PRE-LAUNCHText & numbers are AI-generated placeholders.
← Retour à l’aperçu juridique

Sécurité

Sécurité — Divulgation de Vulnérabilités

Politique de gestion des vulnérabilités : Incutec BV

Le signalement à l'ENISA au titre de l'article 14 du CRA s'applique à partir du 11 septembre 2026. Les obligations complètes de gestion des vulnérabilités au titre du CRA s'appliquent à partir du 11 décembre 2027.

Le CRA (UE) 2024/2847 s'applique à partir du 11 décembre 2027, avec le signalement des vulnérabilités au titre de l'article 14 à partir du 11 septembre 2026.

S'applique à tous les produits Incutec comportant des éléments numériques (firmware).

Politique

Incutec BV traite les vulnérabilités de sécurité de ses produits de manière responsable : surveillance des projets en amont, coordination de la divulgation avec les chercheurs de bonne foi, et signalement à l'ENISA lorsque cela est requis.

Cadre belge

Les chercheurs qui signalent de bonne foi des vulnérabilités selon cette politique bénéficient de la protection du cadre belge de divulgation coordonnée (Loi du 26 avril 2024 et dispositions pertinentes du CCB). Nous recommandons de notifier simultanément le Centre pour la Cybersécurité Belgique (CCB) à vulnerabilityreport@ccb.belgium.be — voir https://ccb.belgium.be/fr. Une notification simultanée au CCB peut conférer une immunité pénale au titre de l’Art. 550bis du Code pénal pour des recherches qui pourraient autrement être qualifiées d’accès non autorisé.

Le CCB agit également en tant que CVE Numbering Authority pour la Belgique.

Divulgation coordonnée des vulnérabilités (Safe harbour)

Incutec accueille favorablement les signalements de vulnérabilités émanant des chercheurs en sécurité. Si vous faites un effort de bonne foi pour vous conformer à cette politique pendant votre recherche de sécurité, nous nous engageons à :

  • Ne pas engager ni soutenir de poursuites judiciaires à votre encontre
  • Travailler avec vous pour comprendre et résoudre rapidement le problème
  • Vous mentionner dans le bulletin de sécurité (sauf si vous préférez rester anonyme)

Dans le périmètre

  • Le matériel conçu par Incutec (contrôleurs de vol, ESC, récepteurs ELRS, et tout produit futur)
  • Le firmware livré ou distribué par Incutec, y compris les définitions board-target contribuées en amont à Betaflight, AM32 ou ExpressLRS
  • incutec.eu, opendrone.be, et les sous-domaines directement exploités par Incutec

Hors périmètre

  • Les attaques par déni de service et les tests volumétriques
  • Les attaques physiques, l'ingénierie sociale ou le phishing du personnel
  • Les services tiers non exploités par Incutec (Shopify, Stripe, fournisseurs d'hébergement)
  • Les signalements produits uniquement par des scanners automatisés sans preuve d'exploitabilité

Contact

Problèmes de sécurité : security@opendrone.be Enregistrement lisible par machine : /.well-known/security.txt (RFC 9116)

Une clé PGP sera publiée ici et dans security.txt une fois l'infrastructure de clés en place. D'ici là, commencez par un contact initial non sensible et nous établirons un canal chiffré avant d'échanger des détails techniques.

Enregistrement auprès de l'ENISA

Incutec s'enregistrera auprès de la Single Reporting Platform (SRP) de l'ENISA avant le 11 septembre 2026. L'URL du portail ENISA sera publiée ici dès que la plateforme sera opérationnelle.

Suivi des versions de firmware

Chaque produit livré est associé à une version de firmware. Lorsqu'un correctif de sécurité est publié, la version est mise à jour et l'identifiant CVE (le cas échéant) est consigné dans les notes de version du produit et sur la fiche produit.

Surveillance des CVE en amont

Une partie de la pile firmware d'Incutec est basée sur des projets open source en amont : Betaflight (GPL-3.0), AM32 (GPL-3.0) et ExpressLRS (GPL-3.0). Nous maintenons également du firmware interne pour certains produits. Surveillance :

  • GitHub Security Advisories pour les dépôts en amont
  • OSV.dev pour les CVE affectant ces projets
  • Notifications de versions sur les dépôts en amont

Un examen manuel est effectué lorsque les projets en amont publient des versions de sécurité. Le firmware interne est surveillé via le système de suivi des tickets interne et la boîte de réception security@opendrone.be.

Processus de signalement

Signalements externes (toujours actifs)

La divulgation responsable est acceptée à tout moment, indépendamment des dates de transition du CRA.

  1. Le chercheur signale à security@opendrone.be
  2. Accusé de réception dans un délai de 48 heures
  3. Évaluation et triage dans un délai de 5 jours ouvrables
  4. Coordination du calendrier du correctif avec le signalant ; mention sauf s'il préfère l'anonymat
  5. Embargo par défaut : 90 jours à compter du signalement initial ou jusqu'à ce qu'un correctif soit publiquement disponible, selon la première éventualité. Les embargos peuvent être prolongés d'un commun accord, par exemple lorsque les projets en amont ont besoin de temps supplémentaire pour coordonner une publication conjointe

Signalement à l'ENISA (à partir du 11 septembre 2026)

L'article 14 du CRA exige la notification des vulnérabilités activement exploitées ET des incidents graves ayant un impact sur la sécurité du produit.

ÉtapeDélaiContenu
Alerte précoce24 heures après la prise de connaissanceProduit concerné, nature de la vulnérabilité ou de l'incident, indicateurs d'exploitation
Notification de vulnérabilité / d'incident72 heures après la prise de connaissanceDétails techniques, versions affectées, mesures d'atténuation disponibles
Rapport final14 jours après la notification initiale (ou après la publication du correctif, selon la plus tardive)Cause première, détails du correctif, comment les utilisateurs affectés ont été informés, mesures correctives

La « prise de connaissance » aux fins de l'article 14 du CRA désigne le moment où Incutec obtient des preuves suffisantes qu'une vulnérabilité est activement exploitée ou qu'un incident grave s'est produit.

Découverte interne

  1. Documenter dans un ticket privé (pas sur GitHub public)
  2. En cas d'exploitation active ou d'incident grave : signaler à l'ENISA dans les 24 heures conformément au tableau ci-dessus
  3. Développer et publier un correctif
  4. Publier un bulletin de sécurité après la mise à disposition du correctif

Distribution des correctifs et notification des utilisateurs

  1. Publier le firmware corrigé sur GitHub releases avec un GitHub Security Advisory
  2. Publier une mise à jour de la fiche produit et une note sur la page des bulletins de sécurité
  3. Notifier les utilisateurs par courriel lorsque les dossiers d'achat existent
  4. Mettre à jour le SBOM du produit concerné (CRA Annexe I Partie II) et mettre le nouveau SBOM à disposition sur la fiche produit

Durée du support produit

Le CRA exige que les fabricants fournissent des mises à jour de sécurité pendant la durée de vie prévue du produit. Incutec s'engage à fournir des mises à jour de sécurité pendant une durée minimale de 5 ans à compter de la dernière date d'expédition d'un produit donné, sauf si une durée plus longue est indiquée sur la fiche produit. Les avis de fin de support seront publiés sur la fiche produit et sur la page des bulletins de sécurité au moins 6 mois avant la fin du support.

Considérations relatives à l'open source

Pour les vulnérabilités situées dans le code en amont (Betaflight, AM32, ExpressLRS), Incutec coordonne d'abord la divulgation avec ces projets et respecte leurs périodes d'embargo avant toute divulgation publique. Les correctifs fusionnés en amont sont reportés dans les canaux de publication d'Incutec.

Triage de la sévérité

La sévérité est évaluée selon CVSS v3.1. SLA indicatifs de correctifs :

SévéritéDélai cible pour le correctif
Critique (CVSS ≥ 9,0)7 jours
Élevée (CVSS 7,0–8,9)30 jours
Moyenne (CVSS 4,0–6,9)90 jours
Faible (CVSS < 4,0)Prochaine version régulière

Les délais peuvent être prolongés lorsqu'une coordination avec des projets en amont est nécessaire.

Politique effective : 20 avril 2026 (date à laquelle la BV devient opérationnelle) Approuvée par : Administrateur délégué, Incutec BV

Signalez les problèmes de sécurité à security@opendrone.be. Voir /.well-known/security.txt pour les coordonnées au format machine.