Sécurité de l'information chez Fresenius Kabi

Chez Fresenius Kabi, nous savons que la sécurité des informations est importante pour nos clients, nos patients et nos partenaires commerciaux. Nous nous engageons à maintenir la sécurité des informations par une gestion responsable, une utilisation appropriée et une protection conforme aux exigences légales et réglementaires.

 

Organisation de la sécurité de l'information

Nous avons publié une politique de cybersécurité décrivant les rôles et les responsabilités en matière de cybersécurité qui sont définis au sein de notre organisation.

Notre équipe de sécurité se concentre sur la sécurité de l'information, l'audit de sécurité global et la conformité, ainsi que sur la définition des contrôles de sécurité pour la protection du matériel et de l'infrastructure de Fresenius Kabi. L'équipe de sécurité reçoit régulièrement des notifications relatives à la sécurité des systèmes d'information et distribue régulièrement des alertes et des conseils de sécurité à l'ensemble de l'organisation.

Modèle de capacité de sécurité de l'information

Nous avons adopté un modèle de capacité de sécurité de l'information basé sur les contrôles de sécurité critiques (CIS 18), qui est complété par d'autres mesures de sécurité basées sur les meilleures pratiques de l'industrie. Cela nous permet de maintenir une approche holistique de la conformité en matière de sécurité.  En outre, des évaluations périodiques de la maturité de nos capacités de sécurité sont régulièrement effectuées et les résultats sont communiqués à la direction de Fresenius Kabi.

Gestion de la conformité de la sécurité

Nous sommes en train de développer un ensemble de règles alignées sur les exigences de base du Groupe Fresenius, un catalogue de contrôle interne à l'échelle du Groupe Fresenius en accord avec les meilleures pratiques de l'industrie.

Fresenius Kabi dispose d'un programme d'audit interne formel, mis en œuvre pour garantir la conformité avec nos politiques internes et les lois et réglementations pertinentes en matière de cybersécurité.

Gestion sécurisée des données

Nous avons mis en place un processus de classification des données afin d'appliquer les mesures de sécurité appropriées pour protéger les données de nos clients, patients et partenaires commerciaux.

Nous cryptons les données sensibles en transit et au repos lorsque cela est possible et pratique.

Gestion du contrôle d'accès

Nous avons défini des exigences en matière de gestion des accès pour l'octroi, la gestion et la révocation de l'accès des utilisateurs. Des contrôles d'accès basés sur les rôles sont mis en œuvre pour l'accès aux systèmes d'information de Fresenius Kabi.

Les contrôles d'accès aux données sensibles dans nos bases de données, nos systèmes et nos environnements sont fondés sur le principe du besoin d'en connaître. En outre, nous n'accordons des autorisations d'accès que selon le principe du moindre privilège.

Les utilisateurs des systèmes d'information se voient attribuer des comptes d'utilisateur et des mots de passe uniques, les exigences en matière de mots de passe sont définies et appliquées.

Nous limitons les privilèges d'administrateur aux comptes d'administrateur dédiés.

Un logiciel de réseau privé virtuel (VPN) est fourni à nos utilisateurs pour leur permettre d'accéder à distance, en toute sécurité et via Internet, à des systèmes clés. Nous exigeons également une authentification multifactorielle pour l'accès au réseau à distance.

Gestion des vulnérabilités et des correctifs

Nous nous efforçons d'appliquer les derniers correctifs et mises à jour de sécurité aux systèmes d'exploitation, aux terminaux et à l'infrastructure du réseau afin de réduire l'exposition aux vulnérabilités.

Un processus de gestion des correctifs est en place pour mettre en œuvre les mises à jour des correctifs de sécurité au fur et à mesure de leur publication par les fournisseurs.

Nous procédons à des analyses périodiques des actifs exposés à l'extérieur et des actifs internes.

Test de pénétration

Nous avons mis en place des procédures pour évaluer et corriger les vulnérabilités découvertes lors des tests de pénétration semestriels effectués par notre partenaire qualifié et indépendant Cobalt Labs Inc.

Gestion des réponses aux incidents

Nous disposons d'un plan formalisé de réponse aux incidents et de procédures associées qui sont déclenchées en cas d'incident de sécurité. Le plan de réponse aux incidents définit les responsabilités du personnel clé et identifie les processus et procédures de notification et d'escalade. Le personnel chargé de la réponse aux incidents est formé et l'exécution du plan de réponse aux incidents est testée périodiquement.  

Nous suivons le processus de réponse aux incidents de la SANS, un cadre standard de l'industrie pour la réponse aux incidents, afin de préparer, d'identifier, de prévenir, de détecter et de répondre aux incidents de sécurité. Nous sommes soutenus dans cette démarche par l'équipe d'intervention d'urgence de Fresenius en matière de cybersécurité (CERT).

Protection des points de terminaison

Nos points de terminaison sont équipés d'une solution antivirus gérée de manière centralisée afin de garantir que les dernières définitions de virus sont toujours disponibles sur les points de terminaison et que des politiques de sécurité cohérentes sont appliquées sur tous les es points de terminaison.

Tous les ordinateurs portables sont entièrement cryptés et les clés sont gérées dans un coffre-fort.

Nous avons configuré le verrouillage automatique des sessions sur les actifs de l'entreprise après une période d'inactivité définie.

Les appareils mobiles sont soumis à un système de gestion des appareils mobiles et l'accès n'est autorisé qu'à partir d'appareils configurés conformément à notre politique de sécurité. Cette politique de sécurité exige la saisie d'un code pour accéder à l'appareil et permet l'effacement à distance en cas de perte ou de vol.

Sécurité du réseau et du courrier électronique

Nous effectuons le filtrage du trafic entre les segments du réseau.

Seuls les réseaux sans fil gérés par Fresenius Kabi sont autorisés dans notre environnement. Les contrôles de sécurité de l'accès sans fil comprennent la séparation de l'accès de l'entreprise et de l'accès des invités, ainsi que la rotation des clés sans fil.

Nous avons déployé une solution qui met régulièrement à jour un logiciel de filtrage d'URL, qui bloque l'accès à des sites web inappropriés à partir de son réseau.

Nos passerelles de messagerie agissent comme des barrières qui filtrent le trafic malveillant, stoppent le phishing et n'autorisent que les communications authentiques.

Enregistrement & surveillance

Les journaux des systèmes d'application et d'infrastructure sont stockés à des fins de dépannage, d'examen de la sécurité et d'analyse par le personnel autorisé. Les journaux sont conservés conformément aux exigences réglementaires.

L'alerte centralisée sur les événements de sécurité à travers les actifs de l'entreprise pour la corrélation et l'analyse des journaux est mise en œuvre. Une plateforme d'analyse des journaux configurée avec des alertes de corrélation pertinentes pour la sécurité satisfait également à cette garantie.

Formation et sensibilisation des employés

Les employés de Fresenius Kabi sont tenus de participer à une formation de sensibilisation à la cybersécurité. À cette fin, nous proposons différents formats pour présenter le thème de la cybersécurité et le rendre simple à comprendre. Notre slogan est « La cybersécurité est un sport d'équipe » et dans cet esprit, nous nous efforçons régulièrement d'inspirer nos employés avec diverses campagnes de sensibilisation, des articles d'actualité et des articles de blog sur le thème de la sécurité afin qu'ils deviennent un membre actif de la stratégie de défense de notre entreprise.

Dans le cadre de notre programme de sensibilisation de sécurité, chaque personne ayant accès à nos systèmes informatiques reçoit chaque trimestre des tests de simulation d'hameçonnage. Les campagnes trimestrielles soutiennent la sensibilisation à la sécurité en augmentant les connaissances et la vigilance de chacun à l'égard des courriels d'hameçonnage.

Sécurité physique

Des contrôles d'accès physiques sont mis en place dans nos bureaux. Ces contrôles comprennent la sécurité des bâtiments et l'accès sécurisé aux locaux de Fresenius Kabi. L'accès aux bureaux et aux usines de production de Fresenius Kabi se fait par carte de proximité. Il existe des procédures définies pour le contrôle de l'accès des visiteurs, qui exigent que tous les visiteurs se présentent à la réception.