'%3e%3cpath%20fill='%23eee'%20d='M256%200h256v64l-32%2032l32%2032v64l-32%2032l32%2032v64l-32%2032l32%2032v64l-256%2032L0%20448v-64l32-32l-32-32v-64z'%20/%3e%3cpath%20fill='%23d80027'%20d='M224%2064h288v64H224Zm0%20128h288v64H256ZM0%20320h512v64H0Zm0%20128h512v64H0Z'%20/%3e%3cpath%20fill='%230052b4'%20d='M0%200h256v256H0Z'%20/%3e%3cpath%20fill='%23eee'%20d='m187%20243l57-41h-70l57%2041l-22-67zm-81%200l57-41H93l57%2041l-22-67zm-81%200l57-41H12l57%2041l-22-67zm162-81l57-41h-70l57%2041l-22-67zm-81%200l57-41H93l57%2041l-22-67zm-81%200l57-41H12l57%2041l-22-67Zm162-82l57-41h-70l57%2041l-22-67Zm-81%200l57-41H93l57%2041l-22-67zm-81%200l57-41H12l57%2041l-22-67Z'%20/%3e%3c/g%3e%3c/svg%3e){kind=small}
'%3e%3cpath%20fill='%23eee'%20d='M144%200h223l33%20256l-33%20256H144l-32-256z'%20/%3e%3cpath%20fill='%23496e2d'%20d='M0%200h144v512H0z'%20/%3e%3cpath%20fill='%23d80027'%20d='M368%200h144v512H368z'%20/%3e%3cpath%20fill='%23ffda44'%20d='M256%20277v10h12l10-22z'%20/%3e%3cpath%20fill='%23496e2d'%20d='M160%20242a96%2096%200%200%200%20192%200h-11a85%2085%200%200%201-170%200zm39%2017l-4%202c-2%202-2%206%201%208c15%2014%2034%2022%2054%2024v17h12v-17c20-2%2039-10%2054-24c3-2%203-6%201-8s-6-2-8%200a78%2078%200%200%201-53%2021c-19%200-38-8-53-21z'%20/%3e%3cpath%20fill='%23338af3'%20d='M256%20316c-14%200-28-5-40-13l6-9c20%2013%2048%2013%2068%200l7%209c-12%208-26%2013-41%2013'%20/%3e%3cpath%20fill='%23751a46'%20d='M256%20174c22%2011%2012%2033%2011%2034l-2-4c-5-11-18-18-31-18v11c6%200%2011%205%2011%2011c-7%207-9%2017-4%2026l4%208l-13%2023l29-7l18%2018v-11l11%2011l23-11l-35-21l-5-21l28%2016c4%2011%2012%2021%2023%2026c9-83-42-91-61-91z'%20/%3e%3cpath%20fill='%236da544'%20d='M222%20271c-15%200-33-12-38-40l11-2c4%2023%2018%2031%2027%2031q4.5%200%206-3c0-2%200-3-6-5c-3-1-7-2-10-5c-10-12%204-24%2011-30c1-1%202-2%201-3c0%200-2-2-5-2c-7%200-12-4-14-11c-2-6%202-13%208-17l5%2011c-2%200-2%202-2%204c0%200%201%202%203%202c7%200%2014%204%2016%209c1%203%202%209-5%2015c-7%207-11%2012-9%2015l5%201c5%202%2014%205%2013%2017c-1%208-8%2013-17%2013h-1z'%20/%3e%3cpath%20fill='%23ffda44'%20d='m234%20186l-12%2011v11l18-9c3-1%203-5%201-7z'%20/%3e%3ccircle%20cx='172'%20cy='275'%20r='8'%20fill='%23ffda44'%20/%3e%3ccircle%20cx='189'%20cy='302'%20r='8'%20fill='%23ffda44'%20/%3e%3ccircle%20cx='216'%20cy='323'%20r='8'%20fill='%23ffda44'%20/%3e%3ccircle%20cx='297'%20cy='323'%20r='8'%20fill='%23ffda44'%20/%3e%3ccircle%20cx='324'%20cy='302'%20r='8'%20fill='%23ffda44'%20/%3e%3ccircle%20cx='341'%20cy='275'%20r='8'%20fill='%23ffda44'%20/%3e%3crect%20width='34'%20height='22'%20x='239'%20y='299'%20fill='%23ff9811'%20rx='11'%20ry='11'%20/%3e%3c/g%3e%3c/svg%3e){kind=small}
'%3e%3cpath%20fill='%23ffda44'%20d='m0%20345l256.7-25.5L512%20345v167H0z'%20/%3e%3cpath%20fill='%23d80027'%20d='m0%20167l255-23l257%2023v178H0z'%20/%3e%3cpath%20fill='%23333'%20d='M0%200h512v167H0z'%20/%3e%3c/g%3e%3c/svg%3e){kind=small}
DÉCLARATION DE SÉCURITÉ DES DONNÉES ET DE LA SÉCURITÉ INFORMATIQUE
Les systèmes et données d’ERBESSD INSTRUMENTS® (EI) sont protégés par un programme complet de sécurité de l’information détaillé dans le Système de gestion de la sécurité d’ERBESSD INSTRUMENTS® (EISMS). Des professionnels dédiés à la sécurité, à la confidentialité, à la gouvernance de l’information et à la conformité maintiennent le programme sous la supervision du Conseil d’administration en collaboration avec la haute direction. L’équipe de sécurité d’ERBESSD INSTRUMENTS® effectue des évaluations des risques, des examens réguliers des risques et assure le suivi des risques à l’aide d’un processus documenté de registre des risques.
Le programme de sécurité d’ERBESSD INSTRUMENTS® prend en charge les cadres suivants : NIST Cybersecurity Framework, NIST SP 800-171 pour la protection des informations non classifiées contrôlées dans les systèmes et organisations d’information non fédéraux, le Règlement général sur la protection des données de l’UE (RGPD) et la California Consumer Privacy Act (CCPA).
ERBESSD INSTRUMENTS® a établi des politiques couvrant :
Politiques d’utilisation acceptable
| - Accès à distance | - Appareils mobiles |
| - Mots de passe | - Communications sans fil |
| - Utilisation des systèmes numériques | - Politique de confidentialité |
Politiques de sécurité
| - Sécurité de l’information | - Services cloud |
| - Signalement des incidents de sécurité | - Acquisition et déploiement de systèmes |
| - Sauvegarde des données | - Gestion des changements |
| - Sensibilité de l’information | - Relations avec les fournisseurs et tiers |
| - Sécurité des locaux et opérations des centres de données |
Contrôles d’accès
Les capacités d’accès et de traitement sont limitées aux utilisateurs et appareils autorisés. Un identifiant utilisateur unique avec un mot de passe complexe est attribué aux utilisateurs autorisés et est requis pour se connecter. Les mots de passe doivent être changés fréquemment. L’authentification à deux facteurs est requise pour l’accès à distance et l’accès aux systèmes cloud. Les fonctions administratives sont facilitées par des comptes privilégiés séparés.
Architecture
EI suit les meilleures pratiques pour le déploiement et la maintenance de ses systèmes et pour les données maintenues dans les centres de données et services cloud d’EI. Les données et systèmes critiques sont répliqués et sauvegardés dans des centres de données secondaires. Les systèmes sont conçus de manière sécurisée et sont examinés par l’équipe de sécurité avant leur mise en production.
Audit
Le programme de sécurité de l’information d’EI est régulièrement audité en interne et en externe sur une base annuelle. EI surveille et audite sa sécurité, sa confidentialité et sa gouvernance de l’information (personnes, processus et contrôles) pour garantir la conformité aux politiques et aux normes de sécurité/confidentialité applicables. EI effectue annuellement un test de pénétration externe indépendant et analyse régulièrement ses réseaux externes et internes à la recherche de vulnérabilités.
Sensibilisation et formation
Les employés d’EI, y compris les contractants disposant d’identifiants de systèmes EI, suivent régulièrement des formations de sensibilisation à la sécurité et reçoivent des exercices de formation anti-hameçonnage. Des bulletins et annonces de sécurité sont partagés tout au long de l’année pour fournir des rappels opportuns de sensibilisation et de formation.
Continuité des activités et reprise après sinistre
EI maintient un plan de continuité des activités et de reprise après sinistre qui est régulièrement revu et testé. Les considérations de continuité et de reprise d’EI comprennent l’utilisation de systèmes à haute disponibilité, de services de sauvegarde, de réplication de données et de centres de données redondants.
Contrôles des données
Les données sont chiffrées au repos et en transit, séparées logiquement, et l’accès est accordé uniquement aux utilisateurs autorisés. Les systèmes de surveillance des fichiers consignent et surveillent l’accès aux données tandis que les systèmes de prévention des pertes de données surveillent le mouvement des données à l’intérieur et à l’extérieur d’EI.
Confidentialité des données
EI est engagée dans la protection et la confidentialité des données. La protection et la gestion des données qui nous sont confiées est l’une de nos priorités les plus élevées. EI suit un modèle d’accès aux moindres privilèges et audite régulièrement les accès individuels aux données. EI respecte le droit à la vie privée des individus et nous travaillons constamment pour rester conformes aux réglementations sur la confidentialité. Notre Politique de confidentialité peut être consultée ici.
Sécurité des terminaux
Les postes de travail et les appareils mobiles sont chiffrés avec un chiffrement intégral du disque et nécessitent un mot de passe, un code PIN ou des données biométriques pour y accéder. Les inventaires de postes de travail, le déploiement de logiciels et les politiques de sécurité sont contrôlés via la gestion de configuration d’entreprise. Les postes de travail, appareils mobiles et serveurs nécessitent un enregistrement auprès du système de gestion des appareils d’EI. Les postes de travail et serveurs sont protégés par une protection avancée des terminaux qui utilise l’IA pour aider à combattre les menaces. Les équipements informatiques dans les bureaux d’EI sont physiquement sécurisés.
Réponse aux incidents
Le plan de réponse aux incidents de sécurité d’EI stipule que les événements de sécurité doivent être évalués et escaladés lorsque cela est approprié. Un système de gestion des informations et des événements de sécurité (SIEM) maintient et analyse les journaux de sécurité. Ce système est surveillé 24h/24 et 7j/7. Les journaux sont régulièrement analysés à la recherche d’activités suspectes et de comportements inhabituels par un personnel de sécurité dédié. Des adhésions à des organisations juridiques, cybernétiques et de pairs sont en place pour faciliter le partage d’informations en temps opportun et les activités de réponse. EI maintient une relation de travail étroite avec ses fournisseurs, les forces de l’ordre et les prestataires de services de sécurité gérés pour des informations supplémentaires sur les menaces, l’analyse et la réponse.
Sécurité périmétrique
EI protège les données, les serveurs et les terminaux sur les réseaux EI et publics en utilisant des contrôles de sécurité de pointe. Ces contrôles comprennent des pare-feux de nouvelle génération, des antivirus/anti-malwares de nouvelle génération, la sécurité web, la sécurité des e-mails et des systèmes de détection d’intrusion. Cela permet à EI de prévenir les attaques réseau malveillantes, l’accès à des sites suspects ou malveillants, de prévenir les e-mails ou pièces jointes malveillants et d’atténuer les attaques zero-day.
Gestion des fournisseurs
ERBESSD INSTRUMENTS® évalue les fournisseurs potentiels selon une série de critères pour garantir des normes de sécurité appropriées avant d’accorder l’accès au système d’un fournisseur ou de mettre des systèmes en service. Les contrats et les accords de traitement des données sont examinés par les équipes Sécurité de l’information, Confidentialité et Juridique avant leur exécution. La posture de sécurité des fournisseurs clés est examinée régulièrement.