Développement sécurisé

Tous les nouveaux développeurs de logiciels informatiques d’EcoStruxure IT suivent une formation obligatoire sur la sécurité, proposée lors de l’embauche et chaque année par la suite. En outre, ils peuvent choisir de s’inscrire à une formation White Hat Hacker afin d’obtenir la certification Ethical Hacker.

Toute modification de la plateforme informatique d’EcoStruxure IT est soumise à un examen obligatoire par les pairs, au cours duquel les changements de code et d’infrastructure sont examinés par au moins un autre ingénieur afin de valider la qualité du code, la sécurité et les performances.

Toutes les modifications sont suivies à l’aide d’un système de contrôle des versions (GIT) afin de garantir l’historique, la traçabilité et le suivi des audits.

Les environnements de test informatique d’EcoStruxure IT sont physiquement isolés de l’environnement de production.

Vulnérabilités des applications

Schneider Electric utilise plusieurs outils de sécurité tiers pour l’analyse dynamique et en permanence de la plateforme informatique EcoStruxure IT à la recherche de vulnérabilités. Schneider Electric maintient une équipe de sécurité engagée pour traiter les résultats et travailler avec les équipes d’ingénierie pour remédier aux problèmes.

Toutes les modifications apportées au code source font l’objet d’une analyse continue des bogues, des problèmes de sécurité et de licence au moyen d’outils d’analyse statique. Toute modification du code source ne répondant pas aux normes informatiques d’EcoStruxure IT sera renvoyée à l’équipe de développement pour être améliorée.

Schneider Electric emploie en permanence un nombre rotatif de hackers certifiés par des tiers pour effectuer des tests de pénétration détaillés sur tous les composants d’EcoStruxure IT (passerelle, application mobile et Web). Lorsque de nouvelles fonctionnalités sont lancées, les missions sont remises à des experts en sécurité pour vérifier la sécurité des fonctionnalités. En savoir plus sur notre politique en matière de partage de rapports de tests de sécurité.

Le CPCERT (Équipe d’intervention en cas d’urgence cybernétique pour les produits d’entreprise) de Schneider Electric a défini des processus de gestion des vulnérabilités afin de garantir une intervention efficace aux incidents.

Pour signaler un incident, veuillez contacter votre centre local d’assistance à la clientèle.

Si vous êtes un chercheur, veuillez signaler une vulnérabilité en matière de cybersécurité ici.

Toutes les divulgations de vulnérabilités sont signalées sur le Portail d’assistance à la cybersécurité de Schneider Electric.

Conformément aux meilleures pratiques du secteur, nous utilisons des procédures strictes pour la désinfection de toutes les entrées utilisateur. Ces procédures sont appliquées en partie par l’analyse statique du code et par l’utilisation de cadres tiers connus, éprouvés et testés.

SÉCURITÉ D’AUTHENTIFICATION

La politique en matière de mot de passe d’EcoStruxure IT exige :

• Au moins 8 caractères
• Au moins 3 des 4 types de caractères suivants :
• Lettres minuscules (a-z),
• Lettres majuscules (A-Z),
• Nombres (par ex., 0-9),
• Caractères spéciaux (par ex., !@#$%^&*)
• Pas plus de deux caractères identiques à la suite (par ex., « aaa » n’est pas autorisé)

EcoStruxure IT validera votre mot de passe, à condition qu’il ne fasse pas partie des 10 000 mots de passe les plus courants et qu’il ne soit pas la première partie de votre adresse électronique.

Veuillez noter que votre mot de passe n’expirera pas conformément aux politiques en matière de mots de passe recommandées par le NIST (National Cyber Security Centre) au Royaume-Uni.

L’authentification multifactorielle fournit une autre mesure de sécurité à votre compte EcoStruxure IT, rendant plus difficile la connexion par un tiers à votre compte. L’authentification multifactorielle est activée pour toutes les connexions à EcoStruxure IT, que vous soyez client, partenaire ou employé de Schneider Electric. Schneider Electric vous conseille d’utiliser l’application EcoStruxure IT pour l’authentification du second facteur ou une application d’authentification tierce. Bien qu’il soit possible d’utiliser des jetons SMS à usage unique et de courte durée en dernier recours, cela n’est pas recommandé.

Schneider Electric se conforme aux meilleures pratiques en matière de stockage sécurisé des justificatifs en ne stockant jamais les mots de passe informatiques d’EcoStruxure IT en clair, et uniquement comme résultat d’un hachage sécurisé et salé par bcrypt. Les mots de passe sont découplés de la plateforme interne et sauvegardés en utilisant Auth0, une solution recommandée par les experts en gestion de l’authentification.

Schneider Electric applique la protection par force brute pour EcoStruxure IT. La connexion à votre compte sera bloquée si vous avez saisi un mot de passe erroné plus de 10 fois à partir de la même adresse IP. Vous recevrez alors des instructions sur la façon de débloquer l’adresse IP d’EcoStruxure IT par courriel.

Schneider Electric applique également des limites de taux. Si vous tentez de vous connecter 20 fois par minute en tant que même utilisateur depuis le même endroit, même si vous disposez des informations d’identification correctes, la limite de débit s’appliquera. Vous ne pourrez alors effectuer que 10 tentatives par minute.

SÉCURITÉ DE LA PASSERELLE

Schneider Electric s’engage à assurer la sécurité et la confidentialité de vos données, avant même qu’elles ne quittent votre site. Toutes les connexions de la passerelle EcoStruxure IT à notre cloud sont validées à l’aide d’un certificat RSA 2048 bits standard et les données sont cryptées en transit à l’aide d’un cryptage AES 256 bits. Pour éviter de compromettre la sécurité de votre site, la passerelle EcoStruxure IT utilise une connexion sortante via le port 443, et communique uniquement avec le cloud EcoStruxure IT en utilisant 40.84.62.190, 23.99.90.28, 52.230.227.202, 52.177.161.233 et 52.154.163.222.

En savoir plus sur la façon dont EcoStruxure IT applique les mises à jour sur votre infrastructure via une connexion uniquement sortante (communication unidirectionnelle) ici.

Toutes les demandes provenant de la passerelle sont signées à l’aide d’une clé privée unique créée lors de l’installation et stockée dans la passerelle, ce qui rend impossible toute usurpation d’identité.

La passerelle EcoStruxure IT est dotée d’une fonctionnalité de mise à jour automatique qui garantit que les correctifs de sécurité du logiciel sont appliqués automatiquement et que la passerelle est toujours à jour. Pendant la mise à jour, la passerelle continue à communiquer les données des capteurs et les alarmes au cloud, ce qui minimise les temps d’arrêt.

En savoir plus sur la confidentialité chez Schneider Electric.

Le Règlement général sur la protection des données (« RGPD ») porte sur le traitement des données personnelles et la libre circulation de ces données. Son objectif est de renforcer la sécurité et la protection des données personnelles dans l’UE et d’harmoniser le droit européen de la protection des données. Ce règlement énonce un certain nombre de principes et d’exigences en matière de protection des données qui doivent être respectés lors du traitement des données personnelles.

Schneider Electric s’engage à respecter les obligations qui lui incombent en vertu du RGPD. Schneider Electric partage des informations personnelles avec des processeurs de données tiers sur la base du besoin d’en connaître.

En savoir plus sur les données personnelles qui sont partagées avec les sous-processeurs et les sous-traitants.

Schneider Electric collecte les données des capteurs et les alarmes des équipements d’infrastructures critiques, que vous choisissez de partager avec nous. Schneider Electric ne collecte que des données sur les performances de vos équipements, ainsi que des métadonnées telles que leur emplacement et leur âge.

Avant d’être stockées, vos données sont marquées comme étant les vôtres. Vos données sont séparées de celles des autres clients par un identifiant unique, que le système utilise pour garantir une correspondance correcte des données. En outre, le moteur en nuage conserve une piste d’audit complète des données reçues et du traitement des données, de sorte que nous pouvons toujours remonter le fil et voir où vos données sont passées et à quoi elles ont servi.

EcoStruxure IT n’accède à aucune donnée stockée sur vos serveurs ou votre stockage, et ne surveille aucun trafic passant par votre réseau. Les données sont stockées sur Microsoft Azure aux États-Unis.

Tout d’abord, Schneider Electric traite et stocke les données pour vous et les rend disponibles partout dans le monde grâce à l’application informatique EcoStruxure IT. Mais surtout, le partage de vos données avec Schneider Electric nous permet d’optimiser les services et les produits que nous fournissons, de vous aider à optimiser votre centre de données et de vous permettre de vous comparer à vos pairs dans le monde entier.

Lorsque vous désactivez votre compte EcoStruxure IT, notre système supprime automatiquement vos données personnelles.

Sécurité physique

Les serveurs informatiques d’EcoStruxure IT sont hébergés aux États-Unis sur le nuage Microsoft Azure, qui est certifié ISO 27001, HIPAA, FedRAMP, SOC 1 et SOC 2. En savoir plus sur les installations, les locaux et la sécurité physique de Microsoft Azure

Sécurité des réseaux

L’accès au réseau de production informatique d’EcoStruxure IT est limité par un besoin explicite de savoir, utilise le moindre privilège, est surveillé et est contrôlé par notre équipe des opérations. Les employés qui accèdent au réseau de production informatique d’EcoStruxure IT sont tenus d’utiliser plusieurs facteurs d’authentification.

Comme EcoStruxure IT fonctionne sur Microsoft Azure, Schneider Electric tire parti de la surveillance permanente du trafic et de l’atténuation en temps réel des attaques courantes au niveau du réseau, fournissant ainsi les mêmes défenses que celles utilisées par les services en ligne de Microsoft.

Schneider Electric emploie en permanence un nombre rotatif de hackers certifiés par des tiers pour effectuer des tests de pénétration détaillés de l’ensemble de la plateforme informatique EcoStruxure IT. En savoir plus sur notre politique en matière de partage des rapports de tests de sécurité.

L’informatique d’EcoStruxure IT est maintenue et exploitée par une équipe DevOps de base ayant des normes extrêmement élevées en matière de cybersécurité et de confidentialité des données. Toutes les parties du système informatique d’EcoStruxure IT sont surveillées et analysées en permanence afin de détecter d’éventuelles failles de sécurité ou des problèmes de confidentialité. L’équipe DevOps est disponible 24 heures sur 24, 7 jours sur 7, et est capable de réagir rapidement aux menaces ou aux problèmes nouvellement découverts.

Chiffrement

Toutes les connexions au nuage informatique EcoStruxure IT sont validées à l’aide d’un certificat RSA 2048 bits standard et les données sont chiffrées en transit à l’aide d’un chiffrement AES 256 bits. Pour les versions d’Android antérieures à 7.0, Schneider Electric ne peut garantir qu’un chiffrement AES 128 bits en raison des limitations de la plateforme Android.

Les données informatiques d’EcoStruxure IT sont chiffrées au moyen d’un chiffrement AES de 256 bits.

Disponibilité et continuité

EcoStruxure IT maintient une page Web publique sur l’état du système qui comprend des détails sur la disponibilité du système, la maintenance programmée, l’historique des incidents de service et les événements de sécurité pertinents.

Tous les composants de la plateforme informatique EcoStruxure IT sont déployés dans une configuration de haute disponibilité afin d’éliminer les points de défaillance uniques. Toutes les données sont sauvegardées sur un stockage séparé afin d’éviter toute perte de données.