vis-à-vis de tous les chercheurs en sécurité qui respectent cette politique de signalement de vulnérabilité, l’équipe PSIRT s’engage à :

• répondre dans un délai raisonnable, en accusant réception du signalement ;
• fournir une estimation du temps nécessaire pour résoudre cette vulnérabilité ;
• notifier l’auteur du signalement une fois la vulnérabilité résolue.