FAQ sur la cybersécurité de Siemens

Oui. Les données de nos services cloud, par défaut, n'ont aucun accès. Les administrateurs clients accorderont ou supprimeront l'accès aux utilisateurs.

Au sein de Siemens Digital Industry Software (Siemens), nous examinons tous les trimestres les comptes cloud pour l'accès le moins privilégié. Ce modèle comprend la séparation des tâches, le principe du « besoin de savoir », et un processus de demande et d'approbation pour toutes les demandes d'accès.

L'accès à l'environnement cloud de production est contrôlé par un ensemble de points d'accès désigné et limité aux membres spécifiques et privilégiés de l'équipe. Les utilisateurs sont authentifiés aux points d'accès à l'aide des informations d'identification de l'entreprise avec authentification matérielle multifacteur (MFA) en fonction de l'emplacement des actifs de production. Les mots de passe, ainsi que l'authentification à deux facteurs, sont utilisés pour accéder aux périphériques réseau. Ceux-ci sont limités aux personnes autorisées et aux processus système basés sur les responsabilités professionnelles et sont modifiés périodiquement.

Les exigences applicables en matière de contrôle d'accès comprennent également la gestion de l'accès utilisateur, l'accès privilégié, la révision de l'accès, l'authentification multifacteur et l'expiration du mot de passe, la longueur, le verrouillage et la complexité, ainsi que les exigences relatives aux processus d'enregistrement et de désinscription, à la restriction d'accès, aux meilleures pratiques en matière d'identifiants et à l'examen des droits d'accès des utilisateurs.

Oui. Le département des installations de Siemens est responsable de l'évaluation de nos emplacements physiques, de l'application des mesures de sécurité physique et de l'ajustement périodique de ces mesures au besoin. Des mécanismes de contrôle d'accès physique (par exemple, badges d'identification, réception contrôlée, caméras, enregistrement des accès) sont mis en œuvre dans les immeubles de bureaux, les centres de données et d'autres emplacements Siemens.

Nous maintenons diverses certifications de sécurité de l'information, notamment ISO 27001/17/18, SOC2, TISAX, Cloud Security Alliance (CSA) STAR Level One CAIQ et Cyber Essentials Plus.

Pour plus d'informations, consultez le Page Certificats système.

Nous avons mis en œuvre et continuons de surveiller un nombre important de contrôles dans le NIST SP 800-53 et nos lignes directrices sont conformes à la norme ISO 27001 et aux cadres de conformité SOC 2.

Oui. Nous avons mis en place des mesures techniques et organisationnelles (TOM) basées sur les principes de protection des données pour protéger nos systèmes, répondre aux exigences du RGPD et protéger les droits des personnes concernées.

Pour plus de détails sur les TOMs de Siemens, voir Annexe II de nos Terms de Confidentialité des Données.

Les procédures pour traiter les droits des personnes concernées se trouvent dans nos Terms de confidentialité des données, Section 10, qui décrit comment les droits des personnes concernées sont traités conformément au RGPD. En règle générale, Siemens informera le client sans retard injustifié si Siemens reçoit une demande d'une personne concernée pour exercer ses droits (tels que le droit d'accès, de rectification, d'effacement ou de limitation du traitement). Siemens assistera ensuite le client avec des mesures techniques et organisationnelles pour s'acquitter de son obligation de répondre à de telles demandes et de se conformer à la loi applicable en matière de protection des données.

Voir Terms de confidentialité des données.

Votre organisation a-t-elle une approche structurée de « protection des données par conception/défaut » lors de la mise en œuvre de nouvelles technologies ? Comment faites-vous de la protection des données un élément essentiel de la fonctionnalité de base de vos systèmes et services de traitement ?

Oui. Pour Siemens, Privacy by Design signifie que la légalité, la transparence, l'autodétermination informationnelle, l'économie des données et la sécurité des données sont déjà prises en compte lors du développement de nos produits et services. Les concepts Privacy by Design sont donc intégrés dans nos processus de développement de produits le cas échéant.

Oui. Nous avons établi des directives et des exigences pour le développement de logiciels et les référentiels de code source, qui incluent des directives pour la sécurité tout au long du cycle de vie du développement de logiciels et de services. Ces directives couvrent des sujets tels que la maintenance du code source dans des référentiels approuvés (y compris la journalisation et la surveillance), la formation au développement sécurisé pour les ingénieurs logiciels et les analystes programmeurs, et les exigences relatives aux environnements de développement, de test et opérationnels sécurisés.

Nos pratiques de codage sont directement éclairées par le Open Worldwide Application Security Project (OWASP) normes. Une combinaison de tests de sécurité (tels que la pénétration, l'analyse statique et/ou dynamique) est mise en œuvre pour identifier les « 10 meilleurs » risques de sécurité des applications Web de l'OWASP et les problèmes connexes. Tous les problèmes critiques détectés sont résolus dès que possible, tandis que les problèmes moins importants sont généralement traités dans les prochaines versions.

Oui. Les données cloud en transit et les données au repos (y compris les sauvegardes) sont cryptées.

Oui. Nos employés sont tenus de suivre une formation de sensibilisation à la sécurité sur une base annuelle. Les sujets abordés dans cette formation comprennent l'utilisation sécurisée des programmes et des outils, les méthodes de phishing, la sécurité des mots de passe et l'authentification multifactorielle, la classification des informations, la sécurité du travail mobile/du bureau à domicile, la communication sécurisée, et plus encore.

Oui. La non-divulgation est traitée dans les directives de la société Siemens, que chaque employé accepte de respecter dans les contrats de travail. Nos accords avec nos partenaires et fournisseurs comprennent également des obligations de confidentialité et mettent en œuvre les Rules de Siemens pour les partenaires commerciaux, qui définissent le traitement approprié des informations confidentielles.

Oui. Notre SLA de disponibilité varie en fonction du niveau de service applicable au service cloud respectif.

Norme = 98%

Amélioré = 99,5 %

Maximum = 99,95 %

(La disponibilité améliorée et maximale peut ne pas être disponible pour tous les services cloud)

Pour plus de détails, voir le Support cloud et cadre de niveau de service (Cloud SLA).

Oui, via notre niveau de service d'assistance Gold.

Voir notre Support cloud et cadre de niveau de service (Cloud SLA) pour plus de détails.

Oui. Sauf indication contraire dans le Centre de support, les Services Cloud ont une fenêtre de maintenance régulière hebdomadaire par région desservie comme suit :

• Amériques : Samedi 1 h 00 à lundi 3 h 00 U.S. Est (GMT -4)
• Europe, Moyen-Orient et Afrique : samedi 1h00 à lundi 3h00 heure d'Europe centrale (GMT +2)
• Asie-Pacifique : Samedi de 1h00 au lundi 3h00 heure normale du Japon (GMT +9)

Les clients peuvent s'abonner pour être informés automatiquement des temps d'arrêt programmés dans notre Centre d'assistance.

Oui, nous sauvegarder les données des clients hébergées via nos services cloud. Tous les services cloud qui sont fournis sous notre niveau de service standard, effectuent une sauvegarde quotidienne qui est maintenue pendant deux semaines, et une sauvegarde mensuelle qui est maintenue pendant trois mois. En suivant les mêmes processus d'accès et de cryptage que les données d'origine, toutes les données d'objet sont sauvegardées dans un compte système secondaire ou un centre de données dans la même région géographique que les données d'origine.

Pour plus d'informations sur la conservation des données et les options de niveau amélioré et maximum de Siemens (la disponibilité varie selon le produit), consultez la Section 3.1 dans le Support cloud et cadre de niveau de service (« Cloud SLA »).

Oui. Nous mettons en œuvre des exigences pour les processus de gestion de la sécurité de l'information, les critères et la propriété pour soutenir l'entreprise dans des situations défavorables.

Les procédures de restauration des données à partir de sauvegardes sont testées au moins une fois par an et sont examinées dans le cadre des processus d'audit interne et externe.