KONE met en œuvre des mesures techniques et organisationnelles afin de protéger ses solutions, ses réseaux, ses équipements et ses informations contre tout accès non autorisé ou toute utilisation frauduleuse, et de garantir la confidentialité, l'intégrité et la disponibilité des informations.
Gouvernance : KONE dispose d'une gouvernance de la sécurité axée sur l'activité ainsi que d'un système de gestion de la sécurité défini, comprenant des politiques, des processus, des lignes directrices ainsi que des indicateurs de suivi et de mesure permettant de suivre les performances en matière de sécurité dans l'ensemble des activités de KONE.
Gestion des actifs : KONE tient un inventaire des ressources technologiques, telles que les applications, les plateformes, les serveurs, les postes de travail et les appareils mobiles. Cet inventaire couvre le cycle de vie des ressources, leur propriétaire et leur niveau de criticité. Les ressources sont éliminées de manière sûre et durable.
Protection des informations : KONE utilise un système de classification des informations afin de garantir que celles-ci soient protégées en fonction de leur importance. Les mesures de protection comprennent des contrôles d'accès, le chiffrement, le masquage des données, etc.
Gestion des identités et des accès : Les contrôles IAM de KONE permettent aux bonnes personnes d'accéder aux bonnes ressources, au bon moment et pour les bonnes raisons. Tous les employés, prestataires externes et clients de KONE disposent d'un identifiant unique permettant de les distinguer des autres utilisateurs. Les identifiants utilisateur doivent provenir de systèmes de données de référence identifiés et avoir un cycle de vie.
Sécurité des applications : Le cycle de vie de développement sécurisé de KONE garantit que les exigences en matière de sécurité des applications sont identifiées dès le début du cycle de vie.
Sécurité des systèmes et des réseaux : Le trafic Internet sortant sur le réseau KONE est sécurisé par une solution proxy basée sur le cloud, des pare-feu locaux sur les sites de grande taille et/ou des pare-feu centraux aux nœuds régionaux.
Configuration sécurisée : KONE exige que le matériel, les logiciels, les services et les configurations réseau soient renforcés conformément aux meilleures pratiques de sécurité, par exemple en utilisant les benchmarks du Center of Internet Security (CIS).
Gestion des menaces et des vulnérabilités : Le processus de gestion des vulnérabilités de KONE définit la manière dont les vulnérabilités sont identifiées, corrigées et signalées. KONE utilise un système centralisé de gestion des vulnérabilités (CVMS) pour traiter les informations sur les vulnérabilités provenant de différentes sources. Des analyses régulières des vulnérabilités couvrent les services connectés à Internet et l'infrastructure. Des tests d'intrusion sont effectués au cas par cas pour les solutions prioritaires, y compris les appareils IoT.
Gestion des événements de sécurité de l'information : Le Centre des opérations de sécurité (SOC) de KONE surveille les journaux du système de gestion des informations et des événements de sécurité (SIEM), analyse les événements, détecte les incidents de sécurité et y réagit. Le SOC fonctionne 24 heures sur 24, 7 jours sur 7.
Sécurité des ressources humaines : Des vérifications de références et d'autres vérifications d'antécédents sont effectuées afin de s'assurer que le candidat est qualifié et apte à occuper le poste pour lequel il est envisagé. Tous les employés participent à des formations régulières en cybersécurité, adaptées à leur rôle.
Sécurité physique : Les sites KONE sont classés sur la base d'une évaluation des risques. Cette classification définit les exigences minimales en matière de sécurité physique qui doivent être mises en œuvre sur le site. Tous les sites KONE disposent de périmètres de sécurité physiques et de contrôles d'accès physiques.
Sécurité dans les relations avec les fournisseurs : KONE dispose d'un modèle de segmentation des fournisseurs global et uniforme qui inclut l'évaluation du profil de risque cybernétique des fournisseurs. Sur la base du profil de cybersécurité du fournisseur, KONE définit des exigences de sécurité contraignantes.
Droit et conformité : KONE surveille les exigences juridiques, légales, réglementaires et contractuelles qui ont une incidence sur KONE et sur les produits et services proposés à nos clients. KONE participe activement aux travaux de normalisation du secteur, tels que la norme ISO 8102-20:2022 Exigences électriques relatives aux ascenseurs, escaliers mécaniques et trottoirs roulants – Partie 20 : Cybersécurité.
Continuité : Les analyses d'impact sur les activités (Business Impact Assessments) de KONE définissent les exigences en matière d'objectifs de temps de reprise (RTO) et d'objectifs de point de reprise (RPO). Les solutions à haut niveau de criticité nécessitent un plan de reprise après sinistre (DRP) documenté, qui fait l'objet d'exercices réguliers. KONE a défini des exigences en matière de gestion des sauvegardes et de gestion des capacités qui soutiennent ses objectifs de continuité.
Garantie de la sécurité de l'information : KONE dispose d'un programme annuel d'audits internes de sécurité, ainsi que d'un processus à l'échelle de l'entreprise et d'un système de gestion des mesures correctives. KONE est certifiée selon la norme CEI 62443-4-1 pour un cycle de vie de développement sécurisé. Des audits et des contrôles de sécurité externes sont effectués régulièrement.
