FAQ sur la cybersécurité de Siemens

Oui. Les données de nos services cloud ne sont pas accessibles par défaut. Les administrateurs clients accorderont ou supprimeront l'accès aux utilisateurs.

Au sein de Siemens Digital Industry Software (Siemens), nous examinons tous les trimestres les comptes cloud pour y accéder avec le moindre privilège. Ce modèle inclut la séparation des tâches, le principe du « besoin de savoir » et un processus de demande et d'approbation pour toutes les demandes d'accès.

L'accès à l'environnement cloud de production est contrôlé par un ensemble de points d'accès désignés et réservé à certains membres privilégiés de l'équipe. Les utilisateurs sont authentifiés auprès des points d'accès à l'aide des informations d'identification de l'entreprise grâce à l'authentification matérielle multifactorielle (MFA) selon l'emplacement des actifs de production. Les mots de passe, ainsi que l'authentification à deux facteurs, sont utilisés pour accéder aux appareils réseau. Ils sont réservés aux personnes autorisées et les processus du système sont basés sur les responsabilités professionnelles et sont modifiés périodiquement.

Les exigences de contrôle d'accès applicables incluent également la gestion de l'accès des utilisateurs, l'accès privilégié, la révision de l'accès, l'authentification multifactorielle, l'expiration, la longueur, le verrouillage et la complexité des mots de passe, ainsi que les exigences relatives aux processus d'enregistrement et de désinscription, aux restrictions d'accès, aux meilleures pratiques en matière d'identification et à la révision des droits d'accès des utilisateurs.

Oui. Le service des installations de Siemens est chargé d'évaluer nos sites physiques, d'appliquer des mesures de sécurité physiques et de les ajuster périodiquement selon les besoins. Des mécanismes de contrôle d'accès physique (par exemple, badges d'identification, réception contrôlée, caméras, enregistrement des accès) sont mis en œuvre dans les immeubles de bureaux, les centres de données et les autres sites de Siemens.

Nous détenons plusieurs certifications de sécurité informatique, notamment ISO 27001/17/18, SOC2, TISAX, Cloud Security Alliance (CSA) STAR Level One CAIQ et Cyber Essentials Plus.

Pour plus d'informations, consultez le Page relative aux certificats du système.

Nous avons mis en œuvre et continuons de surveiller un grand nombre de contrôles dans le cadre de la norme NIST SP 800-53 et nos directives sont conformes à la norme ISO 27001 et aux cadres de conformité SOC 2.

Oui. Nous avons mis en place des mesures techniques et organisationnelles (TOM) basées sur les principes de protection des données pour protéger nos systèmes, répondre aux exigences du RGPD et protéger les droits des personnes concernées.

Pour plus de détails sur les TOM de Siemens, voir Annexe II de nos Termes de confidentialité des données.

Les procédures relatives aux droits des personnes concernées se trouvent dans nos Data Privacy Terms, section 10, qui décrit la manière dont les droits des personnes concernées sont gérés conformément au RGPD. En général, Siemens informera le client dans les meilleurs délais si Siemens reçoit une demande d'une personne visant à exercer ses droits (tels que le droit d'accès, de rectification, d'effacement ou de restriction du traitement). Siemens aidera ensuite le client en prenant des mesures techniques et organisationnelles pour lui permettre de s'acquitter de son obligation de répondre à de telles demandes et de se conformer à la législation applicable en matière de protection des données.

Voir Termes de confidentialité des données.

Votre organisation applique-t-elle une approche structurée de « protection des données dès la conception et par défaut » lors de la mise en œuvre de nouvelles technologies ? Comment faites-vous de la protection des données un élément essentiel des fonctionnalités de base de vos systèmes et services de traitement ?

Oui. Pour Siemens, Privacy by Design signifie que la légalité, la transparence, l'autodétermination informationnelle, l'économie des données et la sécurité des données sont déjà prises en compte lors du développement de nos produits et services. Les concepts de confidentialité dès la conception sont donc intégrés dans nos processus de développement de produits, le cas échéant.

Oui. Nous avons établi des directives et des exigences pour le développement de logiciels et les référentiels de code source, notamment des directives en matière de sécurité tout au long du cycle de développement des logiciels et des services. Ces directives couvrent des sujets tels que la maintenance du code source dans des référentiels approuvés (y compris la journalisation et la surveillance), la formation sécurisée au développement pour les ingénieurs logiciels et les programmeurs analystes, et les exigences relatives à la sécurité des environnements de développement, de test et d'exploitation.

Nos pratiques de codage sont directement inspirées par le Open Worldwide Application Security Project (OWASP) normes. Une combinaison de tests de sécurité (tels que des analyses de pénétration, statiques et/ou dynamiques) est mise en œuvre pour identifier les « 10 principaux » risques de sécurité des applications Web de l'OWASP et les problèmes connexes. Tous les problèmes critiques détectés sont résolus dès que possible, tandis que les problèmes mineurs sont généralement résolus dans les prochaines versions.

Oui. Les données en transit et les données au repos dans le cloud (y compris les sauvegardes) sont cryptées.

Oui. Nos employés sont tenus de suivre une formation de sensibilisation à la sécurité chaque année. Les sujets abordés dans cette formation incluent l'utilisation sécurisée des programmes et des outils, les méthodes de phishing, la sécurité des mots de passe et l'authentification multifactorielle, la classification des informations, la sécurité du travail mobile et du bureau à domicile, les communications sécurisées, etc.

Oui. La non-divulgation est abordée dans les directives de l'entreprise Siemens, que chaque employé s'engage à respecter dans ses contrats de travail. Nos accords avec nos partenaires et fournisseurs incluent également des obligations de confidentialité et mettent en œuvre les Siemens Rules for Business Partners, qui définissent le traitement approprié des informations confidentielles.

Oui. Notre SLA de disponibilité varie en fonction du niveau de service applicable au service cloud concerné.

Norme = 98 %

Amélioré = 99,5 %

Maximum = 99,95 %

(La disponibilité améliorée et maximale n'est peut-être pas disponible pour tous les services cloud)

Pour plus de détails, consultez le Support cloud et cadre de niveau de service (Cloud SLA).

Oui, via notre niveau de service d'assistance Gold.

Consultez notre Support cloud et cadre de niveau de service (Cloud SLA) pour plus de détails.

Oui. Sauf indication contraire dans le centre de support, les services cloud ont une fenêtre de maintenance régulière hebdomadaire par région desservie, comme suit :

• Amériques : du samedi 1 h 00 au lundi 3 h 00, heure de l'Est des États-Unis (GMT -4)
• Europe, Moyen-Orient et Afrique : du samedi 1 h 00 au lundi 3 h 00, heure d'Europe centrale (GMT +2)
• Asie-Pacifique : du samedi 1 h 00 au lundi 3 h 00, heure normale du Japon (GMT +9)

Les clients peuvent s'inscrire pour être automatiquement avertis des temps d'arrêt prévus dans notre centre d'assistance.

Oui, nous sauvegardons les données des clients hébergées via nos services cloud. Tous les services cloud fournis dans le cadre de notre niveau de service standard effectuent une sauvegarde quotidienne qui est maintenue pendant deux semaines et une sauvegarde mensuelle qui est maintenue pendant trois mois. En suivant les mêmes processus d'accès et de cryptage que les données d'origine, toutes les données des objets sont sauvegardées sur un compte système secondaire/un centre de données situé dans la même zone géographique que les données d'origine.

Pour plus d'informations sur la conservation des données et les options de niveau amélioré et maximum de Siemens (la disponibilité varie selon les produits), consultez la section 3.1 du Support cloud et cadre de niveau de service (« Cloud SLA »).

Oui. Nous mettons en œuvre des exigences en matière de processus, de critères et de propriété de gestion de la sécurité de l'information afin de soutenir l'activité dans des situations difficiles.

Les procédures de restauration des données à partir de sauvegardes sont testées au moins une fois par an et revues dans le cadre de processus d'audit internes et externes.