Cette page est traduite à l'aide d'un système de traduction automatique. Voulez-vous afficher la version originale en anglais ?
Cette traduction a-t-elle été utile ?
  1. Home
  2. Trust Center
  3. Gouvernance de la cybersécurité

Gouvernance de la cybersécurité

Siemens Industry Software Inc. et ses sociétés affiliées (SISW) se conforment à un cadre de gouvernance, à des lignes directrices et à des directives efficaces en matière d’atténuation des risques.

La cybersécurité est l’un des enjeux les plus importants pour l’avenir, tant pour les entreprises que pour la société. Il s’agit de la condition préalable essentielle pour les organisations afin de protéger les infrastructures critiques, de protéger les informations sensibles et d’assurer la continuité des activités. L’un des objectifs stratégiques de Siemens est que la transformation numérique ne réussira que si nous pouvons compter sur la sécurité des données et les systèmes connectés. La cybersécurité a un impact considérable sur nos clients et est requise par de nombreuses lois et réglementations internationales et nationales. La cybersécurité est donc une priorité absolue pour Siemens.

L’organisation de cybersécurité de Siemens Industry Software Inc. et de ses sociétés affiliées (SISW) s’efforce de protéger les informations de nos clients qui résident dans les produits, solutions et services de SISW ou qui sont traitées par ceux-ci. Pour ce faire, nous veillons à ce que ces produits, solutions et services respectent les pratiques d’ingénierie généralement acceptées en matière de sécurité des produits et des solutions, y compris les meilleures pratiques de cyberdéfense telles que les opérations de détection des menaces et la réduction de la surface d’attaque.

Domaines d’intervention clés pour le SISW

Gestion de la cybersécurité

Responsabilités de haut niveau

Compte tenu de l’importance de la cybersécurité, le chef de la sécurité de l’information (RSSI) du SISW relève directement du chef de la direction du SISW et par l’intermédiaire du chef de la cybersécurité mondial de Siemens.

L’organisation de cybersécurité d’entreprise de Siemens et l’organisation de cybersécurité SISW collaborent étroitement en tant que partenaires de confiance au profit de nos clients et des autres entreprises de Siemens. Les experts en sécurité de Siemens développent et adoptent des technologies, tirent parti du réseau interne et consultent des entreprises homologues pour améliorer régulièrement la résilience de Siemens grâce à une responsabilité claire et holistique. Nous nous appuyons sur une culture d’appropriation pour tous les aspects de la cybersécurité. Tout cela donne à Siemens une base solide pour se protéger, protéger ses clients et la société dans son ensemble.

trust-center-cybersecurity-governance-is890155348-mhero-1280x720

Certifications, attestations, labels et rapports

Il s’agit des certifications, attestations, labels et rapports détenus par DI SW.

ISO 27001/17/18 Certification

Certification ISO 27001/17/18

ISO 27001 est la norme internationale qui décrit les meilleures pratiques pour un système de management de la sécurité de l’information (SMSI).

L’obtention de la certification et de l’accréditation ISO 27001 démontre que notre organisation suit les meilleures pratiques en matière de sécurité de l’information (SI). Il fournit également une vérification par un expert indépendant que le SI est géré conformément aux pratiques internationales et aux objectifs commerciaux.

L’engagement de SISW en matière de sécurité de l’information est attesté par les certificats ISO 27001 énumérés ci-dessous et les addenda 27017 et 27018.

ISO 27001

ISO 27017

ISO 27018

Cloud Security Alliance (CSA) (en anglais seulement)

Siemens soutient la CSA, une organisation mondiale de premier plan qui se consacre aux meilleures pratiques en matière de cloud sécurisé. Siemens a été labellisé « fournisseur de cloud de confiance » par la CSA, et les offres SISW ont atteint le niveau 1 de la CSA Security, Trust, Assurance, and Risk (STAR), ce qui confirme notre alignement sur les pratiques de sécurité de la CSA.

Les évaluations détaillées du SISW sont présentées ci-dessous.

Cloud Security Alliance

Registre CSA SISW XaaS

Registre CSA SISW MindSphere CSA

Cyber Essentials Plus (CE Plus)

Cyber Essentials Plus (CE Plus) est la vérification par un tiers de la mise en œuvre de Cyber Essentials, un programme soutenu par le gouvernement britannique utilisé pour aider à protéger une organisation contre une série de cyberattaques parmi les plus courantes.

Certification CE Plus

Siemens CE Plus

SOC 2 (en anglais® seulement)

SOC 2® est une évaluation du contrôle de l’organisation de services relative à la sécurité, à la disponibilité, à l’intégrité du traitement, à la confidentialité ou à la vie privée.

rapports SOC 2® de SISW sont des attestations certifiées destinées à fournir des informations détaillées et une assurance à nos clients. Ces renseignements font référence aux contrôles au sein du SISW liés à la sécurité, à la disponibilité et à l’intégrité du traitement de tous les systèmes impliqués dans la prestation de services et le traitement des données des clients. Il affirme également la confidentialité et le respect de la vie privée des informations traitées par les systèmes SISW.

rapports SOC 2® peuvent être demandés par l’intermédiaire de votre contact commercial SISW et seront mis à disposition après la mise en place d’un accord de confidentialité/non-divulgation approprié.

SOC 3 (en anglais® seulement)

Le rapport SOC 3® Trust Services for Services Organizations fournit des critères pour les rapports à usage général.

Ces rapports peuvent être distribués gratuitement et ont été conçus pour combler le manque de connaissances des utilisateurs qui ont besoin d’une assurance sur la sécurité, la disponibilité et la confidentialité, mais qui ne peuvent pas appliquer efficacement les informations contenues dans un rapport SOC 2®. Les rapports SOC 3® sont également suffisants pour les utilisateurs et les cas d’utilisation où les informations détaillées d’un rapport SOC 2® ne sont pas requises.

Rapport SISW SOC 3® Trust Services pour les organisations de services

L’échange d’évaluation de la sécurité de l’information de confiance (TISAX)

TISAX est une évaluation de la sécurité de l’information pour les mécanismes d’échange de données entre les entreprises de l’industrie automobile.

Le label TISAX confirme qu’un tiers agréé a évalué le système de gestion de la sécurité de l’information d’une entreprise comme étant conforme aux objectifs de sécurité définis. Dans le cadre de ses efforts visant à faciliter le travail de ses clients de l’industrie automobile, SISW a cherché à obtenir des labels TISAX pour certains systèmes et installations nécessaires à de tels échanges de données.

TISAX

De plus amples instructions sur la façon d’accéder aux certifications SISW TISAX pertinentes sont disponibles ici.

Cadre stratégique en matière de cybersécurité

Le SISW a mis en place un système de gestion de la sécurité de l’information (SMSI) qui s’inscrit dans la vision du cadre de politique de cybersécurité de Siemens et prescrit les politiques, les contrôles et l’attribution des responsabilités qui lui permettent de répondre aux attentes des clients en matière de cybersécurité et de satisfaire aux exigences des certifications et attestations énumérées ci-dessus.

Au cœur du SMSI se trouve le manuel du programme de sécurité de l’information du SISW, qui fournit notre approche de gestion du programme de sécurité de l’information du SISW, pour les offres et les activités connexes. Le manuel décrit l’approche adoptée par le SISW pour établir et maintenir un programme de gouvernance de la sécurité de l’information qui assure la confidentialité, l’intégrité, la disponibilité et la confidentialité des ressources documentaires.

Le SMSI établit également un ensemble de politiques, sous la gouvernance du Conseil de sécurité de l’information (ISC) du SISW, afin de garantir l’engagement envers le programme de sécurité de l’information, les objectifs du programme et l’application du programme.

Sécurité des produits et des solutions (PSS)

Les produits, solutions et services de SISW contiennent d’importants composants logiciels et informatiques, qui peuvent être soumis à des exigences réglementaires en matière de sécurité qui évoluent rapidement.

L’initiative PSS à l’échelle de Siemens a été mise en place pour s’assurer que les produits, solutions et services que nous vendons permettent à nos clients d’exécuter leurs processus dans un environnement sécurisé. Le SISW affecte un responsable de la sécurité des produits et des solutions (PSSO) à chaque gamme de produits pour veiller à ce que cette initiative soit mise en œuvre et surveillée tout au long du cycle de développement.

À cette fin, Siemens a mis en place des exigences contraignantes en matière de PSS et des recommandations de mise en œuvre. L’amélioration continue et l’apprentissage sont des conditions préalables fondamentales à la réussite de la mise en œuvre de PSS.

Sensibilisation à la cybersécurité

Il est essentiel de sensibiliser les employés afin d’assurer le respect des initiatives de cybersécurité et de maintenir des niveaux élevés de sécurité et de sûreté. Cela signifie qu’il faut créer une culture de sensibilisation aux risques et offrir des possibilités de formation et d’éducation continues aux personnes dans l’ensemble de l’organisation.

SISW de Siemens offre à ses employés plusieurs activités et possibilités d’apprentissage et de perfectionnement, notamment :

• Une campagne de sensibilisation mondiale obligatoire pour informer les employés sur les sujets liés à la cybersécurité. Ces sessions de formation sont en ligne, sans obstacle et multilingues. De plus, nous avons une formation « Permis de conduire » pour les groupes spécifiques à un rôle. Cette formation obligatoire permet au groupe d’appliquer les directives de sécurité de Siemens.

• Une formation supplémentaire sur la sécurité obligatoire du SISW pour les OSSP et une formation spécifique à la sécurité du cloud pour les développeurs impliqués dans la création de contenu sont offertes.

• Siemens propose de nombreuses formations et possibilités d’apprentissage régulièrement mises à jour pour les employés sur une base volontaire. Ces modules de formation vont des connaissances de base à des domaines spécifiques et spécialisés comme le PSS.

Surveillance de l’état de la cybersécurité

SISW a mis en place une plateforme qui fournit une vue d’ensemble de notre posture de cybersécurité, y compris des informations sur les vulnérabilités potentielles, les menaces et les journaux de sécurité.

La surveillance des environnements et des logs pertinents permet :

• Notification d’événements liés à la sécurité ;

• Vue d’ensemble centralisée des informations du compte (ressources et actifs) ;

• Validation des postures, des alertes et des pratiques de sécurité cloud désignées ; et

• Exécution de décisions commerciales éclairées et ciblées basées sur la sécurité.

trust-center-cybersecurity-governance-status-monitoring-is808157766-mhero-1280x720

Fondement d’un processus certifié

SISW maintient un système de gestion de la qualité (SMQ) certifié ISO 9001 conçu pour intégrer des contrôles de sécurité dans le cycle de vie de développement sécurisé (SDLC) des produits SISW et l’intégration de fournisseurs tiers pour contrôler la qualité des livrables. Le système de gestion de la qualité exécute des contrôles aux principaux points de contrôle pour vérifier que les contrôles de sécurité et les indicateurs clés de performance de qualité ont été correctement exécutés.

Vision de la qualité

Gestion des risques liés à la cybersécurité

Les processus de gestion des risques de cybersécurité font partie de la stratégie de gestion des risques d’entreprise (ERM) de Siemens. L’objectif principal d’ERM est de permettre à Siemens d’identifier et de minimiser les risques de sécurité potentiels sur la base des normes internationales.

Le processus de gestion des risques de cybersécurité de Siemens se concentre sur le signalement et la gestion des risques dans les domaines suivants :

• Classification et protection des actifs informatiques, des documents et de l’information ;

• Analyse des menaces et des risques pour les produits, les solutions et les services ;

• Gestion des exceptions en cas d’écarts temporaires par rapport aux exigences ; et

• Gestion des risques liés aux fournisseurs en matière de cybersécurité, comme décrit ci-dessous.

trust-center-cybersecurity-risk-management-is1015220836-mhero-1280x720

Gestion des risques liés aux fournisseurs en matière de cybersécurité

Les risques de cybersécurité doivent être gérés tout au long de la chaîne d’approvisionnement. Siemens aborde ce sujet de manière holistique, y compris l’informatique, l’OT et le PSS, pour l’approvisionnement en composants, produits et services horizontaux et verticaux.

Les principales activités visant à améliorer le niveau de cybersécurité tout au long de la chaîne d’approvisionnement sont les suivantes :

• Transparence concernant l’exposition aux risques de cybersécurité tout au long de la chaîne d’approvisionnement ;

• Des pratiques systématiques de gestion des risques soutenues par une méthodologie d’évaluation des fournisseurs tiers et des outils et modèles correspondants pour les exigences contractuelles en matière de cybersécurité des fournisseurs ;

• Participation active à diverses communautés d’experts ; et

• Des campagnes régulières de formation et de sensibilisation pour différents groupes cibles et cas d’utilisation.