Chez Automation Anywhere, la sécurité est notre priorité, et nous tenons profondément à maintenir la confiance que nos clients nous accordent. En tant que client de Automation Anywhere, vous êtes invité à effectuer des analyses de sécurité externes, des évaluations ou des tests de pénétration sur votre propre locataire Automation Anywhere enregistré à l\'extérieur avec une approbation préalable. Les tests planifiés doivent être pré-approuvés et effectués à une date et une heure convenues avec Automation Anywhere.

Cette page définit la portée, le processus de demande d\'approbation, les directives pour le processus de rapport pour une activité de test de vulnérabilité et de test de pénétration convenue, unique (un créneau de test est autorisé par approbation), par nos clients. Si vous découvrez une vulnérabilité dans nos systèmes, applications ou infrastructures réseau lors d\'un tel test, Automation Anywhere apprécie votre aide pour nous la divulguer de manière responsable.

Portée

La portée de ce test est limitée uniquement aux vulnérabilités de sécurité et aux faiblesses découvertes sur l\'URL du locataire Automation 360 de production cloud qui vous a été attribuée, en tant que l\'un de nos clients existants. L\'exemple d\'une telle URL ou d\'un tel domaine sera quelque chose dans le format suivant : https://sample_organization.automationanywhere.digital.

Demande de processus d\'approbation

La plupart des clients comptent sur les tests de pénétration de tiers continus de Automation Anywhere, effectués chaque année par différents fournisseurs. Les rapports de ces tests sont mis à disposition sous NDA, accompagnés de tout plan de remédiation nécessaire.

Si vous devez effectuer vos propres tests de pénétration, alors Automation Anywhere demande à être notifié au moins 2 semaines à l\'avance. Contacter l\'assistance Automation Anywhere : Ouvrez un dossier de support (connexion A-People requise) pour cette soumission de demande et notification. Dans la notification de demande, fournissez les informations suivantes :
  • URL spécifiques prévus pour être testés
  • Région (si restrictive)
  • Période de test, dates de début et de fin lorsque le test aura lieu
  • Adresses IP des appareils effectuant les tests
  • Méthodologie : Boîte noire, boîte blanche ou boîte grise
  • Scans automatisés : Oui ou Non
  • Attaques de type DOS : Oui ou Non
  • Attaques par force brute ou par dictionnaire : Oui ou Non
  • Autres informations pertinentes

Directives

Veuillez prêter attention aux directives suivantes lors de l\'exécution des tests :

  • Signalez tout problème de sécurité potentiel dès que possible. Automation Anywhere fera tout son possible pour répondre rapidement et résoudre le problème.
  • Fournissez suffisamment de détails pour reproduire la vulnérabilité, y compris une preuve de concept.
  • Ne divulguez pas un problème au public ou à un tiers tant que Automation Anywhere n\'a pas fourni de réponse officielle.
  • Faites un effort de bonne foi pour éviter les violations de la vie privée, la destruction de données et l\'interruption ou la dégradation de notre service. N\'interagissez qu\'avec les applications et les locataires que vous possédez ou pour lesquels vous avez l\'autorisation explicite du titulaire du compte.
  • Rédigez de manière à supprimer tout langage ou image pouvant identifier ou fournir des détails sur l\'application, nos clients ou leurs vulnérabilités, le cas échéant.
  • N\'engagez pas de tests perturbateurs (tels que les attaques par déni de service (DoS)) ou toute action pouvant affecter la confidentialité, l\'intégrité ou la disponibilité des informations et systèmes Automation Anywhere.
  • Ne vous engagez pas dans l\'ingénierie sociale ou le phishing des clients ou des employés.
  • Ne demandez pas de compensation pour le temps et les matériaux liés aux vulnérabilités découvertes.

Activités interdites

Vous ne devez pas effectuer les activités suivantes :

  • Domaines ou sous-domaines en dehors du périmètre de test approuvé
  • Exécuter ou tenter d\'exécuter une attaque par déni de service (DoS)
  • Vulnérabilités nécessitant un accès physique à l\'ordinateur ou à l\'appareil d\'un utilisateur
  • Test des vulnérabilités sur les sites partenaires de Automation Anywhere, les applications tierces, les sites web ou les services qui s\'intègrent ou se lient aux systèmes Automation Anywhere
  • Attaques physiques contre les bureaux ou les centres de données Automation Anywhere
  • Accéder, télécharger ou modifier des données se trouvant dans un compte qui ne vous appartient pas
  • Publication, transmission, téléchargement, lien vers, envoi ou stockage de tout logiciel malveillant
  • Tester de manière à envoyer des courriels indésirables ou non autorisés, du spam, des systèmes pyramidaux ou d\'autres formes de messages non sollicités.
  • Tester d\'une manière qui dégraderait le fonctionnement de tout système Automation Anywhere

Rapports

Après la fin de la période de test, soumettez les résultats des vulnérabilités de sécurité via le support Automation Anywhere : Ouverture d\'un cas de support (connexion à A-People requise). Lors de la déclaration de vulnérabilités, fournissez les scénarios d\'attaque, des cas de test détaillés spécifiques, l\'exploitabilité (le cas échéant) et l\'impact sur la sécurité de la vulnérabilité. Automation Anywhere s\'engage à :

  • Travailler avec vous pour comprendre et valider le problème.
  • Aborder le risque (si jugé approprié par Automation Anywhere)