Sécurité des produits Lenovo - Notre processus de sécurité

Notre processus de sécurité

Notre processus de sécurité

 

Chaîne dapprovisionnement des produits

APERÇU
Processus de développement
Fournisseur 
GESTION ET CONTRÔLE
Risque
GESTION
FABRICATION SÉCURISÉE
SÉCURISER
Logistique
GESTION DU CYCLE DE VIE

La chaîne d’approvisionnement des produits de Lenovo a été reconnue comme faisant partie du classement des 25 meilleures selon Gartner durant les trois dernières années. Elle joue un rôle essentiel dans le développement, la fabrication et la livraison de nos produits. La chaîne d’approvisionnement commence par la gestion et le contrôle d’une base de fournisseurs qualifiés, qui fournissent des composants qualifiés et sécurisés utilisés dans le développement et la fabrication.

Des composants essentiels et volumineux sont suivis par des codes à barre et contrôlés dans l’inventaire et le processus d’assemblage du fournisseur jusqu’à leur réception chez Lenovo. La fabrication a lieu dans un environnement sécurisé et contrôlé, composé d’une installation physique sécurisée et d’un réseau sécurisé. Les produits terminés sont ensuite emballés avec des témoins d’inviolabilité pour boîtes et palettes. Les expéditions sont ensuite suivies, du point d’origine jusqu’à la livraison au client.

Le schéma ci-dessous indique le cycle de vie complet du produit. La chaîne d’approvisionnement comprend les zones identifiées comme des fournisseurs, ainsi que la fabrication et les tests de Lenovo.

En outre, un travail technique est nécessaire pour assister le produit pendant toute sa durée de vie. Une fois que le produit est expédié, il est généralement nécessaire de qualifier les composants pour remplacer toutes les pièces en fin de vie, et de fournir des mises à jour du BIOS et des micrologiciels au moyen d’un processus sécurisé. Ces étapes font partie de la gestion générale du cycle de vie et de l’assistance produit.

La planification et le développement de produits comprennent de nombreux domaines tout au long du cycle de vie. L’activité de planification commence par la définition des exigences de sécurité lors de la conception des produits afin de trouver un équilibre entre les besoins de sécurité et la disponibilité des données. Des améliorations sont en cours pour inclure un examen continu et des améliorations aux processus de développement sécurisés essentiels grâce auxquels les produits sont conçus et testés. Une fois que les exigences de sécurité sont documentées, les équipes de développement de produits Lenovo établissent des plans pour incorporer les fonctionnalités appropriées dans les nouveaux produits. La phase de développement se concentre sur les domaines suivants :

  • Développement et qualifications
  • BIOS/micrologiciel
  • Logiciels

Gestion et contrôle des fournisseurs

Une base solide de fournisseurs dans la chaîne d’approvisionnement de produits, y compris les ODM, OEM, fabricants de composants et fournisseurs de BIOS et de logiciels, est essentielle à la réussite de tout fabricant d’appareils technologiques. Pour veiller à cela, Lenovo dispose d’un processus pour qualifier ses principaux fournisseurs et les évaluer formellement chaque trimestre. De nombreux fournisseurs de Lenovo ont été ses partenaires pendant plus de 20 ans. Ces relations sont soigneusement gérées et les nouveaux fournisseurs sont minutieusement évalués.

Lenovo a amélioré nos relations avec les fournisseurs grâce à un programme de fournisseurs fiables.   L’objectif du programme est la gestion du risque client grâce à la mise en oeuvre d’un programme de sécurité de la chaîne d’approvisionnement documenté et vérifiable en tant que partie intégrante du processus de sécurité total du produit.  Le programme de fournisseurs fiables met l’accent sur les fournisseurs de composants intelligents, les ODM, les OEM et les fournisseurs de services de réparation qui pourraient avoir une incidence sur la sécurité des clients.

Les composants intelligents comprennent :

  • Tout logiciel ou micrologiciel sur microprocesseur quelconque;
  • Le microprocesseur lui-même;
  • Tout dispositif semi-conducteur ayant une capacité de traitement de données;
  • Tout composant ou dispositif ayant une mémoire interne; et
  • Tout composant ou dispositif ayant une fonctionnalité d’entrée et de sortie.

Lenovo examine continuellement et de manière proactive ses besoins en matière d’approvisionnement pour s’assurer que nous nous maintenons au courant des tendances et des vulnérabilités à mesure qu’elles surgissent sur le marché des technologies.

Le travail de Lenovo visant à assurer la sécurité de ses produits et de sa chaîne d'approvisionnement a été reconnu par Chain Security, LLC, une des plus importantes sociétés de sécurité aux États-Unis. On en est arrivé à cette conclusion après près de trois ans d'étude détaillée des processus de sécurité de Lenovo, de la gouvernance d'entreprise et des programmes de fournisseurs. Les résultats de cette analyse sont présentés dans une lettre d'attestation de 20 pages dans laquelle Chain Security détaille le travail accompli avec Lenovo, les changements et les améliorations apportés par Lenovo au cours des deux dernières années et ses conclusions selon lesquelles Lenovo est « vraisemblablement en tête de l'industrie » pour ce qui est de ces processus de sécurité.

Pour lire la lettre complète, cliquez ici.

Gestion des risques

Lenovo compte sur sa chaîne d’approvisionnement mondiale pour l’aider à concevoir, bâtir et fournir des solutions technologiques auxquelles nos clients peuvent faire confiance. Stratégiquement, il existe cinq domaines/étapes clés que nous suivons dans la gestion des risques pour la chaîne d’approvisionnement :

  1. Identifier les risques potentiels pour la chaîne d’approvisionnement;
  2. Protéger la chaîne d’approvisionnement de Lenovo avec des contrôles spéciaux;
  3. Détecter les problèmes dès le début afin d’avoir plus de temps et d’options pour les résoudre;
  4. Intervenir le plus rapidement possible pour atténuer les menaces; et
  5. Se rétablir avec un minimum de perturbation pour les clients en concevant une chaîne d’approvisionnement résiliente.

Pour mettre en oeuvre cette stratégie, Lenovo évalue, met à jour et optimise constamment ses systèmes de chaîne d’approvisionnement pour répondre aux besoins des clients et des entreprises.

  • Lenovo vérifie régulièrement la conformité, la sécurité et la santé financière de nos fournisseurs. Pour les composants essentiels, une évaluation aura lieu sur la nécessité d’avoir plusieurs fournisseurs (ou plusieurs sites de fabrication du fournisseur).
  • Lenovo surveille étroitement les processus internes en testant régulièrement l’efficacité des contrôles.


Toute circonstance qui affecte notre capacité à répondre aux besoins des clients doit être surveillée, analysée, gérée et finalement atténuée. En identifiant les problèmes rapidement, Lenovo peut :

  1. Ajuster les chaînes d’approvisionnement pour minimiser l’impact
  2. Collaborer avec les fournisseurs pour régler les problèmes
  3. Remplacer le fournisseur si les problèmes demeurent non résolus

Il est essentiel de minimiser les risques liés à la chaîne d’approvisionnement à la fois pour Lenovo et pour ses clients.

Fabrication sécurisée

Un site de fabrication sécurisé nécessite les éléments suivants :

  • Sécurité physique : des pratiques et des contrôles efficaces qui gèrent la sécurité du personnel et des usines physiques. Cela comprend les contrôles d’accès et la surveillance des visiteurs et des livraisons.
  • Processus de fabrication sécurisés : dans les zones de fabrication, les processus et contrôles de production sont soigneusement gérés, tandis que les principaux composants et les sous-ensembles sont suivis électroniquement. Les produits finaux sont inspectés, puis testés pour s’assurer qu’ils répondent aux exigences de sécurité, de fiabilité et de fonctionnalité.
  • Imagerie logicielle sécurisée et diffusion du BIOS : l’imagerie client (c.-à-d. la pré-installation du SE choisi par le client et d’autres logiciels d’application) et la configuration du BIOS sont des étapes sensibles dans le processus de fabrication; Lenovo prend des précautions supplémentaires pour protéger ces éléments de toute altération extérieure.

Logistique sécurisée

La logistique de Lenovo couvre l’emballage, l’expédition et la livraison. Une fois que les produits sont construits et testés, ils sont emballés et préparés à l’expédition avec des matériaux inviolables afin que tout problème puisse être immédiatement constaté et suivi, et que l’incident soit examiné. Après l’emballage, Lenovo collabore avec des fournisseurs de logistique qualifiés pour livrer des produits en toute sécurité aux clients finaux. Tout au long du processus d’expédition, la protection inclut des installations sécurisées, des camions et des moyens de transport, ainsi que des employés, des visiteurs et des conducteurs ayant fait l’objet d’une vérification rigoureuse. Les expéditions sont suivies à partir du moment où elles quittent les bâtiments de Lenovo jusqu’à ce qu’elles soient reçues à l’emplacement du client.

La gestion du cycle de vie

L’engagement de Lenovo envers la sécurité se poursuit bien après la livraison du produit au client. Le système d’exploitation et les logiciels d’application, jeux de puces, micrologiciels et BIOS peuvent avoir des mises à jour fréquentes de Lenovo, ainsi que de leurs fournisseurs d’écosystème, y compris les opérateurs téléphoniques.  Ces mises à jour peuvent être des améliorations planifiées ou elles peuvent survenir en réponse au travail effectué par l’équipe de réponse en cas d’incidents liés à la sécurité des produits pour régler un problème de vulnérabilité. Quelle qu’en soit la raison, Lenovo a des processus en place pour la
livraison sécuritaire des mises à jour et des composants logiciels pendant toute la durée de vie du produit, même dans les cas où les fournisseurs mettent fin à la production des composants utilisés dans les systèmes Lenovo. Cela crée la nécessité de qualifier de nouvelles pièces pouvant être utilisées pour le service. Lenovo s’engage à fournir des pièces de rechange provenant des fournisseurs qui font partie de la liste des fournisseurs fiables.

 
SHARE
Comparer ()
x
Appeler