L’obtention de cette certification atteste que Stormshield fournit à ses clients des produits conçus, réalisés et maintenus avec un niveau de sécurité optimal. En effet, elle couvre tous les processus de développement logiciels sur la base de sept principes fondamentaux :

• Le management de la sécurité, incluant par exemple le processus de développement, les responsabilités ou encore la gestion des clés privées ;
• La définition des besoins de sécurité, avec un modèle de menace et une analyse de risque ;
• La security By Design qui comporte les principes d’architecture et de conception sécurisée ;
• La sécurité de l’implémentation au travers des bonnes pratiques de codage ;
• Les tests et vérification, qui visent à s’assurer que l’implémentation est correcte en incluant des pentests et des tests de vulnérabilités ;
• La gestion des incidents de sécurité et des vulnérabilités découvertes ;
• La gestion des mises à jour, des sorties de versions correctives, de la documentation et des procédures d’informations.

Accompagner les entreprises industrielles dans leur conformité
En complément de cette certification, Stormshield accompagne les systèmes d’automatisation et de contrôle industriels dans leur mise en conformité à la norme IEC 62443-4-1 au travers de trois gammes de produits assurant la protection périphérique, la protection des postes de travail et la protection bout en bout des données.Les fonctionnalités des différentes solutions Stormshield aident à répondre aux exigences fondamentales de la norme :

• Identification, contrôle de l’authentification
Stormshield Network Security permet d’identifier à la fois les réseaux (incluant le Wifi), les machines et les utilisateurs, tout en intégrant les contrôles d’accès associés dans la politique de sécurité. Les fonctionnalités de gestion et d’authentification des utilisateurs offrent une très grande souplesse assurant soit la récupération des données de l’annuaire d’entreprise soit la mise en place d’une infrastructure autonome et complète autorisant également la gestion d’utilisateurs externes.

• Contrôle d’utilisation
La majeure partie des contrôles d’utilisation repose sur la politique de sécurité définie au sein de la protection périphérique. La solution SNS va au-delà puisqu’elle permet également de limiter la durée des sessions, de terminer les connexions à distance ou encore d’intercepter et de bloquer les codes mobiles malveillants. D’autre part, la solution de gestion des événements système de Stormshield garantit la mise en place d’opérations d’audit sécurisés sur les actions réalisées au sein des IACS.

• Intégrité du système
Les contrôles d’intégrité du système, comme la protection contre les codes malicieux, sont assurés à la fois au niveau du réseau et des postes de travail. Les deux solutions sont également capables de mettre en place des actions de remédiation prédéfinies au travers de leur politique de sécurité. En outre, la solution SNS assure l’intégrité des communications et des sessions ainsi que la vérification des codes d’actions envoyés aux automates grâce à son analyse des paquets en profondeur. La protection contre les modifications est assurée par la solution Stormshield Endpoint Security (SES) au niveau des applications du système et par la solution Stormshield Data Security pour l’intégrité des informations. Enfin, la protection des informations d’audit peut être mise en place par l’envoi simultané des journaux à destination de plusieurs serveurs.

• Confidentialité des données
L’accès à l’information est garanti à la fois pour les données en transit via les communications sécurisées de SNS et pour les données stockées grâce à sa solution de protection des données Stormshield Data Security. Les mécanismes cryptographiques utilisés par ces solutions sont qualifiés au plus haut niveau européen et garantissent la gestion des ressources ne devant plus accéder aux informations après leur décommissionnement.

• Restriction du flux de données
La gestion des flux de données assure la mise en conformité des IACS vis-à-vis des exigences autour des zones de sécurité et des conduits. Les fonctions de routage et de contrôle de flux réseaux jusqu’au niveau applicatif de la solution SNS garantit à lui seul une réponse optimale à l’ensemble des exigences de sécurité. Elles assurent ainsi la segmentation du réseau, la protection des frontières des zones de sécurité, le contrôle des messages sortants via un mécanisme de blocage par défaut des flux pour n’autoriser que les communications autorisées.