Cette page est traduite à l'aide d'un système de traduction automatique. Voulez-vous afficher la version originale en anglais ?
Cette traduction a-t-elle été utile ?
  1. Home
  2. Trust Center
  3. Gouvernance de la cybersécurité

Gouvernance de la cybersécurité

Siemens Industry Software Inc. et ses sociétés affiliées (SISW) se conforment à un cadre de gouvernance, à des lignes directrices et à des directives efficaces en matière d’atténuation des risques.

La cybersécurité est l’un des enjeux les plus importants pour l’avenir, tant pour les entreprises que pour la société. Il s’agit de la condition préalable essentielle pour les organisations afin de protéger les infrastructures critiques, de protéger les informations sensibles et d’assurer la continuité des activités. L’un des objectifs stratégiques de Siemens est que la transformation numérique ne réussira que si nous pouvons compter sur la sécurité des données et les systèmes connectés. La cybersécurité a un impact considérable sur nos clients et est requise par de nombreuses lois et réglementations internationales et nationales. La cybersécurité est donc une priorité absolue pour Siemens.

L’organisation de cybersécurité de Siemens Industry Software Inc. et de ses sociétés affiliées (SISW) s’efforce de protéger les informations de nos clients qui résident dans les produits, solutions et services de SISW ou qui sont traitées par ceux-ci. Pour ce faire, nous veillons à ce que ces produits, solutions et services respectent les pratiques d’ingénierie généralement acceptées en matière de sécurité des produits et des solutions, y compris les meilleures pratiques de cyberdéfense telles que les opérations de détection des menaces et la réduction de la surface d’attaque.

Domaines d’intervention clés pour le SISW

Gestion de la cybersécurité

Responsabilités de haut niveau

Compte tenu de l’importance de la cybersécurité, le chef de la sécurité de l’information (RSSI) du SISW relève directement du chef de la direction du SISW et par l’intermédiaire du chef de la cybersécurité mondial de Siemens.

L’organisation de cybersécurité d’entreprise de Siemens et l’organisation de cybersécurité SISW collaborent étroitement en tant que partenaires de confiance au profit de nos clients et des autres entreprises de Siemens. Les experts en sécurité de Siemens développent et adoptent des technologies, tirent parti du réseau interne et consultent des entreprises homologues pour améliorer régulièrement la résilience de Siemens grâce à une responsabilité claire et holistique. Nous nous appuyons sur une culture d’appropriation pour tous les aspects de la cybersécurité. Tout cela donne à Siemens une base solide pour se protéger, protéger ses clients et la société dans son ensemble.

trust-center-cybersecurity-governance-is890155348-mhero-1280x720

Certifications, attestations, labels et rapports

Chez Siemens, nous avons mis en place des processus et des contrôles pour répondre à plusieurs certificats de sécurité et conformités. Pour plus d’informations, consultez notre page Certificats système.

Afficher les certificats système.

Cadre stratégique en matière de cybersécurité

Le SISW a mis en place un système de gestion de la sécurité de l’information (SMSI) qui s’inscrit dans la vision du cadre de politique de cybersécurité de Siemens et prescrit les politiques, les contrôles et l’attribution des responsabilités qui lui permettent de répondre aux attentes des clients en matière de cybersécurité et de satisfaire aux exigences des certifications et attestations énumérées ci-dessus.

Au cœur du SMSI se trouve le manuel du programme de sécurité de l’information du SISW, qui fournit notre approche de gestion du programme de sécurité de l’information du SISW, pour les offres et les activités connexes. Le manuel décrit l’approche adoptée par le SISW pour établir et maintenir un programme de gouvernance de la sécurité de l’information qui assure la confidentialité, l’intégrité, la disponibilité et la confidentialité des ressources documentaires.

Le SMSI établit également un ensemble de politiques, sous la gouvernance du Conseil de sécurité de l’information (ISC) du SISW, afin de garantir l’engagement envers le programme de sécurité de l’information, les objectifs du programme et l’application du programme.

Sécurité des produits et des solutions (PSS)

Les produits, solutions et services de SISW contiennent d’importants composants logiciels et informatiques, qui peuvent être soumis à des exigences réglementaires en matière de sécurité qui évoluent rapidement.

L’initiative PSS à l’échelle de Siemens a été mise en place pour s’assurer que les produits, solutions et services que nous vendons permettent à nos clients d’exécuter leurs processus dans un environnement sécurisé. Le SISW affecte un responsable de la sécurité des produits et des solutions (PSSO) à chaque gamme de produits pour veiller à ce que cette initiative soit mise en œuvre et surveillée tout au long du cycle de développement.

À cette fin, Siemens a mis en place des exigences contraignantes en matière de PSS et des recommandations de mise en œuvre. L’amélioration continue et l’apprentissage sont des conditions préalables fondamentales à la réussite de la mise en œuvre de PSS.

Sensibilisation à la cybersécurité

Il est essentiel de sensibiliser les employés afin d’assurer le respect des initiatives de cybersécurité et de maintenir des niveaux élevés de sécurité et de sûreté. Cela signifie qu’il faut créer une culture de sensibilisation aux risques et offrir des possibilités de formation et d’éducation continues aux personnes dans l’ensemble de l’organisation.

SISW de Siemens offre à ses employés plusieurs activités et possibilités d’apprentissage et de perfectionnement, notamment :

• Une campagne de sensibilisation mondiale obligatoire pour informer les employés sur les sujets liés à la cybersécurité. Ces sessions de formation sont en ligne, sans obstacle et multilingues. De plus, nous avons une formation « Permis de conduire » pour les groupes spécifiques à un rôle. Cette formation obligatoire permet au groupe d’appliquer les directives de sécurité de Siemens.

• Une formation supplémentaire sur la sécurité obligatoire du SISW pour les OSSP et une formation spécifique à la sécurité du cloud pour les développeurs impliqués dans la création de contenu sont offertes.

• Siemens propose de nombreuses formations et possibilités d’apprentissage régulièrement mises à jour pour les employés sur une base volontaire. Ces modules de formation vont des connaissances de base à des domaines spécifiques et spécialisés comme le PSS.

Surveillance de l’état de la cybersécurité

SISW a mis en place une plateforme qui fournit une vue d’ensemble de notre posture de cybersécurité, y compris des informations sur les vulnérabilités potentielles, les menaces et les journaux de sécurité.

La surveillance des environnements et des logs pertinents permet :

• Notification d’événements liés à la sécurité ;

• Vue d’ensemble centralisée des informations du compte (ressources et actifs) ;

• Validation des postures, des alertes et des pratiques de sécurité cloud désignées ; et

• Exécution de décisions commerciales éclairées et ciblées basées sur la sécurité.

trust-center-cybersecurity-governance-status-monitoring-is808157766-mhero-1280x720

Fondement d’un processus certifié

SISW maintient un système de gestion de la qualité (SMQ) certifié ISO 9001 conçu pour intégrer des contrôles de sécurité dans le cycle de vie de développement sécurisé (SDLC) des produits SISW et l’intégration de fournisseurs tiers pour contrôler la qualité des livrables. Le système de gestion de la qualité exécute des contrôles aux principaux points de contrôle pour vérifier que les contrôles de sécurité et les indicateurs clés de performance de qualité ont été correctement exécutés.

Vision de la qualité

Gestion des risques liés à la cybersécurité

Les processus de gestion des risques de cybersécurité font partie de la stratégie de gestion des risques d’entreprise (ERM) de Siemens. L’objectif principal d’ERM est de permettre à Siemens d’identifier et de minimiser les risques de sécurité potentiels sur la base des normes internationales.

Le processus de gestion des risques de cybersécurité de Siemens se concentre sur le signalement et la gestion des risques dans les domaines suivants :

• Classification et protection des actifs informatiques, des documents et de l’information ;

• Analyse des menaces et des risques pour les produits, les solutions et les services ;

• Gestion des exceptions en cas d’écarts temporaires par rapport aux exigences ; et

• Gestion des risques liés aux fournisseurs en matière de cybersécurité, comme décrit ci-dessous.

trust-center-cybersecurity-risk-management-is1015220836-mhero-1280x720

Gestion des risques liés aux fournisseurs en matière de cybersécurité

Les risques de cybersécurité doivent être gérés tout au long de la chaîne d’approvisionnement. Siemens aborde ce sujet de manière holistique, y compris l’informatique, l’OT et le PSS, pour l’approvisionnement en composants, produits et services horizontaux et verticaux.

Les principales activités visant à améliorer le niveau de cybersécurité tout au long de la chaîne d’approvisionnement sont les suivantes :

• Transparence concernant l’exposition aux risques de cybersécurité tout au long de la chaîne d’approvisionnement ;

• Des pratiques systématiques de gestion des risques soutenues par une méthodologie d’évaluation des fournisseurs tiers et des outils et modèles correspondants pour les exigences contractuelles en matière de cybersécurité des fournisseurs ;

• Participation active à diverses communautés d’experts ; et

• Des campagnes régulières de formation et de sensibilisation pour différents groupes cibles et cas d’utilisation.