La cybersécurité chez ZEISS Microscopy

Exigences fondamentales

Chez ZEISS Microscopy, la conformité aux exigences de cybersécurité, de confidentialité des données, d'IA responsable et de logiciel open source (FOSS) constitue le fondement du développement de nos produit. Ces conditions sont définies dès l'ébauche du processus de création du produit et sont intégrées tout au long de son cycle de vie.

En plus de respecter les normes, lois et réglementations internationales, ZEISS a mis en place un cadre de gouvernance unifié qui garantit une protection de pointe pour l'ensemble de sa gamme. Ce cadre s'appuie sur les meilleures pratiques, l'évolution des cybermenaces, les développements réglementaires, tels que la loi européenne sur l'intelligence artificielle, et les objectifs spécifiques de sécurité des clients et des produits.

Notre programme de gouvernance s'engage à respecter les points suivants :

• Cybersécurité et confidentialité des données dès la phase de conception : Configurations sécurisées, contrôles d'accès, chiffrement et veille permanente des cybermenaces font partie intégrante de nos processus de développement et de déploiement
• IA responsable : Les risques et la conformité des systèmes d'IA sont évalués à travers des flux de tâches intégrés afin de garantir une utilisation éthique et légale conformément à la réglementation internationale
• Conformité FOSS : Les composants open source sont gérés au moyen de contrôles rigoureux des licences et de la sécurité afin de garantir transparence, traçabilité et intégrité juridique  

Cette approche globalisée permet à ZEISS Microscopy de fournir des solutions sûres, conformes et fiables et ainsi d'aider nos clients et nos partenaires à intégrer un monde connecté basé sur les données.

Modélisation des cybermenaces

Étape essentielle de la conception des produits et de la définition de l'architecture produit, la modélisation des cybermenaces est déployée dès les premières phases du processus de conception afin d'identifier les menaces, les risques et les éventuelles vulnérabilités en termes de sécurité.

Dans le cadre de la modélisation des cybermenaces, nous analysons systématiquement les menaces applicables à un produit en évaluant et en notant leur criticité pour le produit en question. À partir de ce niveau de criticité, et des faiblesses et vulnérabilités identifiées, la conception et/ou l'architecture d'un produit sont adaptées en conséquence pour contrer les menaces avant qu'elles ne deviennent des risques.

En outre, dans le cadre de notre approche « Security by Design », la conception et l'architecture d'un produit sont contrôlées par des experts dédiés à la sécurité.

Codage sécurisé

Les codes sécurisés sont analysés tout au long du processus de développement du produit afin de garantir l'identification des failles de sécurité critiques ou des vulnérabilités potentielles au plus tôt dans le cycle de vie.

De surcroît, les équipes de développement de produits comptent obligatoirement des ingénieurs en sécurité spécialement formés afin de garantir les meilleures pratiques et une cybersécurité maximale de programmation. Enfin, une équipe d'experts en sécurité, hautement qualifiée, est également disponible pour répondre à toute question sur la sécurité.

Tests de sécurité statiques et dynamiques des applications (SAST/DAST)

Des tests de sécurité statiques, basés sur une approche de type « boîte blanche » et axés sur le contenu du code source, ainsi que des tests de sécurité dynamiques, basés sur une approche de type « boîte noire » et axés sur les vulnérabilités, sont effectués tout au long du processus de développement afin d'identifier les vulnérabilités et erreurs potentielles susceptibles d'affecter la qualité du logiciel.
 

Analyse de la composition du logiciel (SCA)

La surveillance des vulnérabilités connues des composants logiciels tiers est effectuée tout au long du cycle de vie afin de minimiser les risques liés aux logiciels open source.
 

Tests de vulnérabilité

Les produits sont minutieusement examinés tout au long de leur cycle de vie afin d'identifier proactivement les vulnérabilités susceptibles de présenter un risque.

Tests de pénétration

La pénétration des produits est testée par des entités tierces afin d'identifier les éventuelles menaces ou vulnérabilités.

Gestion continue des menaces et vulnérabilités

Nous surveillons les logiciels et effectuons des évaluations afin de détecter, d'identifier et de hiérarchiser les menaces et les risques émanant des produits que nous commercialisons. À cette fin, nous analysons les menaces et les vulnérabilités et, selon les résultats, des évaluations sont effectuées afin d'identifier les nouvelles menaces et les nouveaux risques. Des mesures visant à maintenir des niveaux appropriés de cybersécurité sont ensuite définies en fonction du niveau de criticité.

Gestion des correctifs de sécurité

Des correctifs de sécurité sont développés, testés et déployés en fonction du niveau de criticité afin d'atténuer les risques pour les produits et l'infrastructure des clients.