La cybersécurité chez ZEISS Medical Technology

Exigences fondamentales

Les exigences en matière de cybersécurité et de protection des données sont définies dans les premières étapes de notre processus de création de produit.

Outre la conformité aux normes, législations et réglementations internationales, ZEISS a établi des normes permettant de garantir un niveau maximal de cybersécurité dans l'ensemble de sa gamme. Ces normes sont basées sur les bonnes pratiques, le paysage actuel des menaces, les cadres de sécurité internationaux et d'autres sources, telles que les exigences des clients ou les objectifs de sécurité spécifiques à un produit.

Modélisation des menaces

Élément essentiel de la conception du produit et définition même de son architecture, la modélisation des menaces est intégrée très tôt au processus de conception du produit afin d'en identifier les risques et les vulnérabilités potentielles.

La modélisation des menaces consiste à analyser systématiquement les menaces applicables à un produit, en évaluant et classant la criticité par rapport au produit en question. Sur la base de cette évaluation de la criticité, associée aux faiblesses et vulnérabilités connues, la conception et/ou l'architecture d'un produit est adaptée pour limiter les menaces avant qu'elles ne deviennent des risques.

De surcroît, considérées comme des caractéristiques essentielles de notre approche « Security by Design », la conception et l'architecture d'un produit sont examinées par des experts en sécurité.

Cryptage sécurisé

Le code de sécurité est examiné à de multiples reprises tout au long du processus de développement du produit afin que les failles de sécurité critiques et les éventuelles vulnérabilités soient identifiées dès le début du cycle de vie.

Par ailleurs, des ingénieurs en sécurité spécialement formés sont obligatoirement intégrés aux équipes de développement de produits afin de garantir les meilleures pratiques et une cybersécurité de pointe dans le codage. Une équipe d'experts en sécurité hautement qualifiés peut également être consultée à tout instant sur les questions de sécurité.

Tests de sécurité statiques et dynamiques des applications (SAST/DAST)

Des tests de sécurité statique des applications, basés sur une approche structurelle et axés sur le contenu du code source, ainsi que des tests de sécurité dynamique des applications, basés sur une approche fonctionnelle et axés sur les vulnérabilités, sont réalisés tout au long du processus de développement afin d'identifier des vulnérabilités et des erreurs potentielles qui pourraient nuire à la qualité du logiciel.

Analyse de la composition du logiciel (SCA)

Une surveillance des vulnérabilités connues des composants logiciels tiers est effectuée tout au long du cycle de vie afin de réduire les risques induits par les logiciels open source.

Tests de vulnérabilité

Les produits sont analysés tout au long de leur cycle de vie afin d'identifier de manière proactive les vulnérabilités susceptibles de présenter un risque.

Tests de pénétration

Des entités tierces de confiance effectuent des tests de pénétration pour identifier les menaces ou les vulnérabilités potentielles.
 

Gestion continue des menaces et des vulnérabilités

Les logiciels font l'objet d'une surveillance continue et des évaluations sont effectuées pour permettre de détecter, d'identifier et de hiérarchiser les menaces et les risques liés aux produits que nous prenons en charge sur le marché. Nous analysons les menaces et les vulnérabilités et, sur la base des résultats obtenus, nous réalisons des évaluations afin d'identifier les nouvelles menaces et les nouveaux risques. Par la suite, des actions visant à maintenir des niveaux appropriés de cybersécurité sont définies en fonction du niveau de criticité.

Gestion des correctifs de sécurité

Des correctifs de sécurité sont mis au point, testés et publiés en fonction du niveau de criticité afin de limiter les risques pesant sur les produits des clients et leur infrastructure.