Sécurité

La sécurité d'application

Schneider Electric s’est engagé à développer et à tester en toute sécurité les menaces pour la sécurité afin de protéger les données des clients. En outre, Schneider Electric fait régulièrement appel à des hackers certifiés par des tiers afin d’effectuer des tests de pénétration détaillés sur l’ensemble de la plateforme EcoStruxure IT.

Sécurité des produits

La plateforme EcoStruxure IT est sécurisée avec une authentification obligatoire à deux facteurs et des normes de cryptage élevées. Vos données sont acheminées de manière sécurisée vers la plateforme EcoStruxure IT à l’aide de la passerelle EcoStruxure IT Gateway, qui utilise une connexion sortante de manière à ce que personne ne puisse compromettre votre environnement.

Confidentialité des données

Schneider Electric garantit la confidentialité et l’intégrité de vos données à tout moment. Conforme aux normes RGPD, EcoStruxure IT utilise uniquement les données machine pour optimiser votre expérience de la plateforme, en garantissant la confidentialité de vos données personnelles.

La sécurité d’application

Développement sécurisé

Formation sur la sécurité

Tous les nouveaux développeurs de logiciels EcoStruxure IT suivent une formation obligatoire sur la sécurité, dispensée dès l’embauche puis chaque année. De plus, ils peuvent choisir de s’inscrire à une formation White Hat Hacker afin de recevoir la certification Hacker Éthique.

Vérification par des pairs

Toute modification apportée à la plateforme EcoStruxure IT est soumise à un examen obligatoire réalisé par des pairs. Les modifications du code et de l’infrastructure sont vérifiées par au moins un autre ingénieur afin de valider la qualité, la sécurité et les performances du code.

Toutes les modifications sont suivies à l’aide d’un système de contrôle de version (GIT) afin d’assurer l’historique, la traçabilité et le suivi des audits.

Environnement séparé

Les environnements de test EcoStruxure IT sont physiquement isolés de l’environnement de production.

VULNÉRABILITÉS DES APPLICATIONS

Analyse dynamique de la vulnérabilité

Schneider Electric utilise plusieurs outils de sécurité tiers pour analyser de manière dynamique et continue la plateforme EcoStruxure IT à la recherche de vulnérabilités. Schneider Electric dispose d’une équipe de sécurité dédiée pour gérer les résultats et collaborer avec les équipes techniques afin de résoudre les problèmes.

Analyse statique du code

Toutes les modifications apportées au code source sont analysées en permanence pour détecter les bogues et les problèmes de sécurité et de licence via des outils d’analyse statique. Toute modification de code source ne respectant pas les normes d’EcoStruxure IT sera renvoyée à l’équipe de développement afin d’être améliorée.

Tests d’intrusion de sécurité tiers

Schneider Electric emploie en permanence un certain nombre de hackers certifiés par des tiers pour effectuer des tests d’intrusion détaillés sur tous les composants d’EcoStruxure IT (passerelle, application mobile et Web). Lorsque de nouvelles fonctionnalités sont créées, des rapports de mission sont remis à des experts en sécurité pour vérifier qu’elles sont sûres. En savoir plus sur notre politique de partage des rapports de tests de sécurité (en anglais).

Réponse aux incidents

L’équipe CPCERT (Corporate Product Cyber Emergency Response Team) de Schneider Electric a mis au point des processus de gestion des vulnérabilités afin de garantir une réaction efficace en cas d’incidents.

Pour signaler un incident, veuillez envoyer un e-mail à l’adresse cybersecurity@schneider-electric.com.

Toutes les informations sur les vulnérabilités sont signalées sur le portail de support de cybersecurité de Schneider Electric.

Fonctionnalités de sécurité des produits

SÉCURITÉ DE L’AUTHENTIFICATION

POLITIQUE DE MOT DE PASSE

La politique de mot de passe d’EcoStruxure IT exige :

  • Au moins 8 caractères
  • Au moins 3 des 4 types de caractères :
    • Lettres minuscules (a-z) ;
    • Lettres majuscules (A-Z) ;
    • Chiffres (0-9) ;
    • Caractères spéciaux (par ex. !@#$%^&*).

EcoStruxure IT validera votre mot de passe, à condition que ce ne soit pas l’un des 10 000 mots de passe les plus courants et qu’il ne s’agisse pas de la première partie de votre adresse e-mail.

Veuillez noter que votre mot de passe n’expirera pas conformément aux politiques de mot de passe recommandées par le NIST et le National Cyber Security Centre du Royaume-Uni.

Authentification multifactorielle

L’authentification multifactorielle offre une couche de sécurité supplémentaire à votre compte EcoStruxure IT, rendant la connexion difficile pour toute autre personne que vous. L’authentification multifactorielle est activée pour toutes les connexions à EcoStruxure IT, que vous soyez client, partenaire ou employé de Schneider Electric. Schneider Electric vous conseille d’utiliser l’application EcoStruxure IT pour l’authentification via un deuxième facteur ou une application d’authentification tierce. Bien qu’il soit possible d’utiliser des jetons SMS de courte durée en dernier recours, cela n’est pas recommandé.

Stockage sécurisé des identifiants

Schneider Electric applique les meilleures pratiques en matière de stockage sécurisé des identifiants en ne stockant jamais les mots de passe EcoStruxure IT au format texte clair, et uniquement à la suite d’un hachage et salage bcrypt. Les mots de passe sont découplés de la plateforme interne et enregistrés via Auth0, une solution recommandée par les experts en gestion de l’authentification.

Échecs de tentatives de connexion

Schneider Electric applique une protection contre les attaques par force brute à EcoStruxure IT. Vous ne pourrez pas vous connecter à votre compte si vous avez entré un mot de passe incorrect plus de 10 fois à partir de la même adresse IP. Vous recevrez alors par e-mail des instructions sur la procédure à suivre pour débloquer l’adresse IP dans EcoStruxure IT.

En outre, Schneider Electric applique également des limites de fréquence. Si vous essayez de vous connecter 20 fois en l’espace d’une minute avec le même identifiant et depuis le même emplacement, même si vous disposez des bons identifiants, la limite de fréquence est appliquée. Vous ne pourrez alors faire que 10 tentatives par minute.

SÉCURITÉ DE LA PASSERELLE

Connexion sortante

Schneider Electric s’engage à préserver la sécurité et la confidentialité de vos données, avant même qu’elles ne quittent votre site. Toutes les connexions de la passerelle EcoStruxure IT à notre cloud sont validées à l’aide d’une norme de l’industrie, le certificat RSA 2048 bits, et les données sont cryptées lors du transit à l’aide du cryptage AES 256 bits. Pour ne pas compromettre la sécurité de votre site, la passerelle EcoStruxure IT utilise une connexion sortante via le port 443 et communique uniquement avec le cloud EcoStruxure IT via 40.84.62.190 et 23.99.90.28.

Vous trouverez davantage d’informations concernant la manière dont EcoStruxure IT applique des mises à jour sur votre infrastructure en utilisant une connection sortante (communication unidirectionnelle) ici (en anglais).

Authentification

Toutes les demandes provenant de la passerelle sont signées à l’aide d’une clé privée unique créée lors de l’installation et stockée dans la passerelle, ce qui la rend inviolable.

Mises à jour automatiques

La passerelle EcoStruxure IT comporte une fonctionnalité de mise à jour automatique garantissant que le correctif de sécurité logicielle est automatiquement appliqué et que la passerelle est toujours à jour. La mise à jour n’entraîne aucun temps d’arrêt, tout en maintenant la surveillance lors de la mise à jour.

Confidentialité des données

GDPR

Le Règlement général sur la protection des données (« RGPD ») concerne le traitement des données à caractère personnel et la libre circulation de ces données. Son objectif est de renforcer la sécurité et la protection des données à caractère personnel dans l’UE et d’harmoniser le droit européen en matière de protection des données. Ce règlement énonce un certain nombre de principes et d’exigences en matière de protection des données qui doivent être respectés lors du traitement de données personnelles.

EcoStruxure IT est conforme au RGPD. Schneider Electric partage des informations personnelles avec des sociétés de traitement de données tierces en fonction des besoins. En savoir plus sur les données personnelles partagées avec les sociétés de traitement de données et les sous-traitants.

Traitement et stockage des données personnelles

Schneider Electric collecte les données et alarmes des capteurs des appareils de l’infrastructure critiques que vous choisissez de partager avec nous. Schneider Electric ne recueille que des données sur les performances de votre équipement, et les métadonnées telles que son emplacement et son ancienneté.

Avant d’être stockées, vos données sont marquées comme étant les vôtres. Elles sont séparées des données des autres clients par un identifiant unique, que le système utilise pour garantir une correspondance correcte des données. En outre, le moteur du cloud conserve une trace complète des données reçues et du traitement des données, afin que nous puissions retracer nos actions et voir où vos données ont été et à quoi elles ont été utilisées.

EcoStruxure IT n’accède pas aux données stockées sur vos serveurs ou stockages, et ne surveille pas non plus le trafic acheminé via votre réseau. Les données sont stockées sur Microsoft Azure aux États-Unis, qui est auto-certifié EU-US Privacy Shield.

Utilisation des données personnelles

Tout d’abord, Schneider Electric traite et stocke les données pour vous ; vous y avez donc accès partout dans le monde via l’application EcoStruxure IT. Mais plus important encore, le partage de vos données avec Schneider Electric nous permet d’optimiser les services et produits que nous fournissons, de vous aider à optimiser votre centre de données et de vous comparer à des pairs du monde entier.

Sécurité du centre de données et du réseau

SÉCURITÉ PHYSIQUE

Installations

Les serveurs EcoStruxure IT sont hébergés aux États-Unis sur le cloud Microsoft Azure, certifié ISO 27001, HIPAA, FedRAMP, SOC 1 et SOC 2. En savoir plus sur les installations, les locaux et la sécurité physique de Microsoft Azure

SÉCURITÉ DU RÉSEAU

Accès logique

L’accès au réseau de production d’EcoStruxure IT est limité aux utilisateurs qui ont explicitement besoin de prendre connaissance des informations. Il utilise moins de privilèges, est surveillé et contrôlé par notre équipe dédiée aux opérations. Les employés accédant au réseau de production d’EcoStruxure IT doivent utiliser plusieurs facteurs d’authentification.

Déni de service distribué (DDoS)

Dans la mesure où EcoStruxure IT fonctionne sous Microsoft Azure, Schneider Electric exploite ses fonctionnalités de contrôle permanent du trafic et d’atténuation en temps réel des attaques communes au niveau du réseau, en fournissant les mêmes défenses que celles utilisées par les services en ligne de Microsoft.

Tests d’intrusion de sécurité tiers

Schneider Electric fait régulièrement appel à des hackers certifiés par des tiers afin d’effectuer des tests de pénétration détaillés sur l’ensemble de la plateforme EcoStruxure IT. En savoir plus sur notre politique de partage des rapports de tests de sécurité (en anglais).

Surveillance

EcoStruxure IT est entretenu et exploité par une équipe principale de développeurs selon des normes extrêmement élevées en matière de cybersécurité et de confidentialité des données. Toutes les parties du système EcoStruxure IT sont continuellement surveillées et analysées pour détecter les vulnérabilités de sécurité ou problèmes de confidentialité potentiels. L’équipe de développeurs est disponible 24h/24 et 7j/7 et peut réagir rapidement en cas de menaces ou de problèmes fraîchement détectés.

CHIFFREMENT

Chiffrement en transit

Toutes les connexions au cloud EcoStruxure IT sont validées à l’aide d’une norme de l’industrie, le certificat RSA 2048 bits, et les données sont chiffrées lors du transit à l’aide du cryptage AES 256 bits. Pour les versions d’Android antérieures à 7.0, Schneider Electric ne peut garantir le chiffrement AES 128 bits qu’en raison des limitations de la plateforme Android.

Chiffrement au repos

Les données EcoStruxure IT sont chiffrées à l’aide du chiffrement 256 bit AES.

DISPONIBILITÉ ET CONTINUITÉ

Redondance

Tous les composants de la plateforme EcoStruxure IT sont déployés dans une configuration à haute disponibilité afin d’éliminer les points de défaillance simples. Toutes les données sont sauvegardées dans un système de stockage séparé pour éviter toute perte de données.

SOCIÉTÉS DE TRAITEMENT DES DONNÉES ET SOUS-TRAITANTS