Governance Cybersecurity

ISO 27001 est la norme internationale qui décrit les meilleures pratiques pour un système de gestion de la Security de l'information (SMSI).

L'obtention d'une certification accréditée ISO 27001 démontre que notre organisation suit les meilleures pratiques en matière de sécurité de l'information et fournit une vérification par un expert indépendant que la sécurité de l'information est gérée conformément aux meilleures pratiques internationales et aux objectifs commerciaux.

La gouvernance de la cybersécurité pour Siemens est certifiée ISO 27001 depuis novembre 2017.

Nous sommes certifiés selon la nouvelle norme ISO 27001:2022 depuis novembre 2023.

• Télécharger le certificat
• En savoir plus sur les certificats système

Nous sommes passionnés par la mise en place d'une Cybersecurity résiliente et axée sur les données grâce à une architecture robuste pour protéger Siemens.

Pour ce faire, nous mettons en œuvre notre stratégie de Cybersecurity dans le projet et utilisons le service d'architecture d'entreprise nouvellement créé pour cartographier nos objectifs stratégiques dans une architecture cible pour guider toute la Cybersecurity dans leur effort de mise en œuvre.

Les principaux objectifs du projet sont : Rationaliser l'utilisation des ressources grâce à des mesures d'automatisation et d'efficacité, améliorer la visibilité et la transparence des risques de cybersécurité dans Siemens et tirer parti de la prise de décision basée sur les données pour renforcer l'atténuation réactive et proactive des risques.

La configuration de notre projet est structurée en cinq flux de travail :

• Concept et processus :

  Notre objectif est de décrire et de maintenir le processus d'architecture au sein de Siemens Cybersecurity, en veillant à ce qu'il soit intégré à notre stratégie et à notre portefeuille. Et pour décrire les éléments constitutifs de notre architecture de cybersécurité axée sur les données, y compris les capacités, les applications, les entrées, les sorties et les dépendances.

• Governance :

  Nous visons à définir comment les données de cybersécurité peuvent être combinées pour permettre l'identification et l'évaluation automatiques des risques de cybersécurité, responsabiliser la prise de décision pour son atténuation et augmenter la conformité aux politiques.

• Conscience de la situation :

  Notre objectif est d'être à l'avant-garde et d'être la voix du projet EA, en recueillant les attentes des utilisateurs et en offrant une posture holistique de risque pour améliorer le fonctionnement quotidien des utilisateurs finaux.

• Renseignements de Security :

  Nous visons à mettre en œuvre un point de décision soutenu par l'IA et basé sur les données qui permet d'identifier et d'atténuer automatiquement les risques de cybersécurité de Siemens en responsabilisant la prise de décision.

• Données :

  Workstream Data aide Cybersecurity à adopter une approche axée sur les données en établissant la transparence des données, en empêchant la duplication des données et en fournissant des conseils aux équipes pour leurs stratégies de données.

Le cadre de politique de cybersécurité s'applique à Siemens et à ses sociétés affiliées. En particulier, il contient les exigences en matière de cybersécurité établies dans des politiques, des normes et des lignes de base spécifiques.

Toutes les politiques sont basées sur les normes industrielles pertinentes comme ISO 2700x ou IEC 62443. Pour assurer le respect d'autres normes importantes, les références à celles-ci sont également gérées. La liste des normes pertinentes comprend par exemple le NIST 800-53, les Lignes directrices sur les TIC et la gestion des risques de sécurité de l'ABE, et d'autres.

Les produits, solutions et services Siemens contiennent une quantité importante de logiciels et de composants informatiques, qui dans de nombreux cas sont utilisés dans le contexte d'infrastructures critiques et pourraient devenir plus exposés aux cybermenaces. Les exigences réglementaires et de sécurité spécifiques aux clients augmentent et doivent être traitées par Siemens.

Pour rester compétitif et fiable, l'initiative PSS à l'échelle de Siemens a été créée afin d'aider à s'assurer que les produits, solutions et services que nous vendons permettent à nos clients de gérer leurs installations dans un environnement sécurisé.

À cette fin, des exigences contraignantes pour le PSS et des recommandations pour la mise en œuvre sont en place. L'amélioration continue et l'apprentissage continu sont des conditions préalables fondamentales pour une réalisation réussie.

Il est d'une importance vitale de créer une sensibilisation et une compréhension communes entre tous les employés concernant les aspects de base de la cybersécurité et de fournir une formation spécifique dédiée aux rôles liés à la cybersécurité. Pour répondre aux attentes de nos clients à l'égard des produits, solutions et services de pointe de Siemens en termes de technologie et de sécurité et pour assurer la capacité d'offrir une telle qualité en augmentant continuellement la sensibilisation à la cybersécurité dans notre entreprise et en permettant à nos employés de prendre en compte la cybersécurité dans chaque activité, étape et processus de toute la chaîne de valeur, nous avons créé plusieurs activités. Par exemple :

• Une campagne de sensibilisation mondiale obligatoire dans le but de fournir à tous les employés des informations sur des sujets généraux et importants de cybersécurité. Ces sessions de formation sont basées sur le Web, sans obstacle et multilingues. De plus, pour un groupe spécifique au rôle, nous avons la formation « Permis de conduire ». Cette formation est obligatoire et permet au groupe spécifique au rôle d'appliquer toutes les directives de sécurité IT/OT de Siemens. Une fois terminé avec succès, les participants reçoivent un certificat qui est valide pour deux ans.
• Nous mettons également à disposition plusieurs cours de formation et opportunités d'apprentissage constamment mis à jour pour tous les employés de Siemens. Ceux-ci peuvent être consultés sur une base volontaire. Cette formation est non seulement pour les connaissances de base, mais aussi pour des domaines spécifiques et spécialisés comme la Security des produits et des solutions.
• Nous croyons que l'apprentissage continu est la clé du succès et nous cherchons donc continuellement de nouvelles façons de former et de mettre à jour nos employés.

Toujours garder une vue d'ensemble : Pour vous aider à y parvenir, nous fournissons une plateforme de cybersécurité interne appelée 'CyberMart' qui donne une vue holistique des données et des processus de cybersécurité chez Siemens.

Il permet de prendre des décisions commerciales éclairées et ciblées en fournissant un

• plateforme pour des applications sécurisées traitant des informations pertinentes en matière de cybersécurité,
• pool de données sécurisé pour les données pertinentes en matière de cybersécurité ainsi que
• rapports sur la maturité et l'état des processus de sécurité (par exemple, protection des actifs, traitement des exceptions).

Une partie de cette plateforme est un tableau de bord de cybersécurité qui donne un aperçu de l'état opérationnel de la cybersécurité ainsi que des points de données stratégiques. Ces informations sont à la base des rapports réguliers de la direction interne au conseil d'administration de Siemens et au Conseil de surveillance de Siemens.

L'objectif principal de Cybersecurity Risk Management, qui fait partie de Siemens Enterprise Risk Management (ERM), est de permettre à Siemens d'obtenir de la transparence concernant ses risques de cybersécurité et de les gérer adéquatement à un niveau acceptable.
Le cadre de gestion des risques de Cybersecurity de Siemens est basé sur des normes internationales (ISO/IEC 27005 et ISF IRAM2), prenant en compte tous les niveaux, de l'opérationnel à l'entreprise, et utilisant également les processus et les rôles ERM établis.
Les risques de cybersécurité signalés et gérés jusqu'au niveau ERM sont identifiés dans les processus suivants et gérés à l'aide des outils respectifs :

• Processus global de gestion des risques de Cybersecurity
• Processus de classification et de protection des actifs informatiques et documents et actifs informationnels
• Analyse des menaces et des risques pour les produits, solutions et services
• Processus de gestion des exceptions pour les écarts temporaires par rapport au cadre de cybersécurité Siemens
• Gestion des risques des fournisseurs de cybersécurité

Gestion des risques des fournisseurs de Cybersecurity :

Les risques de cybersécurité doivent être gérés tout au long de la chaîne d'approvisionnement. Siemens considère ce sujet de manière holistique, y compris l'informatique, l'OT et le PSS pour l'achat de composants, de produits et de services horizontaux et verticaux. Pour cette raison, les principales activités visant à améliorer le niveau de cybersécurité tout au long de la chaîne d'approvisionnement comprennent :

• Transparence concernant l'exposition aux risques de cybersécurité tout au long de la chaîne d'approvisionnement
• Pratiques de gestion des risques systématiques soutenues par une méthodologie d'évaluation des fournisseurs tiers, des outils respectifs et des modèles pour les exigences contractuelles de cybersécurité des fournisseurs
• Participation active au sein de la Charte de confiance guidant le 2e principe : « Responsabilité tout au long de la chaîne d'approvisionnement numérique » ainsi que diverses communautés d'experts
• Formations régulières et campagnes de sensibilisation pour divers groupes cibles et cas d'utilisation

Qu'est-ce qu'un incident de Security de l'information ?

Un incident de Security de l'information est défini comme : La compromission directe ou indirecte de la confidentialité, de l'intégrité et/ou de la disponibilité des informations selon sa classification (basée sur ISO27001 et NIST 800-61 rev2). Les exemples d'incidents comprennent, mais ne sont pas limités à :

1. Tentatives réussies d'obtenir un accès non autorisé à un système ou à ses données
2. Perturbation ou déni de service
3. Utilisation non autorisée d'un système pour le traitement ou le stockage de données
4. Modifications apportées aux caractéristiques du matériel, du micrologiciel ou du logiciel du système à l'insu, des instructions ou du consentement du propriétaire

Réponse à l'incident

Nous effectuons une analyse approfondie des incidents de cybersécurité. Pour y parvenir, nous collaborons avec les responsables commerciaux, internes et externes responsables des incidents et les parties prenantes pour coordonner les activités d'intervention et assurer le confinement et le lancement appropriés des tâches de remédiation. De plus, nous fournissons un gestionnaire de projet d'incident, un soutien sur les aspects organisationnels et de communication des incidents graves et complexes.

Processus de traitement des incidents

• Détecter

  Commission de confidentialité, d'intégrité et/ou de disponibilité de l'information.

• Répondre

  Analysez l'attaque et lancez des contre-mesures.

• Remise en état

  Contenir : Limiter les activités malveillantes, Atténuer : Prévenir d'autres dommages, Réparer : Corriger et empêcher la répétition

• Récupérer

  Restaurer l'intégrité des systèmes affectés à un état opérationnel non dégradé.

Les menaces de Security obligent l'industrie à agir.

Les attaques de cybercriminels qui peuvent manipuler des chaînes de valeur entières entraînent souvent non seulement des pannes de production, mais aussi des dommages considérables à votre image. Pour protéger votre technologie opérationnelle (OT) de la meilleure façon possible, il est nécessaire d'obtenir de la transparence sur l'exposition au risque de vos actifs. Cela permet d'identifier et d'éliminer les menaces de cybersécurité avant qu'elles ne causent des dommages significatifs. Nous fournissons plus de cybersécurité pour vos processus de fabrication. Notre approche holistique est conçue pour identifier les failles de sécurité procédurales et les vulnérabilités techniques avant qu'elles ne soient exploitées par de mauvais acteurs.

Plus d'informations

L'IA joue un rôle crucial dans les efforts de cybersécurité de Siemens. Il identifie et neutralise dynamiquement les menaces de sécurité en détectant les anomalies au sein de notre réseau et de nos systèmes. Cette action immédiate contre les failles de sécurité aide à réduire les dommages potentiels.

De plus, l'IA augmente l'efficacité de nos procédures de cybersécurité en automatisant les tâches banales. Cette automatisation permet à nos équipes de sécurité de se concentrer sur des problèmes plus complexes et urgents. De plus, l'IA institue des protocoles de sécurité personnalisés basés sur l'analyse du comportement des utilisateurs, favorisant une stratégie de sécurité précise pour chaque division au sein de Siemens.

Malgré les avantages, il est important de noter que l'IA peut aussi être un outil pour les cyber-attaquants, augmentant la complexité de leurs actions malveillantes. Ces attaquants pourraient exploiter l'IA pour automatiser leurs attaques, échapper aux systèmes de sécurité conventionnels, ou même simuler un comportement humain pour échapper à la détection.

Néanmoins, Siemens est bien préparé pour ce scénario complexe. Nous avons établi des protocoles de sécurité stricts pour assurer l'application sûre et responsable de l'IA. Notre approche avant-gardiste aide à maintenir l'intégrité de nos systèmes et à nous protéger des risques potentiels, nous permettant ainsi d'exploiter les avantages de l'IA dans nos opérations de cybersécurité.

Les avantages que Siemens tire de l'IA l'emportent de manière décisive sur les risques. Grâce à une mise en œuvre méticuleuse et à une surveillance continue, nous minimisons ces risques et amplifions les avantages de l'IA. Par conséquent, l'IA apparaît comme un instrument inestimable qui améliore considérablement notre capacité à repousser les menaces à la sécurité.