Centre de confiance de Nozomi Networks

L'entreprise a élaboré un ensemble complet de politiques de sécurité qui couvrent un large éventail de sujets. Ces politiques sont partagées et mises à la disposition de tous les employés et sous-traitants qui ont accès aux informations de Nozomi Networks.

L'un des éléments clés de la sécurité du personnel chez Nozomi Networks est le programme de formation à la sensibilisation à la sécurité. Tous les employés sont tenus de suivre cette formation lors de leur embauche et chaque année par la suite. En outre, l'équipe de sécurité fournit régulièrement des mises à jour de sensibilisation à la sécurité par le biais de différents canaux.

Le contrôle des employés est un autre aspect essentiel des pratiques de sécurité du personnel de Nozomi Networks. L'entreprise vérifie les antécédents de tous les nouveaux employés conformément aux lois locales. Ces vérifications sont également exigées pour les sous-traitants et comprennent la vérification des antécédents criminels, de l'éducation et de l'emploi.

Tous les nouveaux employés sont tenus de signer des accords de non-divulgation et de confidentialité afin de protéger les informations sensibles.

Nozomi Networks a des exigences strictes en matière d'intégration et de désintoxication afin de garantir l'accès approprié (et la révocation) aux actifs d'information.

Des contrôles stricts sont appliqués aux terminaux connectés aux systèmes de Nozomi Networks, en particulier ceux qui ont accès à des informations sensibles. Ces contrôles font partie intégrante du cadre général de la sécurité informatique.

La surveillance continue enregistre tous les accès à la base de données et les transmet à un système centralisé. Les accès administratifs, l'utilisation de commandes privilégiées et les autres activités d'accès sont enregistrés et conservés. Les informations du journal sont protégées contre la falsification et l'accès non autorisé.

Les serveurs et les endpoint tels que les ordinateurs portables et les ordinateurs de bureau sont protégés et surveillés contre les logiciels malveillants, les codes malveillants et les applications dangereuses grâce au déploiement d'un ensemble d'outils de protection.

L'accès aux bureaux, aux salles informatiques et aux zones de travail contenant des informations sensibles est physiquement limité au personnel autorisé. Les employés utilisent des cartes d'accès pour entrer dans les bureaux et tiennent un registre des visiteurs. Des caméras de surveillance et des mesures de sécurité sont en place pour surveiller les bâtiments. Des audits de sécurité physique sont effectués.

La politique d'utilisation acceptable des technologies définit les lignes directrices relatives à l'utilisation des ressources technologiques chez Nozomi Networks. Elle met l'accent sur un comportement responsable et diligent afin de protéger les actifs de l'entreprise contre toute perte, compromission ou préjudice. La politique couvre divers aspects tels que la gestion des données, l'utilisation du courrier électronique, les ordinateurs, l'installation de logiciels, les téléphones mobiles, l'accès à Internet, le Wi-Fi public, les VPN, les services de communication, les courriels de phishing/arnaque, Dropbox, les supports amovibles, les comptes et secrets, les mots de passe, cloud et les modèles d'IA générationnelle. Le non-respect de la politique peut entraîner des mesures disciplinaires, y compris le licenciement.

La politique de contrôle d'accès établit les exigences en matière d'authentification, d'autorisation et de comptabilité (AAA) afin de garantir la sécurité des actifs et des installations de traitement de l'information Nozomi. Elle stipule que l'accès est limité au personnel autorisé, sur la base des principes du moindre privilège et du besoin d'en connaître. La politique couvre la gestion des accès des utilisateurs, les systèmes et applications, le contrôle d'accès et l'accès aux réseaux et aux services hébergés. Elle comprend également des dispositions relatives aux contrôles d'audit, à l'enregistrement et à la désinscription des utilisateurs, à la gestion des droits d'accès privilégiés et à la révision périodique des droits d'accès. La politique s'applique à tous Nozomi , aux sous-traitants et à toute personne ayant accès aux ressources et au réseau Nozomi.

Le document relatif à la politique en matière d'IA définit les lignes directrices pour le développement, la mise en œuvre, l'utilisation et la surveillance des technologies d'IA et d'apprentissage automatique (ML) au sein de Nozomi Networks. Il met l'accent sur le développement responsable et éthique des systèmes d'IA/ML, en garantissant la conformité avec les normes réglementaires telles que la loi européenne sur l'IA. La politique couvre tous les systèmes d'IA/ML intégrés dans les logiciels et servicesNetworks Nozomi Networks, ainsi que les outils d'IA tiers utilisés au sein de l'organisation. Les principes clés comprennent l'équité, la transparence, la confidentialité des données et la sécurité. La politique s'applique à tous les employés, sous-traitants et fournisseurs tiers, dans le but de favoriser l'innovation tout en respectant les exigences légales et réglementaires.

La politique de continuité des activités décrit le cadre et les exigences du plan de continuité des activités (PCA)Networks Nozomi Networks, garantissant la disponibilité et la fourniture constantes des produits, des opérations et des services, tout en assurant la sécurité du personnel en cas de catastrophe ou de perturbation. La politique met l'accent sur l'engagement de la direction, les rôles et responsabilités, l'évaluation des risques, le plan de communication, les objectifs de continuité et de reprise, le plan de reprise après sinistre, le plan de continuité des activités fonctionnelles, les exercices et tests, l'évaluation des performances, l'amélioration continue et le respect des obligations légales et contractuelles.

La politique de gestion du changement décrit les responsabilités et les procédures relatives à la gestion des changements apportés aux actifs informationnelsNetworks Nozomi Networks, notamment les dispositifs réseau physiques et virtuels, les produits logiciels, les systèmes d'information internes et les applications déployées chez les clients. Elle souligne l'importance d'identifier, de suivre, de planifier, de tester et d'approuver les changements tout en évaluant les risques potentiels et en communiquant les détails aux parties prenantes concernées. La politique comprend également des procédures de secours pour annuler et récupérer les changements infructueux et exige que toutes les exceptions liées à la sécurité soient examinées et approuvées par le responsable approprié. Cette politique s'applique à tous les employés et sous-traitants impliqués dans le développement, la gestion et le soutien de ces actifs.

La politique de traitement des données définit les lignes directrices relatives à la gestion et à la protection des données chez Nozomi Networks. Elle couvre la classification, la suppression et la conservation des données, garantissant ainsi que toutes les données, qu'elles soient stockées physiquement ou virtuellement, sont traitées de manière sécurisée. La politique impose le chiffrement des données sensibles, des audits réguliers et un étiquetage approprié. Elle précise également les périodes de conservation pour différents types de données et la suppression sécurisée des enregistrements et des supports de stockage. La politique s'applique à tousNetworks et sous-traitants Nozomi Networks , soulignant l'importance de la protection des données afin d'empêcher tout accès non autorisé ou toute violation.

La politique de chiffrement décrit les contrôles cryptographiques et les pratiques de gestion des clés utilisés pour protéger les informations sensibles chez Nozomi Networks. Elle impose l'utilisation de solutions cryptographiques de pointe pour les données au repos et en transit, basées sur des normes internationales telles que NIST SP 800-131a et des algorithmes approuvés tels que AES pour la confidentialité et SHA-256 pour l'intégrité. La politique couvre différents types d'informations, notamment les données clients, les informations personnelles identifiables, les mots de passe, la propriété intellectuelle et les registres de conformité. Elle précise également que les mécanismes de chiffrement doivent répondre aux exigences réglementaires et légales et être approuvés par le service informatique ou le directeur technique.

La politique de sécurité des ressources humaines décrit les procédures et les directives relatives à la gestion du recrutement, de la formation et du licenciement des employés et des sous-traitants chez Nozomi Networks. Elle comprend la vérification des antécédents, les accords contractuels et la formation obligatoire en matière de sécurité de l'information pour tous les membres du personnel. La politique détaille également les responsabilités des employés, des responsables, du service conformité et du service informatique pour garantir la réalisation en temps voulu de la formation et l'application des restrictions d'accès en cas de non-conformité. En outre, elle traite du processus de licenciement, y compris la désactivation immédiate de l'accès aux informations et aux installations de l'entreprise, ainsi que la restitution des biens de l'entreprise. Cette politique est classée confidentielle.

La politique de sécurité de l'information décrit l'engagementNetworks Nozomi Networksà développer, fournir et exploiter des solutions de cybersécurité et de visibilité pour les systèmes de contrôle industriel avec le plus haut niveau de sécurité, d'intégrité et de disponibilité. Cette politique vise à protéger les informations d'entreprise, les informations personnelles et les données des clients contre la perte, l'accès non autorisé et la divulgation. Pour y parvenir, Nozomi Networks mis en place un système de gestion de la sécurité de l'information (ISMS) conforme à la norme ISO 27001:2022. L'ISMS comprend les politiques, les processus et les contrôles mesurables applicables aux fonctions commerciales, et tient compte des exigences des clients, des accords contractuels et des besoins des parties intéressées. La politique met l'accent sur l'engagement de la direction, les évaluations périodiques des risques et l'amélioration continue afin de maintenir la confiance des parties prenantes et de soutenir les objectifs commerciaux.

Le document relatif aux procédures de gestion du bureau décrit les exigences en matière d'accès des visiteurs, de délivrance des badges et de contrôle d'accès à la salle informatique de Nozomi Networks. Il précise que tous les visiteurs doivent se présenter au responsable du bureau à leur arrivée et que les détails de leur visite sont consignés dans un registre des visiteurs. Le responsable du bureau est chargé de gérer l'accès aux bureaux et de délivrer des badges d'accès aux employés et aux visiteurs séjournant plusieurs jours. Le responsable informatique contrôle l'accès physique à la salle informatique, en veillant à ce que seul le personnel autorisé puisse y entrer. Le document fait également référence à la procédure de sécurité du bureau - délivrance de badges et souligne l'importance de maintenir un système de contrôle d'accès sécurisé.

La politique de sécurité des opérations décrit les mesures visant à garantir la sécurité, la disponibilité et l'intégrité des actifs informationnelsNetworks Nozomi Networks. Elle couvre le contrôle des systèmes critiques, le contrôle de l'environnement système, la surveillance et la journalisation, la sauvegarde et la restauration, la gestion des vulnérabilités et la configuration sécurisée. La politique exige que tout le personnel impliqué dans l'exploitation des systèmes se conforme aux procédures documentées en matière de modifications, d'installations logicielles et d'application de correctifs. Elle souligne également l'importance de séparer les environnements opérationnels, d'activer les fonctions de journalisation et de surveillance, d'effectuer des sauvegardes régulières, d'évaluer les vulnérabilités et de mettre en œuvre des mesures robustes de contrôle d'accès et de sécurité réseau. La politique s'applique à tous les employés et sous-traitants.

La politique de sécurité physique garantit la sécurité physique de tousNetworks et centres de traitement de l'informationNetworks Nozomi Networks . Elle couvre les zones d'accès restreint désignées, les registres d'accès physique, le contrôle d'accès, le contrôle des équipements, le contrôle des visiteurs, la politique du bureau rangé et la gestion des incidents. La politique impose la mise en œuvre et le maintien de contrôles d'accès, la conservation des registres d'accès, la protection des équipements, l'accompagnement des visiteurs et l'enquête et la résolution rapides des incidents. La politique s'applique à tousNetworks et sous-traitantsNetworks Nozomi Networks .

La politique de confidentialité décrit l'engagementNetworks Nozomi Networksà protéger les informations personnelles et à garantir le respect des lois applicables en matière de confidentialité. Elle couvre la collecte, l'utilisation et la protection des données personnelles, en mettant l'accent sur des principes tels que la qualité des données, la spécification des finalités, la limitation de l'utilisation, les mesures de sécurité, la transparence, la participation individuelle et la responsabilité. La politique détaille également les droits des personnes, notamment le droit d'être informé, d'accéder, de rectifier, d'effacer, de limiter le traitement, de transférer les données, de s'opposer et les droits liés à la prise de décision automatisée et au profilage. Dans l'ensemble, la politique vise à maintenir la transparence et à instaurer la confiance avec les parties prenantes en adhérant aux normes internationalement reconnues en matière de protection des données et de confidentialité.

La politique qualité de Nozomi Networks à positionner l'entreprise comme un leader mondial dans la fourniture de solutions avancées pour protéger les technologies opérationnelles (OT) et les systèmes de contrôle industriel (ICS) contre les cybermenaces. Pour y parvenir, Nozomi Networks mis en place un système de gestion de la qualité (SGQ) conforme aux normes ISO 9001:2015. Ce système garantit que les processus sont gérés de manière à répondre aux exigences des clients et des parties prenantes, quelle que soit la taille et l'empreinte de l'entreprise. Tous les employés et sous-traitants sont tenus de respecter le SMQ et les lois et réglementations applicables. L'entreprise s'engage à s'améliorer en permanence en fixant des objectifs, en vérifiant les résultats et en appliquant des mesures correctives si nécessaire.

La politique de gestion des incidents de sécurité décrit les procédures à suivre pour traiter les incidents liés à la sécurité de l'information chez Nozomi Networks. Elle s'applique à tous les employés, sous-traitants, systèmes, produits, services et informations gérés par l'entreprise. La politique met l'accent sur la responsabilité des employés et des sous-traitants de protéger les informations confidentielles, de signaler les cybermenaces et de participer aux efforts de confinement. La gestion des incidents comprend la détection, la maîtrise, l'investigation, l'éradication, la récupération et les enseignements tirés. La réponse aux incidents suit des procédures documentées et des méthodes de signalement conformes à la norme NIST 800-61. La confidentialité est maintenue tout au long du processus, la direction générale étant autorisée à divulguer des informations spécifiques à des tiers.

La politique de développement, d'acquisition et de maintenance des systèmes décrit les procédures et les normes relatives au développement, à l'acquisition et à la maintenance des systèmes, des logiciels et des services d'application chez Nozomi Networks. Elle met l'accent sur l'intégration des exigences en matière de sécurité de l'information tout au long des phases de planification, de développement et de déploiement des nouveaux produits, services ou systèmes. La politique impose une méthodologie de développement formelle conforme aux normes industrielles telles que ITIL, DevOps et Agile, et comprend des phases telles que la collecte des exigences, la conception du système, la mise en œuvre, les tests, le déploiement, l'exploitation et la maintenance. En outre, elle couvre le processus de fin de vie des applications informatiques et les critères d'acquisition des systèmes, garantissant la sécurité et la conformité aux réglementations et aux normes industrielles.

La politique de télétravail définit les lignes directrices applicables aux employés et aux sous-traitants qui travaillent depuis un lieu autre que lesNetworks désignés Nozomi Networks . Elle couvre les critères d'éligibilité, les types d'aménagements de télétravail, l'évaluation de l'état de préparation, les lignes directrices en matière de télétravail, la fourniture d'équipements, les mesures de sécurité et l'assurance accidents du travail. La politique souligne l'importance de maintenir un environnement de travail sûr et sans distraction, de protéger les actifs et les informations de l'entreprise et de respecter des protocoles de sécurité spécifiques. Elle précise également que les employés en télétravail sont couverts par l'assurance accidents du travail pour les blessures liées au travail.

Nous commençons par identifier le risque et comprendre comment il est lié aux services et à l'entreprise de Nozomi Networks

Nous évaluons ou classons ensuite le risque afin d'obtenir une vision globale de l'exposition potentielle de l'ensemble de l'organisation.

Sur la base de l'évaluation, nous traitons les risques selon le processus de traitement des risques approprié.

Enfin, nous surveillons et examinons en permanence les risques afin de garder un œil attentif sur tous les facteurs de risque.