Tous nos dispositifs électroniques sont conçus, testés et fabriqués aux États-Unis, dans des installations que nous possédons et exploitons.
Nous examinons et testons minutieusement le code qui entre dans nos produits. Le code source est contrôlé en permanence pour détecter les nouvelles menaces, et nous fournissons des bulletins de cybersécurité et des mises à jour pendant toute la durée de vie de chaque dispositif que nous fabriquons.
Nous participons également à des initiatives gouvernementales et sectorielles et à des activités d'élaboration de normes (par exemple, nous utilisons le cadre de cybersécurité du NIST afin de nous tenir au courant des meilleures pratiques actuelles et de rester en phase avec l'évolution des demandes de nos clients.
Conscients que notre chaîne d'approvisionnement fait partie de votre chaîne d'approvisionnement, nous partageons également les processus et les meilleures pratiques de gestion de la chaîne d'approvisionnement que nous suivons. Nos équipes chargées de la cybersécurité et de la sécurité des opérations sont également disponibles pour vous conseiller sur la mise en conformité avec les normes de gestion de la chaîne d'approvisionnement CIP du NERC.
Une approche en cinq parties de la sécurité de la chaîne d'approvisionnement
La chaîne d'approvisionnement de SEL est mondiale et complexe, ce qui nécessite une approche systématique et complète de la gestion des risques afin de garantir la qualité, la cybersécurité et la disponibilité fiable de tous les composants critiques de nos produits.
Nous espérons que la description des processus et des meilleures pratiques que nous suivons pour garantir la sécurité de la chaîne d'approvisionnement vous fournira des informations utiles pour vos propres initiatives en matière de cybersécurité et de conformité.
Partie 1 :
Constituer des réseaux d'approvisionnement de confiance
Chez SEL, la sélection des fournisseurs est un travail d'équipe entre nos groupes de développement de produits, de qualité et d'achat. De même, des équipes ayant des domaines d'expertise complémentaires travaillent ensemble sur la sélection des composants, la surveillance continue des fournisseurs et des pièces, et les audits des fournisseurs sur site.
Nous utilisons un système de notation des fournisseurs qui évalue chaque fournisseur en fonction du prix, de la qualité, des caractéristiques, de l'innovation, de la livraison et du service. Pour parvenir à cette notation, nous évaluons plusieurs domaines de risque :
- Sites de production
- Délais de livraison des matériaux
- Santé financière
- Méthodes de réapprovisionnement
- Type de technologie
- Respect des délais de livraison
Pour garantir la sécurité de la livraison de nos produits à nos clients, nous appliquons les mêmes processus de qualification des fournisseurs à nos fournisseurs de transport et d'expédition.
Favoriser les partenariats avec les fournisseurs
Nous organisons chaque année une conférence pour les fournisseurs qui nous approvisionnent en éléments constitutifs, en équipements et en services. Au cours de cet évènement, nous partageons nos besoins techniques et nos objectifs stratégiques pour l'année à venir avec plus de 200 fournisseurs et identifions les moyens d'améliorer mutuellement notre partenariat.
Nous établissons également des relations avec nos fournisseurs en effectuant des audits sur place pour vérifier que leurs processus de qualité et de sécurité répondent à nos exigences.
Il ne suffit pas de connaître nos fournisseurs de premier rang. Nous leur demandons de recenser leurs fournisseurs de premier rang ainsi que les principaux risques, les stratégies d'atténuation et les méthodes de réapprovisionnement.
Confidentialité
Afin de préserver la sécurité des informations sur les produits et les pièces pour SEL et nos vendeurs, nous ne partageons pas nos nomenclatures ni n'envoyons de schémas de conception. Nous fournissons des prévisions en utilisant des numéros de pièces qui n'ont aucun rapport avec le produit.
Partie 2 :
Assurer l'intégrité et la disponibilité des composants.
Pour garantir l'intégrité de nos produits, nous nous procurons les composants directement auprès du fabricant ou des distributeurs officiels dans la mesure du possible. Nous vérifions ensuite les performances des composants achetés par rapport aux spécifications des produits des fournisseurs.
Si les composants doivent être achetés auprès de distributeurs indépendants, nous utilisons plusieurs méthodes pour déceler les produits contrefaits, notamment des tests fonctionnels et des inspections microscopiques, par rayons X, par fluorescence X et par décapsulation.
Nous testons constamment nos produits tout au long du processus de fabrication. Si des variations de performance sont constatées, nous nous efforçons de comprendre la cause profonde de la divergence.
Réduire au minimum l'incidence des perturbations
En tant qu'entreprise américaine, nous nous approvisionnons en matériaux provenant des États-Unis dans la mesure du possible.
Nous travaillons avec les fournisseurs pour nous assurer que nous et eux conservons un stock suffisant de pièces spécialisées et à risque. Dans la mesure du possible, nous veillons à ce que les composants critiques puissent être obtenus auprès d'au moins deux fournisseurs qualifiés.
Partie 3 :
Vérifier la sécurité du logiciel et du micrologiciel.
Nous ne partageons pas le code source ou les schémas.
Nous concevons la plupart du logiciel en interne, ce qui nous permet de contrôler la qualité et d'apporter des améliorations rapides. Si nous utilisons des composants tiers dans notre micrologiciel, nous acquérons le code source.
L'accès au code n'est autorisé qu'aux ingénieurs R&D de SEL travaillant sur ces projets.
Des tests internes rigoureux
Tous les tests de logiciel et de micrologiciel sont effectués sur place, chez SEL, par des employés de SEL.
Nous disposons d'un processus robuste qui comprend des examens par des collègues développeurs et des tests positifs et négatifs. Nous utilisons également des outils automatisés pour inspecter le code afin d'identifier les problèmes potentiels que les développeurs auraient pu manquer.
Signatures numériques SEL et hachages de micrologiciel
Un logiciel signé numériquement vous permet de vérifier que les fichiers du logiciel sont authentiques, produits par SEL, et qu'ils n'ont pas été modifiés ou altérés.
Les produits matériels SEL vérifient de manière transparente l'intégrité des fichiers du micrologiciel pendant le processus de mise à niveau du micrologiciel en utilisant des données intégrées au micrologiciel. En cas de non-concordance, le dispositif SEL rejette le fichier du micrologiciel et interrompt la mise à niveau.
Nous fournissons des hachages de micrologiciel comme outil supplémentaire pour vérifier l'intégrité des fichiers du micrologiciel SEL.
Partie 4 :
Protéger les opérations et contrôler les accès.
La sécurité de l'information et la sécurité physique de SEL sont superposées et conformes aux normes internationales reconnues. Cela garantit que tous les dispositifs et services de SEL sont fournis de manière sécurisée et que toutes les données confiées à SEL sont protégées.
Protection de l'information
Nous protégeons les informations relatives aux clients tant dans nos systèmes commerciaux que lors des activités d'assistance. Il s'agit notamment de sécuriser les informations relatives aux clients dans les produits retournés pour réparation.
Lorsqu'un accès à distance est nécessaire pour le soutien technique, nous utilisons un système de suivi et de notification pour documenter et coordonner le contrôle de cet accès. Nous compartimentons les projets et limitons l'accès aux informations en interne à ceux qui ont besoin de les connaître.
Lorsque nous repérons un incident affectant les informations des clients, nous en informons les personnes concernées et offrons une assistance complète pour la réponse à l'incident.
Protection des opérations
Tous les employés de SEL sont soumis à des vérifications exhaustives de leurs antécédents avant leur embauche. Les systèmes de sécurité physique et de l'information de SEL sont surveillés et pris en charge par un centre d'opérations de sécurité dont le personnel est composé d'employés de SEL 24 heures sur 24 et 7 jours sur 7. Nos équipes parcourent un large éventail de flux de renseignements publics et privés pour détecter et analyser les menaces potentielles.
Nous allons également au-delà des normes pour renforcer la cybersécurité ; par exemple, nous avons mis en œuvre un réseau défini par logiciel dans nos activités de fabrication afin d'éliminer plusieurs vulnérabilités courantes du réseau.
Partie 5 :
Surveiller les vulnérabilités en matière de qualité et de sécurité.
Notre système de gestion de la qualité est certifié conforme à la norme ISO 9001 et nos processus de fabrication sont conformes à la norme de fabrication IPC-A-610 Classe 3 pour les produits nécessitant une grande fiabilité, tels que ceux utilisés dans les systèmes de survie et les systèmes aérospatiaux.
Nous tenons des registres détaillés des produits que nous fabriquons et des composants qu'ils contiennent, afin de pouvoir informer nos clients de tout problème potentiel de qualité ou de sécurité.
Bulletins de service et de sécurité
Lorsque nous identifions un problème lié à un produit qui présente un risque, nous informons les clients concernés au moyen d'un bulletin de service. Nous distribuons les bulletins de service à la fois directement et par l'intermédiaire de notre force de vente.
Les bulletins de service comprennent une explication du problème identifié ainsi que la cause profonde, l'incidence, le taux de défaut observé, les actions correctives et les solutions de maintenance recommandées.
Lorsqu'une vulnérabilité de sécurité est identifiée, notre équipe élabore rapidement des mesures correctives et informe les clients de la vulnérabilité et des actions suggérées dans un bulletin de service.
Déterminer la cause profonde
Nous offrons une garantie de réparation ou de remplacement de dix ans sans frais sur tous les produits fabriqués par SEL, ce qui encourage nos clients à nous retourner les produits lorsqu'ils tombent en panne.
Notre équipe « Product Hospital » examine les produits retournés pour trouver la cause profonde de la défaillance ; chaque retour sous garantie nous aide à améliorer nos processus de conception, de fabrication et d'approvisionnement.