Les produits SEL ne sont pas sujets à la vulnérabilité d'exécution de code à distance dans la bibliothèque Java Apache Log4j 2 (CVE-2021-44228). Peu après la divulgation de la vulnérabilité, l'équipe d'intervention en cas d'incident lié à la sécurité des produits de SEL (PSIRT) a lancé une analyse produit par produit qui a confirmé que la bibliothèque Log4j 2 vulnérable n'est présente dans aucun produit SEL.
SEL envoie des notifications classées comme « Vulnérabilité en matière de sécurité » aux utilisateurs finaux, directement et par l'intermédiaire de notre force de vente. Les utilisateurs finaux de produits SEL peuvent également s'inscrire pour recevoir des notifications par e-mail concernant les vulnérabilités en matière de sécurité, y compris des informations sur la façon d'atténuer les risques associés.
Remarque :Pour recevoir des notifications concernant la vulnérabilité en matière de sécurité par e-mail, vous devez disposer d'un compte de messagerie d'entreprise dont le domaine est reconnu par SEL en tant que client utilisateur final. Si vous souhaitez également que des e-mails de notification de vulnérabilité soient envoyés à une adresse de messagerie donnée de l'entreprise , veuillez envoyer une demande à security@selinc.com.
Lorsque vous recevez une mise à jour logicielle de la part de SEL, elle est signée numériquement pour vous permettre de vérifier qu'elle n'a pas été modifiée ou falsifiée.
Vérifiez le téléchargement d'un logiciel SEL.
Nous fournissons des outils qui vous permettent d'afficher la dernière version du micrologiciel de vos produits, de vérifier l'intégrité du micrologiciel d'un dispositif et l'intégrité des nouveaux fichiers de micrologiciel.
Vérifiez la version et l'intégrité du micrologiciel.
Depuis sa fondation à Pullman, Washington, en 1982, SEL a mené ses activités dans le respect d'un ensemble de valeurs fondamentales : qualité, orientation client, discipline, communication, intégrité, créativité, communauté, propriété et dignité du travail. Nous avons appliqué ces valeurs à tout ce que nous faisons, y compris à la sécurité des produits et de la chaîne d'approvisionnement, qui est une priorité de SEL depuis plus de 35 ans.
Notre objectif sera toujours d'inventer, de concevoir et de fabriquer des produits sécurisés pour protéger l'infrastructure critique. Lorsqu'une vulnérabilité est détectée, l'évaluation rapide des risques et l'information des clients sont essentielles pour maintenir la confiance que nous avons travaillé des décennies à gagner. SEL ne fabrique pas de produits avec un mécanisme de contournement d'authentification non documenté ou un canal de communication non divulgué.
Parce que la durée de vie d'un produit SEL est souvent mesurée en décennies, et parce qu'il protège ou contrôle l'infrastructure critique dans un environnement de menace en constante évolution, nous comprenons notre responsabilité et la nécessité d'une vigilance constante. Nous comprenons également que l'application de correctifs dans les environnements technologiques opérationnels est souvent coûteuse pour nos clients. Notre engagement est de toujours agir avec urgence et transparence tout au long du processus de divulgation et de restauration et de réduire au minimum les risques à chaque étape.
Nous révélons suffisamment d'informations sur une vulnérabilité pour permettre à nos clients d'évaluer et d'atténuer les risques avec précision sans divulguer inutilement des informations sensibles susceptibles de donner plus de pouvoir à un adversaire. Nous ne divulguerons jamais sciemment des vulnérabilités d'une manière qui risquerait de favoriser un attaquant potentiel, et nous fournirons toujours une divulgation aux clients avant tout autre diffusion.
L'équipe d'intervention en cas d'incident lié à la sécurité des produits (PSIRT) de SEL évalue chaque rapport concernant un problème de sécurité lié aux produits SEL, que ces rapports proviennent des processus d'amélioration continue de SEL ou d'un signalement externe. La PSIRT, avec le soutien de la direction, prend en considération plusieurs facteurs pour évaluer le risque posé par une vulnérabilité et étalonner l'urgence et les ressources consacrées à la résolution, notamment :
Les vulnérabilités sont divulguées aux clients de deux façons :
SEL répond immédiatement à toute vulnérabilité importante affectant un produit SEL susceptible d'être activement exploité. Nous vous fournirons rapidement des conseils sur les mesures d'atténuation, suivis des correctifs ou mises à niveau nécessaires.
Veuillez soumettre votre question concernant la sécurité des produits ou services SEL.