Centre de sécurité Robustel
Solutions IoT sécurisées dès leur conception, conçues dans le respect des normes mondiales en matière de cybersécurité.
Les appareils connectés sont naturellement confrontés à des défis en matière de cybersécurité qui nécessitent des mesures de protection robustes. Chez Robustel, la sécurité est intégrée dans le matériel, les micrologiciels et les services cloud, de la conception à l'exploitation. Ce centre de sécurité présente nos normes, nos tests et nos pratiques de mise à jour : développement sécurisé dès la conception, communications cryptées, authentification forte, configurations renforcées et gestion de flotte via RCMS. Notre programme est conforme aux normes CRA, NIS2, ISO/IEC 27001 et IEC 62443. Nous effectuons des tests de sécurité continus, mettons en œuvre un processus coordonné de divulgation des vulnérabilités et fournissons des mises à jour logicielles et micrologicielles en temps opportun. Il en résulte une assurance de niveau entreprise à laquelle vous pouvez vous fier à grande échelle. Découvrez ci-dessous les ressources, l'état actuel des certifications et les canaux de signalement.
Vidéo « Quick Pitch » sur la cybersécurité de Robustel
- Un processus de développement sécurisé certifié (IEC 62443-4-1) régit la manière dont nous concevons, fabriquons et testons nos produits.
- Les tests de pénétration indépendants récurrents couvrent RobustOS, RobustOS Pro et RCMS ; les résumés exécutifs sont disponibles sous NDA.
- RCMS fonctionne sur Microsoft Azure avec des contrôles documentés pour l'identité, la protection des données et les opérations ; un dossier de preuves est disponible sur demande.
- Certification sectorielle là où cela compte, par exemple la certification CEI 61162-460 pour les réseaux de passerelles maritimes.
- Gestion claire des vulnérabilités : réception et évaluation CVSS, corrections, avis publics (avec CVE le cas échéant) et cadence de mise à jour prévisible.
En résumé, Robustel est un fournisseur que vous pouvez auditer, une plateforme à laquelle vous pouvez faire confiance et l'outil idéal pour vos équipes chargées de la gestion des risques et de la conformité.
Normes de sécurité mondiales auxquelles Robustel se conforme :
ISO/IEC 27001
Système de gestion de la sécurité de l'information (SGSI)
Cadre basé sur les risques pour gérer la sécurité de l'information à travers les personnes, les processus et les technologies.
IEC 62443-4-1
Exigences relatives au cycle de vie sécurisé du développement des produits
Processus pour la conception, la mise en œuvre, les tests, la mise en service et la maintenance sécurisés des produits industriels.
CRA de l'UE
Loi sur la cyber-résilience
Sécurité dès la conception, gestion des vulnérabilités et obligations de mise à jour tout au long du cycle de vie pour les produits comportant des éléments numériques.
NIS2
Directive sur la sécurité des réseaux et de l'information 2
Attentes accrues en matière de cybersécurité et de chaîne d'approvisionnement pour les entités essentielles/importantes ; soutien des fournisseurs pour la gestion des risques
EN 18031
Exigences communes de sécurité pour les équipements radioélectriques (Parties 1 à 3)
Normes RED en matière de cybersécurité couvrant les appareils connectés à Internet, la confidentialité et la fraude
EUCC
Système de certification de cybersécurité de l'UE (basé sur les critères communs)
Certification européenne dérivée des Critères communs avec des niveaux d'assurance définis.
PSTI britannique
Loi sur la sécurité des produits et les infrastructures de télécommunications
Protections de base pour l'IoT grand public (identifiants uniques, transparence des politiques de mise à jour, rapports), conformes à la norme ETSI EN 303 645.
IEC 61162-460
Navigation maritime et radiocommunications — Interconnexion (sûreté et sécurité)
Réseaux embarqués sécurisés et hautement intégrés (par exemple, passerelle/VDR) avec des mesures de sécurité et des tests définis.
IACS UR E26/E27
Cyber-résilience des navires et
des systèmes embarqués (exigences unifiées)
Règles de classe pour la cyber-résilience des navires (E26) et les systèmes/équipements embarqués (E27) ; soutient l'homologation de type.
Signalement et réponse aux vulnérabilités
Politique de divulgation des vulnérabilités (VDP)
Robustel s'engage à garantir la sécurité et la résilience de ses produits et services. Notre politique de divulgation des vulnérabilités (VDP) invite les chercheurs, les clients et les partenaires à signaler les problèmes de manière responsable afin que nous puissions atténuer rapidement les risques. La politique ci-dessous explique comment signaler une vulnérabilité potentielle et comment nous y répondons.
Portée
Ce VDP couvre tous les produits, micrologiciels et services Robustel officiellement commercialisés, ainsi que les applications Web hébergées sous nos domaines officiels. Il ne couvre pas les services tiers échappant à notre contrôle, les tentatives d'ingénierie sociale visant notre personnel, nos partenaires ou nos clients, ni les attaques physiques contre nos biens ou nos installations.
Signaler une vulnérabilité
Si vous découvrez un problème de sécurité potentiel, veuillez utiliser notre formulaire de rapport de sécurité. Indiquez le nom et la version du produit ou du service, une description claire du problème et, si possible, une preuve de concept ou les étapes permettant de reproduire le problème. Veuillez éviter de partager des données clients réelles ; il est préférable de fournir des journaux et des captures d'écran expurgés.
Nos engagements
Nous accuserons réception de votre rapport dans un délai de 7 jours calendaires et notre équipe de sécurité enquêtera et validera le problème. Pour les vulnérabilités critiques confirmées, nous nous efforçons de les corriger ou de les atténuer dans un délai de 90 jours, ou de fournir des mesures de protection provisoires lorsque la correction complète nécessite plus de temps. Nous vous tiendrons informé de l'état d'avancement dans la mesure du possible et, avec votre consentement, nous vous citerons dans l'avis public lorsque le problème sera divulgué.
Processus de réponse aux vulnérabilités de Robustel
Signalez les vulnérabilités par e-mail ou via le formulaire. Nous vous répondrons dans les 7 jours et attribuerons un identifiant.
Comment nous testons pour que vous puissiez déployer en toute confiance :
La sécurité à la périphérie est trop importante pour être laissée au hasard. Cette section montre, étape par étape, comment Robustel teste ses produits avant qu'ils n'atteignent votre réseau, en transformant les exigences et les modèles de menaces en tests réels, en validant les corrections et en prouvant les résultats grâce à des tests de pénétration indépendants et des avis clairs. Le résultat pour vous : moins de surprises sur le terrain, des approbations plus rapides avec les services informatiques et de conformité, et une plateforme fiable à grande échelle.
1. Test des exigences de sécurité
Avant toute mise en production, nous vérifions que la sécurité est conçue, mise en œuvre et stable dans des conditions de charge de travail réelles. Les équipes testent les fonctions de sécurité essentielles, les performances et l'évolutivité, les conditions limites, les entrées mal formées et les limites de confiance afin que les contrôles fonctionnent dans des conditions difficiles, et pas seulement en laboratoire.
2. Validation de la modélisation des menaces
Nous transformons le modèle de menace en action. Pour chaque menace identifiée, nous testons l'efficacité des mesures d'atténuation, puis nous essayons de la neutraliser en utilisant les mêmes techniques qu'un pirate informatique.
3. Découverte d'
s sur les vulnérabilités
Nous recherchons les faiblesses comme le font les pirates informatiques. Le fuzzing automatisé et manuel, l'abus de protocoles et les scénarios à forte charge testent chaque interface externe, tandis qu'un examen de la surface d'attaque permet de détecter les ACL faibles, les ports exposés et les services fonctionnant avec des privilèges inutiles.
4. Tests de pénétration indépendants
Une équipe externe effectue des tests de type « boîte noire » selon un calendrier récurrent et à des étapes clés du projet, ce qui laisse le temps de corriger et de retester. Les résultats sont classés par ordre de priorité, atténués et vérifiés avant leur diffusion à grande échelle.
5. Documentation et évaluation des problèmes
Chaque problème confirmé est enregistré avec l'heure, le lieu, l'étendue et les étapes de reproduction fiables. Nous analysons la cause profonde et l'impact sur l'utilisateur, attribuons un niveau de gravité et classons les corrections par ordre de priorité afin que les risques les plus importants soient traités en premier.
6. Remédiation et vérification
Les corrections suivent un plan et un calendrier. Les modifications du code sont soumises à un contrôle de sécurité, le service d'assurance qualité vérifie leur efficacité et nous réexécutons les tests de sécurité pertinents afin de nous assurer que le problème est résolu sans en créer de nouveaux.
7. Publication et divulgation responsable
Nous choisissons le bon processus de publication : normal, intermédiaire ou d'urgence. Les notes de sécurité et les conseils de déploiement sont mis à jour, et lorsque la divulgation est appropriée, nous publions des avis avec des mesures d'atténuation et des calendriers. Une surveillance post-publication confirme la stabilité sur le terrain.
8. Amélioration continue de l'
Nous apprenons à partir de modèles. Les tendances observées dans les résultats façonnent les exigences futures, les méthodes de test et la formation. Les modèles de menaces sont mis à jour à mesure que les fonctionnalités évoluent, afin que la conception de la sécurité reste alignée sur le produit.
