Cybersecurity Governance

ISO 27001 est la norme internationale qui décrit les meilleures pratiques pour un système de gestion de la sécurité de l'information (ISMS).

L'obtention d'une certification accréditée ISO 27001 montre que notre organisation suit les meilleures pratiques en matière de sécurité de l'information et fournit un expert indépendant qui vérifie que la sécurité des informations est gérée conformément aux meilleures pratiques internationales et aux objectifs commerciaux.

Cybersecurity Governance for Siemens est certifiée ISO 27001 depuis novembre 2017.

Nous sommes certifiés selon la nouvelle norme ISO 27001:2022 depuis novembre 2023.

• Télécharger le certificat
• En savoir plus sur les certificats système

Nous sommes passionnés par la mise en place d'une Cybersecurity résiliente et axée sur les données grâce à une architecture robuste visant à protéger Siemens.

Pour y parvenir, nous mettons en œuvre notre stratégie de cybersécurité dans le projet et utilisons le nouveau service d'architecture d'entreprise pour cartographier nos objectifs stratégiques dans une architecture cible afin de guider l'ensemble de la cybersécurité dans ses efforts de mise en œuvre.

Les principaux objectifs du projet sont les suivants : rationaliser l'utilisation des ressources grâce à des mesures d'automatisation et d'efficacité, améliorer la visibilité et la transparence des risques de cybersécurité au sein de Siemens et tirer parti de la prise de décisions basée sur les données pour renforcer l'atténuation réactive et proactive des risques.

La configuration de notre projet est structurée en cinq flux de travail :

• Concept et processus :

  Notre objectif est de décrire et de gérer le processus d'architecture au sein de Siemens Cybersecurity, en veillant à ce qu'il soit intégré à notre stratégie et à notre portefeuille. Et pour décrire les éléments constitutifs de notre architecture de cybersécurité axée sur les données, y compris les fonctionnalités, les applications, les entrées, les sorties et les dépendances.

• Governance :

  Notre objectif est de définir comment les données de cybersécurité peuvent être combinées pour permettre l'identification et l'évaluation automatiques des risques de cybersécurité, faciliter la prise de décisions pour les atténuer et améliorer la conformité aux politiques.

• Connaissance de la situation :

  Notre objectif est d'être au premier plan et de faire entendre la voix du projet EA, en répondant aux attentes des utilisateurs et en proposant une approche globale des risques afin d'améliorer le fonctionnement quotidien des utilisateurs finaux.

• Security intelligence :

  Notre objectif est de mettre en œuvre un point de décision basé sur l'IA et les données qui permette à Siemens d'identifier et d'atténuer automatiquement les risques de cybersécurité en renforçant la prise de décisions.

• Données :

  Workstream Data aide la Cybersecurity à adopter une approche axée sur les données en garantissant la transparence des données, en empêchant la duplication des données et en fournissant des conseils aux équipes pour leurs stratégies en matière de données.

Le Cybersecurity Policy Framework s'applique à Siemens et à ses sociétés affiliées. Il contient notamment les exigences en matière de cybersécurité définies dans des politiques, des normes et des points de référence spécifiques.

Toutes les politiques sont basées sur les normes sectorielles pertinentes, telles que ISO 2700x ou IEC 62443. Pour garantir le respect d'autres normes importantes, les références à celles-ci sont également gérées. La liste des normes pertinentes inclut par exemple le NIST 800-53, les directives de l'EBA relatives à la gestion des risques liés aux TIC et à la sécurité, etc.

Les produits, solutions et services Siemens contiennent une quantité importante de logiciels et de composants informatiques qui, dans de nombreux cas, sont utilisés dans le contexte d'infrastructures critiques et pourraient être davantage exposés aux cybermenaces. Les exigences réglementaires et de sécurité spécifiques aux clients augmentent et Siemens doit y répondre.

Pour rester compétitive et fiable, l'initiative PSS à l'échelle de Siemens a été créée afin de garantir que les produits, solutions et services que nous vendons permettent à nos clients de gérer leurs installations dans un environnement sécurisé.

À cette fin, des exigences contraignantes pour le PSS et des recommandations de mise en œuvre sont en place. L'amélioration continue et l'apprentissage continu sont des conditions préalables fondamentales pour réussir.

Il est vital de sensibiliser et de comprendre tous les employés sur les aspects fondamentaux de la cybersécurité et de proposer une formation spécifique dédiée aux rôles liés à la cybersécurité. Pour répondre aux attentes de nos clients concernant les produits, solutions et services de pointe de Siemens en termes de technologie et de sécurité et pour garantir la capacité à fournir une telle qualité en sensibilisant continuellement notre entreprise à la cybersécurité et en permettant à nos employés de prendre en compte la cybersécurité à chaque activité, étape et processus de l'ensemble de la chaîne de valeur, nous avons créé plusieurs activités. Par exemple :

• Une campagne de sensibilisation mondiale obligatoire dans le but de fournir à tous les employés des informations sur des sujets généraux et importants en matière de cybersécurité. Ces sessions de formation se déroulent sur le Web, sont accessibles en plusieurs langues et sont accessibles en plusieurs langues. De plus, pour un groupe spécifique à un rôle, nous proposons la formation « Permis de conduire ». Cette formation est obligatoire et permet au groupe spécifique au rôle d'appliquer toutes les directives de sécurité IT/OT de Siemens. En cas de réussite, les participants reçoivent un certificat valable deux ans.
• Nous proposons également plusieurs cours de formation et opportunités d'apprentissage continuellement mis à jour pour tous les employés de Siemens. Ils sont accessibles sur une base volontaire. Cette formation ne concerne pas seulement les connaissances de base, mais aussi des domaines spécifiques et spécialisés tels que la sécurité des produits et des solutions.
• Nous pensons que l'apprentissage continu est la clé du succès et nous cherchons donc en permanence de nouvelles méthodes de formation et de mise à jour de nos employés.

Gardez toujours une vue d'ensemble : pour y parvenir, nous proposons une plateforme interne de cybersécurité appelée « CyberMart » qui donne une vue globale des données et des processus de cybersécurité chez Siemens.

Il permet de prendre des décisions commerciales éclairées et ciblées en fournissant un

• plateforme pour les applications sécurisées traitant des informations pertinentes en matière de cybersécurité,
• pool de données sécurisé pour les données pertinentes pour la cybersécurité ainsi que
• rapports de maturité et d'état sur les processus de sécurité (par exemple, protection des actifs, gestion des exceptions).

Cette plateforme comprend un tableau de bord de cybersécurité qui donne un aperçu de l'état opérationnel de la cybersécurité ainsi que des points de données stratégiques. Ces informations constituent la base des rapports de gestion internes réguliers adressés au Directoire de Siemens et au Conseil de surveillance de Siemens.

L'objectif principal de la gestion des risques de cybersécurité, qui fait partie de Siemens Enterprise Risk Management (ERM), est de permettre à Siemens de faire preuve de transparence en ce qui concerne ses risques de cybersécurité et de les gérer de manière adéquate jusqu'à un niveau acceptable.
Le cadre de gestion des risques de cybersécurité de Siemens est basé sur les normes internationales (ISO/IEC 27005 et ISF IRAM2) et prend en compte tous les niveaux, de l'opérationnel à l'entreprise, en utilisant des processus et des rôles ERM établis.
Les risques de cybersécurité signalés et gérés jusqu'au niveau de l'ERM sont identifiés selon les processus suivants et gérés au moyen des outils correspondants :

• Processus global de gestion des risques liés à la cybersécurité
• Processus de classification et de protection des actifs informatiques, documentaires et informationnels
• Analyse des menaces et des risques pour les produits, les solutions et les services
• Processus de gestion des exceptions pour les écarts temporaires par rapport au cadre de cybersécurité de Siemens
• Cybersecurity : Gestion des risques liés aux fournisseurs

Gestion des risques liés aux fournisseurs de cybersécurité :

Les risques de cybersécurité doivent être gérés tout au long de la chaîne d'approvisionnement. Siemens aborde ce sujet de manière globale, y compris l'informatique, l'OT et le PSS pour l'achat de composants, de produits et de services horizontaux et verticaux. C'est pourquoi les principales activités visant à améliorer le niveau de cybersécurité tout au long de la chaîne d'approvisionnement sont les suivantes :

• Transparence en ce qui concerne l'exposition aux risques de cybersécurité tout au long de la chaîne d'approvisionnement
• Pratiques de gestion des risques systématiques soutenues par une méthodologie d'évaluation des fournisseurs tiers, des outils et des modèles respectifs pour les exigences contractuelles de cybersécurité imposées aux fournisseurs
• Participation active à la Charte de confiance qui sous-tend le deuxième principe, « La responsabilité tout au long de la chaîne d'approvisionnement numérique », ainsi qu'à diverses communautés d'experts
• Formations et campagnes de sensibilisation régulières destinées à différents groupes cibles et cas d'utilisation

Qu'est-ce qu'un incident de sécurité informatique ?

Un incident de sécurité de l'information est défini comme : la compromission directe ou indirecte de la confidentialité, de l'intégrité et/ou de la disponibilité des informations selon leur classification (sur la base de la norme ISO27001 et du NIST 800-61 rev2). Les exemples d'incidents incluent, mais sans s'y limiter :

1. Tentatives réussies d'accès non autorisé à un système ou à ses données
2. Interruption ou déni de service
3. Utilisation non autorisée d'un système de traitement ou de stockage de données
4. Modifications apportées au matériel, au microprogramme ou aux caractéristiques logicielles du système à l'insu, aux instructions ou sans le consentement du propriétaire

Réponse aux incidents

Nous effectuons une analyse approfondie des incidents de cybersécurité. Pour y parvenir, nous collaborons avec les responsables des incidents internes et externes et les parties prenantes afin de coordonner les activités de réponse et de garantir un confinement approprié et le lancement des tâches de remédiation. De plus, nous fournissons un responsable de projet sur les incidents, qui apporte son soutien sur les aspects organisationnels et de communication des incidents graves et complexes.

Processus de gestion des incidents

• Détecter

  Compromis de la confidentialité, de l'intégrité et/ou de la disponibilité des informations.

• Répondez

  Analysez les attaques et prenez des contre-mesures.

• Remédier

  Contenir : Limiter les activités malveillantes, Atténuer : prévenir d'autres dégâts, Réparer : Corriger et empêcher que cela ne se reproduise

• Récupérer

  Restaurez l'intégrité des systèmes concernés pour qu'ils ne soient pas dégradés.

Security threats oblige le secteur à agir.

Les attaques menées par des cybercriminels capables de manipuler des chaînes de valeur entières entraînent souvent non seulement des interruptions de production, mais aussi une atteinte considérable à votre image. Pour protéger au mieux votre technologie opérationnelle (OT), il est nécessaire de faire preuve de transparence quant à l'exposition au risque de vos actifs. Cela permet d'identifier et d'éliminer les menaces à la cybersécurité avant qu'elles ne causent des dommages importants. Nous renforçons la cybersécurité de vos processus de fabrication. Notre approche holistique est conçue pour identifier les failles de sécurité procédurales et les vulnérabilités techniques avant qu'elles ne soient exploitées par des acteurs malveillants.

Plus d'informations

L'IA joue un rôle crucial dans les efforts de cybersécurité de Siemens. Il identifie et neutralise les menaces de sécurité de manière dynamique en détectant les anomalies au sein de notre réseau et de nos systèmes. Cette action immédiate contre les failles de sécurité permet de réduire les dommages potentiels.

De plus, l'IA améliore l'efficacité de nos procédures de cybersécurité en automatisant les tâches banales. Cette automatisation permet à nos équipes de sécurité de se concentrer sur des problèmes plus complexes et urgents. De plus, l'IA instaure des protocoles de sécurité personnalisés basés sur l'analyse du comportement des utilisateurs, afin de définir une stratégie de sécurité précise pour chaque division de Siemens.

Malgré ses avantages, il est important de noter que l'IA peut également être un outil pour les cyberattaquants, en complexifiant leurs actions malveillantes. Ces attaquants peuvent exploiter l'IA pour automatiser leurs attaques, contourner les systèmes de sécurité classiques ou même simuler le comportement humain pour échapper à la détection.

Siemens est néanmoins bien préparée à ce scénario complexe. Nous avons établi des protocoles de sécurité stricts pour garantir une application sûre et responsable de l'IA. Notre approche avant-gardiste contribue à préserver l'intégrité de nos systèmes et à nous protéger des risques potentiels, nous permettant ainsi d'exploiter les avantages de l'IA dans le cadre de nos opérations de cybersécurité.

Les avantages que Siemens tire de l'IA l'emportent largement sur les risques. Grâce à une mise en œuvre méticuleuse et à une surveillance continue, nous minimisons ces risques et renforçons les avantages de l'IA. L'IA apparaît donc comme un instrument inestimable qui améliore considérablement notre capacité à faire face aux menaces de sécurité.