Programme de cybersécurité et de protection des données
Mirion se conformera aux obligations légales et réglementaires mutuellement convenues qui s'appliquent à Mirion. Cependant, Mirion n’assume aucune obligation de faire en sorte qu’un client respecte les obligations légales et réglementaires qui peuvent s’appliquer au client.
Aperçu du programme de sécurité de l'information
Mirion a mis en place un programme centralisé de sécurité de l’information qui découle de la politique d’entreprise de Mirion et qui est pris en charge celle-ci. Le programme de sécurité de l’information de Mirion vise à s’aligner sur la famille de normes ISO 27000 en tant que norme d’entreprise, mais utilise également d’autres normes et contrôles selon les besoins. Par exemple y figurent les contrôles de l’annexe A de la norme ISO 27001, les contrôles NIST, SOC 2 et les pratiques NSNC Cyber Essentials.
Catégorie des contrôles organisationnels
- Politiques et procédures de cybersécurité
- Le programme de sécurité de l’information de Mirion contient des politiques et des procédures d'entreprise spécifiques qui définissent des objectifs, des exigences et des fonctions de sécurité. Les domaines couverts par ces politiques comprennent l’utilisation acceptable des actifs informationnels, la conservation et la sauvegarde des données, ainsi que la détection de cybersécurité et la réponse aux incidents.
- Audits de tierce partie
- Notre organisation fait appel à des évaluations indépendantes de tierces parties pour tester les contrôles de sécurité et de conformité de produits et services spécifiques.
- Tests d'intrusion de tierce partie
- Mirion effectue tous les ans des tests d'intrusion de tierces parties indépendantes au niveau de l’entreprise pour identifier et réduire les vulnérabilités exploitables. Certains produits Mirion sont également soumis à des tests d'intrusion supplémentaires de façon périodique.
- Rôles et responsabilités
- Les rôles et responsabilités relatifs à notre programme de sécurité de l’information et à la protection des données de nos clients sont définis et documentés.
- Principe du moindre privilège appliqué au contrôle d'accès
- Mirion suit le principe de moindre privilège en matière de gestion de l’identification et de l’accès.
- Évaluations trimestrielles des accès
- Mirion effectue des évaluations trimestrielles des accès privilégiés.
- Exigences de mot de passe
- La politique de Mirion établit des exigences en matière de complexité minimale des mots de passe. Les mots de passe doivent respecter un ensemble minimal d’exigences et de complexité pour l’accès.
- Récupération après sinistre
- Mirion conserve des sauvegardes et des plans de restauration conformément aux politiques internes et a mis en place un plan de récupération après sinistre qui couvre les systèmes et les données critiques.
- Gestion des risques des fournisseurs
- Mirion cybersecurity effectue des évaluations périodiques de fournisseurs tiers pour détecter les risques de cybersécurité. Les évaluations comprennent l’analyse de rapports d’audit indépendants (par exemple, SOC 2, certification ISO) et l’analyse de l’architecture de sécurité et des facteurs d’intégration.
Catégorie de contrôle des personnes
- Formation de sensibilisation à la sécurité
- Mirion demande à ses employés, consultants et entrepreneurs de suivre une formation annuelle de sensibilisation à la cybersécurité couvrant les pratiques standard de l’industrie et les sujets de sécurité de l’information tels que le phishing et la gestion des mots de passe. Mirion complète la formation annuelle avec des activités supplémentaires telles que des simulations d’attaque, des campagnes de sensibilisation physique sur site et des formations spécifiques à un sujet améliorées.
- Confidentialité
- Tous les employés sont tenus de signer et de respecter un accord de confidentialité standard de l’industrie avant leur première journée de travail.
- Vérification des antécédents
- Mirion effectue des vérifications d'antécédents de tous les employés, en accord avec les lois locales.
Catégorie de contrôle physique
- Contrôles d’accès physiques
- Mirion utilise des préposés, des verrous et des cartes d’identification pour limiter l’accès physique aux installations où se trouvent les systèmes d’information.
- Surveillance physique de l’accès
- Mirion utilise des préposés, des systèmes de surveillance, des alarmes et des cartes d’identification programmables pour surveiller l’accès physique aux zones réglementées.
Catégorie de contrôle technologique
- Sécurité de l’infrastructure
- Mirion utilise une combinaison d’hébergement sur site, d’hébergement cloud IaaS et d’hébergement SaaS pour divers services. Les décisions d’hébergement sont prises en fonction des exigences techniques, des besoins opérationnels et des exigences de conformité des données.
- Technologies de cryptage
- Mirion déploie des technologies pour crypter les données en transit et au repos.
- Filtrage des e-mails
- Mirion déploie plusieurs outils de filtrage des e-mails pour éviter toute interaction avec des e-mails malveillants.
- Surveillance de la cybersécurité
- Mirion utilise une solution de détection et de réponse étendue (XDR) pour collecter des données de télémétrie et surveiller les systèmes d’information contrôlée de Mirion. La surveillance de Mirion est menée 24h sur 24, 7 jours sur 7, toute l'année et utilise un SIEM pour corréler la télémétrie provenant de divers types de systèmes de point terminal et de réseau.
- Analyse des vulnérabilités
- Mirion utilise plusieurs solutions de détection et d’analyse des vulnérabilités de pointe pour identifier et traiter les vulnérabilités. Les vulnérabilités sont traitées à l’aide d’une méthodologie basée sur les risques qui cible en priorité les vulnérabilités les plus élevées.
- Réponse aux incidents
- Mirion dispose d’un plan de réponse aux incidents écrit et d’une équipe dédiée avec des analystes certifiés GCIH qui le suivent pendant leur enquête.
- Chasse aux menaces
- Mirion a mandaté une entreprise tierce pour effectuer des chasses aux menaces tous les mois. Les analystes de Mirion cybersecurity effectuent également des activités de chasse aux menaces supplémentaires pendant les interruptions du système et entre les actions d’enquête.
- Autorisations et authentification
- Mirion utilise un service d'annuaire pour prendre en charge l’authentification et le contrôle d’accès. L’accès à l’infrastructure et à d’autres outils sensibles est limité aux employés autorisés qui en ont besoin pour leur rôle.
- Authentification multifacteur
- L’accès au réseau de Mirion nécessite une authentification multifacteur. Mirion est en train de déployer l’authentification multifacteur et des capacités de fédération basées sur SAML sur d'autres produits.
- Application de la complexité des mots de passe
- Lorsque cela est techniquement possible, les exigences en matière de complexité de mot de passe sont appliquées par nos systèmes d’authentification. Mirion utilise également un gestionnaire de mots de passe d’entreprise pour stocker les mots de passe personnels et partagés.