Protection des informations et cybersécurité. Expérience dans la sécurité numérique actuelle
CYBERSÉCURITÉ ET CONFIDENTIALITÉ DES DONNÉES

La cybersécurité chez ZEISS Medical Technology

Protection des produits et des données

Programme de gouvernance ZEISS en matière de cybersécurité et de confidentialité des données

Au fur et à mesure que le secteur de la santé poursuit sa numérisation, le paysage des cybermenaces n'a de cesse d'évoluer. La protection adéquate des produits et des données dans les environnements de soins connectés joue donc un rôle essentiel.

Chez ZEISS Medical Technology, relever les défis liés à la cybersécurité est dans notre nature, au même titre que l'innovation. Nous concevons et fabriquons nos produits en y intégrant la sécurité. Notre programme de gouvernance ZEISS en matière de cybersécurité et de confidentialité des données nous permet de prendre en compte les risques de sécurité tout au long du cycle de vie des produits et de surveiller le paysage numérique afin de protéger nos produits face aux menaces et failles émergentes.

  • Experts en cybersécurité

  • Un cycle de vie sécurisé à 360°

  • Procédures de sécurisation du cycle de développement

Programme de gouvernance ZEISS en matière de cybersécurité et de confidentialité des données

Les experts en cybersécurité ZEISS

Derrière chacun de nos produit

Présente à tous les niveaux de l'organisation, et en collaboration avec nos partenaires et clients, notre équipe d'experts internationaux en sécurité de l'information est totalement dédiée à la protection de vos produits et de vos données.

Leur expertise des processus de développement du cycle de vie permet de prévenir, de détecter et de répondre aux menaces informatiques et de s'assurer que nos produits respectent les normes de qualité. 

Nos experts en sécurité travaillent en étroite collaboration avec nos départements de gestion des opérations et des produits afin d'intégrer les paramètres liés à la sécurité de l'information et à la confidentialité des données dans nos produits. À cette fin, ils incorporent les principes et processus « Secure by Design » et « Privacy by Design » tout au long du cycle de vie du produit. En lien avec nos développeurs et fournisseurs, notre équipe d'experts améliore la sécurité de nos produits et observe de près le cycle de vie et le paysage de la cybersécurité à la recherche de failles, vulnérabilités et menaces éventuelles en vue d'y apporter une solution rapide.

Gestion du cycle de vie des produits sécurisés à 360° et mesures d'atténuation des risques liés à la sécurité

Un cycle de vie sécurisé à 360°

Gestion et mesures d'atténuation des risques liés à la sécurité

Tout au long de leur cycle de vie, nos produits sont conçus, testés et actualisés selon les normes et les bonnes pratiques du secteur afin de faire face aux risques de sécurité. Nos produits sont dotés de fonctions et de commandes de sécurité intégrées qui permettent à nos clients de déployer, d'utiliser et de gérer en toute sécurité la conformité aux normes et prescriptions applicables (HIPAA, RGPD, ISO 27001, etc.) dans leurs environnements respectifs. Dans le cadre de nos processus liés à la création de produits et au cycle de vie, nous traitons les aspects suivants :

  • Authentification et autorisation
  • Contrôles d'accès
  • Audit et journalisation
  • Sauvegarde et récupération des données
  • Chiffrage des données (au repos et en transit)
  • Détection / protection contre les logiciels malveillants
  • Configuration sécurisée et renforcement de la sécurité

Un processus de gestion des cyberrisques pour l'ensemble de nos produits nous permet d'identifier, évaluer, contenir et gérer efficacement et rapidement les risques de sécurité face à l'évolution des menaces dans ce domaine.

Équipe dédiée à la cybersécurité

Procédures de sécurisation du cycle de développement

La sécurité et la confidentialité des données sont au cœur des procédures de développement de nos produits. Nous intégrons la sécurité à chaque étape.

  • Planification et exigences

    Exigences relatives à la sécurité

    Exigences fondamentales

    Les exigences en matière de cybersécurité et de protection des données sont définies dans les premières étapes de notre processus de création de produit.

    Outre la conformité aux normes, législations et réglementations internationales, ZEISS a établi des normes permettant de garantir un niveau maximal de cybersécurité dans l'ensemble de sa gamme. Ces normes sont basées sur les bonnes pratiques, le paysage actuel des menaces, les cadres de sécurité internationaux et d'autres sources, telles que les exigences des clients ou les objectifs de sécurité spécifiques à un produit.

  • Architecture et conception

    Conception sécurisée

    Modélisation des menaces

    Élément essentiel de la conception du produit et définition même de son architecture, la modélisation des menaces est intégrée très tôt au processus de conception du produit afin d'en identifier les risques et les vulnérabilités potentielles.

    La modélisation des menaces consiste à analyser systématiquement les menaces applicables à un produit, en évaluant et classant la criticité par rapport au produit en question. Sur la base de cette évaluation de la criticité, associée aux faiblesses et vulnérabilités connues, la conception et/ou l'architecture d'un produit est adaptée pour limiter les menaces avant qu'elles ne deviennent des risques.

    De surcroît, considérées comme des caractéristiques essentielles de notre approche « Security by Design », la conception et l'architecture d'un produit sont examinées par des experts en sécurité.

  • Développement

    Développement sécurisé

    Cryptage sécurisé

    Le code de sécurité est examiné à de multiples reprises tout au long du processus de développement du produit afin que les failles de sécurité critiques et les éventuelles vulnérabilités soient identifiées dès le début du cycle de vie.

    Par ailleurs, des ingénieurs en sécurité spécialement formés sont obligatoirement intégrés aux équipes de développement de produits afin de garantir les meilleures pratiques et une cybersécurité de pointe dans le codage. Une équipe d'experts en sécurité hautement qualifiés peut également être consultée à tout instant sur les questions de sécurité.

  • Tests

    Tests de sécurité

    Tests de sécurité statiques et dynamiques des applications (SAST/DAST)

    Des tests de sécurité statique des applications, basés sur une approche structurelle et axés sur le contenu du code source, ainsi que des tests de sécurité dynamique des applications, basés sur une approche fonctionnelle et axés sur les vulnérabilités, sont réalisés tout au long du processus de développement afin d'identifier des vulnérabilités et des erreurs potentielles qui pourraient nuire à la qualité du logiciel.

    Analyse de la composition du logiciel (SCA)

    Une surveillance des vulnérabilités connues des composants logiciels tiers est effectuée tout au long du cycle de vie afin de réduire les risques induits par les logiciels open source.

    Tests de vulnérabilité

    Les produits sont analysés tout au long de leur cycle de vie afin d'identifier de manière proactive les vulnérabilités susceptibles de présenter un risque.

    Tests de pénétration

    Des entités tierces de confiance effectuent des tests de pénétration pour identifier les menaces ou les vulnérabilités potentielles.
     

  • Surveillance et maintenance

    Surveillance et maintenance de la sécurité

    Gestion continue des menaces et des vulnérabilités

    Les logiciels font l'objet d'une surveillance continue et des évaluations sont effectuées pour permettre de détecter, d'identifier et de hiérarchiser les menaces et les risques liés aux produits que nous prenons en charge sur le marché. Nous analysons les menaces et les vulnérabilités et, sur la base des résultats obtenus, nous réalisons des évaluations afin d'identifier les nouvelles menaces et les nouveaux risques. Par la suite, des actions visant à maintenir des niveaux appropriés de cybersécurité sont définies en fonction du niveau de criticité.

    Gestion des correctifs de sécurité

    Des correctifs de sécurité sont mis au point, testés et publiés en fonction du niveau de criticité afin de limiter les risques pesant sur les produits des clients et leur infrastructure.

FAQ sur la cybersécurité chez ZEISS

  • Oui. Notre programme de gouvernance ZEISS en matière de cybersécurité et de confidentialité des données est destiné à accompagner et protéger nos produits et nos services afin d'assurer la confidentialité, l'intégrité et la disponibilité des données et des systèmes de nos clients.

    Forte de ce programme, notre équipe d'experts dédiée à la sécurité collabore avec toute notre organisation en vue d'intégrer à nos produits la sécurité de l'information et la confidentialité des données dès leur conception et sur tout leur cycle de vie. Ces spécialistes assurent la gouvernance, l'orientation et la supervision de la sécurité de l'information et de la confidentialité des données. Ils élaborent les politiques, processus et procédures favorisant la culture des bonnes pratiques, pour s'assurer que nos produits respectent les normes de qualité, mais aussi pour éviter et détecter les cybermenaces et y répondre.

    Notre équipe d'experts chargée de la sécurité des produits tout au long de leur cycle de vie, est composée de :

    • Responsables de la sécurité de l'information de l'entreprise (BISO)
    • Gestionnaires de la sécurité de l'information (ISM)
    • Responsables de la sécurité de l'information (ISO)
    • Responsables de la sécurité des produits (PSO)
    • Ingénieurs sécurité
    • Spécialistes de la sécurité dans le cloud
    • Experts en confidentialité des données
    • Gestionnaires des menaces et des vulnérabilités

    Ces experts abordent les questions de sécurité dans le cadre de notre processus de création de produits, notamment :

    • Authentification et autorisation
    • Contrôles d'accès
    • Audit et journalisation
    • Sauvegarde et récupération des données
    • Chiffrage des données (au repos et en transit)
    • Détection / protection contre les logiciels malveillants
    • Configuration sécurisée et renforcement de la sécurité
  • Oui. Nous contrôlons régulièrement nos règles et nos procédures et les mettons à jour dès que nécessaire.

  • Oui. Nous disposons d'un programme de gestion des fournisseurs qui intègre en amont de tout engagement une évaluation en profondeur de leurs pratiques en matière de cybersécurité. Nous évaluons leurs contrôles de sécurité, menons des audits et exigeons qu'ils respectent nos règles liées à la cybersécurité.

  • Nous utilisons un cadre d'évaluation des risques qui prend en compte l'impact potentiel, l'exploitabilité et la probabilité des divers risques liés à la cybersécurité. Cette méthode nous permet de hiérarchiser et d'attribuer efficacement les ressources afin de lutter en premier lieu contre les risques les plus importants. Nous nous tenons informés des nouvelles menaces et vulnérabilités en vue de garantir l'exhaustivité des évaluations de risques que nous menons.

  • Oui. Selon une méthode reconnue, la modélisation des menaces est obligatoire et réalisée dans le cadre d'un processus précis.

Contactez-nous

Ventes et demandes de renseignements sur les produits

Chargement du formulaire en cours...

Pour plus d'informations sur les produits ou pour toute demande de vente.
Veuillez indiquer le ou les produit(s) qui vous intéressent et les informations dont vous avez besoin.

Les informations saisies dans le formulaire de contact seront utilisées par Carl Zeiss Meditec AG ou nos sociétés de vente locales Carl Zeiss Meditec afin de répondre à votre demande par e-mail ou par téléphone. Si vous souhaitez en savoir plus sur le traitement des données chez ZEISS, veuillez consulter notre déclaration sur la protection des données.

Demande de service

Chargement du formulaire en cours...

Pour toute assistance ou question concernant votre produit ZEISS.
Remplissez ce formulaire et nous reviendrons vers vous dans les meilleurs délais.

Les informations saisies dans le formulaire de contact seront utilisées par Carl Zeiss Meditec AG ou nos sociétés de vente locales Carl Zeiss Meditec afin de répondre à votre demande par e-mail ou par téléphone. Si vous souhaitez en savoir plus sur le traitement des données chez ZEISS, veuillez consulter notre déclaration sur la protection des données.

Demande d'ordre général

Chargement du formulaire en cours...

Pour les demandes d'ordre général relatives aux opportunités d'emploi, aux contacts presse, aux informations sur l'entreprise, etc.
Veuillez fournir tous les détails concernant votre demande.

Les informations saisies dans le formulaire de contact seront utilisées par Carl Zeiss Meditec AG ou nos sociétés de vente locales Carl Zeiss Meditec afin de répondre à votre demande par e-mail ou par téléphone. Si vous souhaitez en savoir plus sur le traitement des données chez ZEISS, veuillez consulter notre déclaration sur la protection des données.