La cybersécurité appliquée au cycle de vie des produits

La cybersécurité industrielle commence dès la phase de développement de produits. Afin d’assurer la sécurité et la cybersécurité de ses solutions, Pilz veille à mettre en place un cycle de vie global des produits qui tienne compte de la cybersécurité au sein de notre entreprise, et ce de manière vérifiable. Nous sommes à votre disposition, par l’intermédiaire de l’équipe PSIRT, chargée de la gestion continue de la cybersécurité, de l’émission d’avis sur la cybersécurité et de l’élaboration de process sécurisés pour le cycle de vie des produits.

La cybersécurité est une « cible mouvante », autrement dit, elle évolue tout au long du cycle de vie d’un produit. Les personnes malveillantes développent des méthodes de plus en plus performantes afin de contourner les mesures de défense. De nouvelles vulnérabilités affectant les produits sont découvertes et offrent des possibilités d’attaque. Ou alors, la situation en matière de menace évolue, par exemple en raison de l’introduction de nouveaux logiciels.
 
C’est pourquoi les mesures de lutte contre les cybermenaces ou la fraude doivent être régulièrement reconsidérées. Cette responsabilité incombe en premier lieu aux exploitants des installations. Les constructeurs de machines et les fabricants de composants doivent informer immédiatement les exploitants de tout nouveau problème lié à la sécurité. Des mises à jour appropriées doivent être fournies pour les logiciels de leurs appareils afin que leurs clients puissent corriger les vulnérabilités. Lorsque des intégrateurs de systèmes sont associés au processus, ils font office d’intermédiaires entre les fabricants et les exploitants. Il est important que toutes les parties prenantes collaborent étroitement sur l’ensemble du cycle de vie des produits. 

La société Pilz est experte en sécurité. Pour nous, il est important de garantir non seulement la sécurité, mais aussi la cybersécurité de nos produits. C’est pourquoi nous avons mandaté TÜV Süd pour contrôler nos process de développement en se basant sur la norme CEI 62443-4-1. Celle-ci définit un développement des produits en toute sécurité, le « Security Development Lifecycle » (processus SDL). Cette approche prend en considération de possibles propriétés de cybersécurité dès l’ébauche d’un nouveau produit. Elle vise à s’assurer que l’ensemble des risques liés à la cybersécurité d’un produit sont identifiés à l’aide d’une modélisation des menaces et, idéalement, résolus au cours du process de développement de ce produit.

Conclusion de l’audit : le développement de Pilz a satisfait aux exigences de la norme et est conforme au processus SDL. Nous pouvons ainsi déclarer en toute confiance que, chez Pilz, le développement de produits est à la fois un gage de sécurité et de cybersécurité !

Selon TÜV Süd, Pilz prend très au sérieux le développement de produits sécurisés conformes à la norme CEI 62443-4-1 et crée ainsi une base solide pour les certifications de produits ultérieures.

En plus de fabriquer du matériel, Pilz est également un fournisseur de solutions logicielles. Or, il n’est pas possible d’éviter totalement les failles de sécurité dans les logiciels. Par conséquent, il est important que les utilisateurs et les administrateurs soient informés à temps de ces failles afin qu’ils puissent prendre les contre-mesures nécessaires avant la survenue d’un dommage. Pour nos produits et prestations de services, nous exigeons une qualité optimale. Pour cette raison, Pilz tient compte de la cybersécurité dès la phase de développement de ses propres produits. Malgré tout, il n’est pas possible d’éviter totalement les failles de sécurité. Nous prenons donc très au sérieux les signalements de vulnérabilités potentielles à des fins de gestion des incidents. Les utilisateurs et les administrateurs doivent être informés à temps de ces failles en temps voulu afin de pouvoir prendre les contre-mesures nécessaires avant qu’un dommage ne survienne. Ce n’est qu’à cette condition que nous pourrons continuer à maintenir la qualité de nos produits à un niveau élevé. Pour que tout se déroule correctement, il est important d’établir, au sein de l’entreprise, une gestion adéquate incluant une équipe « Product Security Incident Response Team » (PSIRT). Par le biais d’avis sur la cybersécurité, l’équipe PSIRT de Pilz  formule des recommandations d’action qui vous permettent de remédier aux vulnérabilités détectées.

Un avis sur la cybersécurité informe sur une faille de sécurité existante dans l’un de nos produits. Il est généralement constitué :

• de la description de la vulnérabilité,
• d’une estimation de la criticité de la vulnérabilité sous la forme d’un score CVSS*,
• de la liste des produits concernés, y compris de leur version,
• des contre-mesures possibles et, le cas échéant, de remerciements adressés à ceux qui nous ont signalé la vulnérabilité.

*Le CVSS (Common Vulnerability Scoring System) est une procédure standard reconnue dans le monde entier qui permet d’évaluer la criticité d’une vulnérabilité. Actuellement, le CVSS en est à la version 3.0. CVSSv3 définit un score de 0 à 10. Le 0 correspond à la criticité la plus faible et le 10 à la criticité la plus élevée.

Vous trouverez ici les derniers avis sur la cybersécurité.

Avis sur la cybersécurité

Quel est le rôle de l’équipe PSIRT de Pilz ?

Les experts en cybersécurité de l’équipe PSIRT de Pilz analysent, évaluent et traitent les éventuelles vulnérabilités en matière de sécurité ainsi que les incidents liés à la cybersécurité qui se rapportent aux produits et solutions de Pilz. Lorsqu’une vulnérabilité a été confirmée, l’équipe PSIRT de Pilz publie des avis sur la cybersécurité qui contiennent des indications sur la manière de corriger la vulnérabilité en question.

Nous souhaitons encourager les experts en sécurité, les chercheurs indépendants, les clients et autres acteurs à nous signaler les problèmes de sécurité qui affectent nos produits et solutions. C’est uniquement à cette condition que nous pourrons discuter ensemble d’autres activités, les valider et améliorer la cybersécurité de nos produits et solutions. Afin de ne pas mettre en danger nos clients et les parties non impliquées, nous vous prions de publier les vulnérabilités de manière coordonnée en collaboration avec notre équipe PSIRT.

Comment contacter l’équipe PSIRT de Pilz :

Les spécialistes en cybersécurité de l’équipe PSIRT de Pilz traitent et analysent tous les signalements de vulnérabilités potentielles affectant la cybersécurité des produits Pilz. Pour toute question sur la cybersécurité en lien avec nos produits ou notre infrastructure, ou si vous souhaitez signaler des failles de sécurité, veuillez vous adresser à nos experts en cybersécurité de l’équipe PSIRT. Veuillez communiquer avec l’équipe PSIRT en allemand ou en anglais. En règle générale, vous pouvez vous attendre à un premier retour sous deux jours ouvrables (CET).

Veuillez signaler les problèmes liés à la cybersécurité de nos produits, solutions et services en ligne :

Contacter l’équipe PSIRT

Merci de préciser les informations suivantes dans votre signalement :

• Référence du produit concerné
• Nom de l’appareil et firmware (si disponible)
• Le cas échéant, exploitation ou autres données pouvant nous aider à identifier le problème
• Indication si la vulnérabilité a déjà été publiée (par vous ou par un autre service)

1. Analyse : notre équipe PSIRT examine la vulnérabilité signalée et demande, si nécessaire, des informations complémentaires à l’auteur du signalement. Veuillez noter que l’examen peut prendre quelques jours, voire des semaines, en fonction de la complexité de la vulnérabilité et du type de produit concerné. Indépendamment du temps nécessaire, nous revenons vers l’auteur du signalement au plus tard dans les 15 jours ouvrables pour un premier bilan.

2. Définition de mesures : en fonction de la gravité de la vulnérabilité et, le cas échéant, d’autres contraintes, des mises à jour sont préparées. En cas de vulnérabilité grave, Pilz prépare un avis sur la cybersécurité. Pendant le processus, nous informons régulièrement l’auteur du signalement de l’état d’avancement.

3. Publication : l’avis sur la cybersécurité finalisé et, le cas échéant, les correctifs correspondants sont publiés ici et peuvent être téléchargés par tous les clients. Pour le téléchargement, vous devez vous connecter avec votre nom d’utilisateur. Si vous n’avez pas encore de profil, vous pouvez vous inscrire gratuitement ici. Veuillez noter qu’en fonction de la gravité d’une vulnérabilité, les correctifs n’être publiés que dans le cadre du cycle de publication spécifique au produit.