Our website is available in multiple languages. Visiting your country's website provides you with the most relevant information. Would you like to switch?
Choose your country
Subsidiaries
Sales partner
Subsidiaries
Subsidiaries
Sales partner
Sales partner
Language
Language
Language
Language
Processus
Nous n'en sommes pas encore tout à fait là, mais nous investissons beaucoup de ressources pour nous conformer à la norme CEI 62443-4-1. Nos efforts actuels se concentrent sur l'extension et le complément des processus déjà en place pour garantir la qualité de nos produits, afin qu'ils répondent également aux exigences spécifiques de la norme CEI 62443-4-1.
Nous nous efforçons actuellement de respecter les exigences des lois, normes et standards suivants :
- CRA (loi sur la cyber-résilience)
- IEC 62443
- IEC 29147
- IEC 30111
- IEC 27036
- Loi californienne sur les mots de passe (projet de loi SB-327 du Sénat californien de 2020)
Murrelektronik a mis en place des processus qui couvrent de manière proactive tous les aspects des tâches que nous effectuons. Les projets utilisent ces processus standard et les adaptent si nécessaire. Cela correspond au niveau 3 (« défini ») selon le CMMI.
Oui. Le processus de développement de tous les nouveaux produits développés à partir de 2024 inclut la prise en compte des aspects liés à la cybersécurité grâce à l'élaboration de modèles de menaces pertinents.
Oui. Le processus de développement de tous les nouveaux produits développés à partir de 2024 comprend l'élaboration d'un concept de défense en profondeur visant à contrer tous les risques identifiés dans la modélisation des menaces.
Oui. Les tests et la validation de sécurité font partie intégrante des tests et des validations approfondis que nous effectuons sur nos produits développés à partir de 2024.
Oui. Nous avons établi des normes de codage qui sont continuellement mises à jour afin de refléter les dernières exigences, y compris celles découlant des considérations en matière de cybersécurité.
Oui. Le développement de nouveaux produits inclut la définition des exigences de sécurité dès la phase de conception.
Nous mettons en œuvre les exigences spécifiées dans la norme CEI 62443-4-1 (SM-9 et SM-10) ainsi que celles de la norme CEI 27036. Nous nous concentrons actuellement sur la définition des processus et l'acquisition des outils nécessaires pour mener à bien cette démarche.
Produits
Nous recommandons plusieurs étapes. Il n'est pas possible de donner une réponse courte et concise qui couvre toutes les situations et tous les produits. Les sources les plus importantes à consulter sont les suivantes :
- Le chapitre consacré à la cybersécurité dans la documentation du produit, qui est devenu un élément standard de la documentation des nouveaux produits.
- Les directives générales en matière de cybersécurité qui sont couvertes dans les documents suivants :
Ces informations figurent dans le chapitre consacré à la cybersécurité de la documentation correspondante du produit, qui fait partie intégrante de la documentation des nouveaux produits développés à partir de 2024.
Ces informations figurent dans le chapitre consacré à la cybersécurité de la documentation correspondante du produit, qui fait partie intégrante de la documentation des nouveaux produits développés à partir de 2024.
PSIRT
Le moyen le plus direct pour contacter le PSIRT de Murrelektronik est d'utiliser cette adresse e-mail : psirt@murrelektronik.de
Notre processus de gestion des failles est lancé lorsqu'une faille est signalée, soit par une source externe, soit par le biais d'une surveillance interne continue effectuée par des parties prenantes internes (R&D, test, etc.) ou par des prestataires de services de test externes agissant pour le compte de Murrelektronik.
Le rapport est pris en compte et une première évaluation est effectuée. Le PSIRT coordonne ce processus en interne et en externe, il assure la communication avec toutes les parties prenantes.
Une fois la faille vérifiée et analysée, le PSIRT coordonne avec toutes les parties prenantes pour mettre en place des mesures correctives.
Pour une description plus détaillée, consultez notre document « Processus de gestion des vulnérabilités ».
Vous pouvez vous abonner aux mises à jour du CERT@VDE, où nous publions tous nos avis, ici.
Les avis que nous publions contiennent généralement la plupart ou la totalité des éléments suivants :
- Advisory ID
- Date et heure de la publication initiale, ainsi que l'historique des révisions si des mises à jour ont été apportées à l'avis.
- Titre : inclure suffisamment d'informations (par exemple sur le produit concerné) pour permettre au lecteur de déterminer rapidement si l'avis est pertinent.
- Aperçu : brève description générale de la vulnérabilité.
- Produits concernés : y compris le(s) nom(s) du/des produit(s), la ou les versions du matériel et du micrologiciel concernés et, le cas échéant, une méthode sûre pour tester la présence de la vulnérabilité.
- Description : contenant juste assez de détails pour permettre aux utilisateurs d'évaluer leurs risques sans faciliter ou augmenter la probabilité d'exploitation. La classe et le score CVSS peuvent être inclus dans la description.
- Impact : inclure les conséquences potentielles si la faille découverte est exploitée et les scénarios d'attaque qu'elle permet.
- Gravité : classification de la vulnérabilité selon le système commun de notation des failles (CVSS).
- Remédiation : mesures que les utilisateurs peuvent prendre pour réduire ou empêcher l'exploitation de la faille (solutions de contournement) et mesures nécessaires pour supprimer la faille (par exemple, en installant des correctifs ou des mises à jour logicielles).
- Références à des informations connexes, telles que des avis connexes ou CVE (Common Vulnerabilities and Exposures).
- Remerciements aux personnes ayant signalé la faille, le cas échéant.
- Coordonnées du PSIRT de Murrelektronik
- Conditions d'utilisation : Conditions relatives aux droits d'auteur et à la redistribution.
Les avis de sécurité publiés par Murrelektronik sont accessibles via plusieurs canaux :
- Site Web : Notre page Web PSIRT contient une liste des avis les plus récents et les plus actifs. Elle contient également un lien vers les archives de tous les avis publiés.
- CERT@VDE : Nous publions nos avis dansla base de données CERT@VDE.
Oui. Nous fournissons nos avis de sécurité au format CSAF. Lorsque vous téléchargez les avis, vous avez le choix entre un fichier PDF lisible par l'homme et un fichier CSAF lisible par machine.
Vous trouverez toujours la dernière version du micrologiciel ou du logiciel du produit spécifique que vous utilisez dans la section « Téléchargements » de ce produit dans notre boutique en ligne.
Les avis de sécurité publiés contiennent également tous les liens et instructions nécessaires pour installer les mises à jour ou correctifs liés à la sécurité.
