Note : Rapport provenant d'une seule source ; en attente de corroboration.
Le Département de l'Énergie (DOE) a publié une politique de divulgation des vulnérabilités dans le cadre de l'ordonnance DOE 205.1D. Cette politique définit un processus structuré qui permet aux membres du public agissant de bonne foi, appelés « signaleurs », de soumettre des informations sur les vulnérabilités de sécurité potentielles associées aux sites Web, aux systèmes ou aux services numériques du DOE accessibles au public sur Internet.
Le Programme de divulgation des vulnérabilités vise à renforcer la cybersécurité du ministère de l'Énergie en formalisant les procédures de réception, d'évaluation et de correction des vulnérabilités identifiées. Il favorise également la transparence et la communication entre le ministère et les parties externes, en définissant des exigences minimales pour les services du ministère, les bureaux de programmes et les sites associés.
Conformément à la politique en vigueur, le périmètre du programme est défini par le Bureau du directeur des systèmes d'information (BDSI), en accord avec les lois et directives applicables. Le BDSI collabore avec les chefs de service afin d'identifier les systèmes et services relevant de leur responsabilité et inclus dans le programme. Dans un premier temps, le ministère de l'Énergie a identifié au moins un site web, système ou service numérique accessible au public comme étant concerné.
Cette politique soutient les mandats fédéraux en matière de cybersécurité, notamment le mémorandum 20-32 du Bureau de la gestion et du budget et la directive opérationnelle contraignante 20-01 de l'Agence de cybersécurité et de sécurité des infrastructures du Département de la sécurité intérieure, qui exigent tous deux que les agences élaborent et publient des politiques de divulgation des vulnérabilités.