L’audit annuel de sécurité de TÜV Süd réussi haut la main
Reinhard Mayr, Responsable de la sécurité de l'information et des opérations de recherche, est impliqué dans ce processus en notre nom et nous explique en quoi il consiste.
Pourquoi est-il important pour COPA-DATA d'être certifié CEI 62443 ?
Il est vital pour nous de nous assurer que nos processus produisent des produits de haute qualité. La norme CEI 62443-4-1 certifie que notre cycle de développement (sécurisé) génère des projets de conception de haute qualité et permet ainsi aux utilisateurs de nos logiciels de bénéficier d’infrastructures de sécurité à la pointe de la technologie.
Que devons-nous faire pour garder la certification ?
Notre entreprise sera à nouveau certifiée tous les trois ans. Le prochain cycle aura lieu en 2021. Entre les années de certification, nous restons en contact régulier avec un auditeur et recevons, pour ainsi dire, un rafraîchissement des connaissances de la part de TÜV Süd. Cela nous permet d'approfondir nos connaissances au sein de l'équipe de gestion de la sécurité et, partant de là, dans l'ensemble de l'entreprise. De plus, nous communiquons de façon ouverte et transparente si des problèmes liés à la sécurité sont susceptibles de provenir de nos produits.
Quelles mesures ont été mises en œuvre jusqu'à présent cette année ?
Tous les employés de COPA-DATA ont reçu une formation complète de sensibilisation à la sécurité. L'équipe de gestion de la sécurité est maintenant bien connue au sein de notre organisation et nous sommes consultés lorsque les choses ne sont pas claires. Nos développeurs ont participé à un programme de formation sur le codage sécurisé. Dans les domaines du développement et de l'assurance qualité de zenon, nous avons étendu nos activités de fuzzing afin de tester la robustesse de nos interfaces. De plus, nous surveillons les licences et les points faibles potentiels, en particulier pour le code open source de tiers, et ce à l'aide d'un outil logiciel spécial. Globalement, TÜV Süd a confirmé que nous avons encore amélioré et professionnalisé notre communication externe dans les scénarios de menace potentielle pour la sécurité.
Quels sont les prochaines étapes?
Nous allons continuer à développer notre savoir-faire. Nous sommes évidemment conscients qu'il s'agit d'un processus sans fin. Nous avons l'intention d'améliorer continuellement notre qualité et de communiquer rapidement, professionnellement et en toute transparence si nous identifions ou sommes informés d'un problème. Nos prochaines améliorations de produits devraient toutes comprendre par défaut un système de sécurité. Parallèlement, nous nous efforcerons d'améliorer la stabilité du système complet et la fonction de détection de sabotage dans zenon. Nous garderons également un œil sur la question de la qualité du code via l'analyse statique de ce dernier afin de maintenir à jour les millions de lignes de code zenon.
Comment l'expertise acquise en matière de sécurité sera-t-elle autrement partagée ?
Nous prévoyons de partager nos connaissances en matière de sécurité dès que possible avec notre communauté de partenaires COPA-DATA et de proposer la formation correspondante. Nous avons récemment mis en place une politique qui garantit que les partenaires ayant le plus haut statut, c’est-à-dire nos partenaires Gold, doivent démontrer un niveau de connaissances minimum dans les questions de cybersécurité. En outre, nous travaillerons plus étroitement avec le Computer Emergency Response Team Austria (www.cert.at) et d'autres partenaires tiers tels que les universités de Salzbourg et de St. Pölten. Il est également prévu que certains de nos employés s'impliquent davantage dans les comités de normalisation de la sécurité de nos industries cibles.
En tant qu'utilisateur zenon, avez-vous des questions sur le thème de la sécurité ? Contactez votre représentant zenon local ou envoyez un e-mail à sales.fr@copadata.com.
Retour