▼
Scroll to page 2
of
24
EcoStruxure Panel Server Guide de cybersécurité Concentrateur sans fil et passerelle Modbus, collecteur de données et serveur d'énergie EcoStruxure propose une architecture et une plateforme compatible IdO DOCA0211FR-06 11/2022 www.se.com Mentions légales La marque Schneider Electric et toutes les marques de commerce de Schneider Electric SE et de ses filiales mentionnées dans ce guide sont la propriété de Schneider Electric SE ou de ses filiales. Toutes les autres marques peuvent être des marques de commerce de leurs propriétaires respectifs. Ce guide et son contenu sont protégés par les lois sur la propriété intellectuelle applicables et sont fournis à titre d'information uniquement. Aucune partie de ce guide ne peut être reproduite ou transmise sous quelque forme ou par quelque moyen que ce soit (électronique, mécanique, photocopie, enregistrement ou autre), à quelque fin que ce soit, sans l'autorisation écrite préalable de Schneider Electric. Schneider Electric n'accorde aucun droit ni aucune licence d'utilisation commerciale de ce guide ou de son contenu, sauf dans le cadre d'une licence non exclusive et personnelle, pour le consulter tel quel. Les produits et équipements Schneider Electric doivent être installés, utilisés et entretenus uniquement par le personnel qualifié. Les normes, spécifications et conceptions sont susceptibles d'être modifiées à tout moment. Les informations contenues dans ce guide peuvent faire l'objet de modifications sans préavis. Dans la mesure permise par la loi applicable, Schneider Electric et ses filiales déclinent toute responsabilité en cas d'erreurs ou d'omissions dans le contenu informatif du présent document ou pour toute conséquence résultant de l'utilisation des informations qu'il contient. En tant que membre d'un groupe d'entreprises responsables et inclusives, nous actualisons nos communications qui contiennent une terminologie non inclusive. Cependant, tant que nous n'aurons pas terminé ce processus, notre contenu pourra toujours contenir des termes standardisés du secteur qui pourraient être jugés inappropriés par nos clients. EcoStruxure Panel Server Table des matières Consignes de sécurité ................................................................................5 A propos de ce manuel ..............................................................................7 Introduction à la cybersécurité ..................................................................8 Caractéristiques de l'appareil ....................................................................9 Fonctions de l'appareil ............................................................................. 11 Sécurité du réseau ....................................................................................13 Sécurité des applications cloud ..............................................................15 Sécurité physique de l'appareil ...............................................................16 Recommandations de sécurité pour la maintenance ..........................17 Portail d'assistance à la cybersécurité de Schneider Electric ............19 Glossaire ....................................................................................................21 DOCA0211FR-06 3 Consignes de sécurité EcoStruxure Panel Server Consignes de sécurité Informations importantes Lisez attentivement ces instructions et examinez le matériel pour vous familiariser avec l'appareil avant de tenter de l'installer, de le faire fonctionner, de le réparer ou d'assurer sa maintenance. Les messages spéciaux suivants que vous trouverez dans cette documentation ou sur l'appareil ont pour but de vous mettre en garde contre des risques potentiels ou d'attirer votre attention sur des informations qui clarifient ou simplifient une procédure. La présence de ce symbole sur une étiquette “Danger” ou “Avertissement” signale un risque d'électrocution qui provoquera des blessures physiques en cas de non-respect des consignes de sécurité. Ce symbole est le symbole d'alerte de sécurité. Il vous avertit d'un risque de blessures corporelles. Respectez scrupuleusement les consignes de sécurité associées à ce symbole pour éviter de vous blesser ou de mettre votre vie en danger. ! DANGER DANGER signale un risque qui, en cas de non-respect des consignes de sécurité, provoque la mort ou des blessures graves. ! AVERTISSEMENT AVERTISSEMENT signale un risque qui, en cas de non-respect des consignes de sécurité, peut provoquer la mort ou des blessures graves. ! ATTENTION ATTENTION signale un risque qui, en cas de non-respect des consignes de sécurité, peut provoquer des blessures légères ou moyennement graves. AVIS AVIS indique des pratiques n'entraînant pas de risques corporels. Remarque Importante L'installation, l'utilisation, la réparation et la maintenance des équipements électriques doivent être assurées par du personnel qualifié uniquement. Schneider Electric décline toute responsabilité quant aux conséquences de l'utilisation de ce matériel. Une personne qualifiée est une personne disposant de compétences et de connaissances dans le domaine de la construction, du fonctionnement et de l'installation des équipements électriques, et ayant suivi une formation en sécurité leur permettant d'identifier et d'éviter les risques encourus. DOCA0211FR-06 5 EcoStruxure Panel Server Avis concernant la cybersécurité Avis concernant la cybersécurité AVERTISSEMENT RISQUES POUVANT AFFECTER LA DISPONIBILITÉ, L'INTÉGRITÉ ET LA CONFIDENTIALITÉ DU SYSTÈME • Désactivez les ports et services inutilisés pour réduire le risque d'attaques malveillantes. • Protégez les appareils en réseau par plusieurs niveaux de cyberdéfense (pare-feu, segmentation du réseau, détection des intrusions et protection du réseau). • Respectez les bonnes pratiques de cybersécurité (par exemple : moindre privilège, séparation des tâches) pour réduire les risques d'intrusion, la perte ou l'altération des données et journaux, ou l'interruption des services. Le non-respect de ces instructions peut provoquer la mort, des blessures graves ou des dommages matériels. 6 DOCA0211FR-06 A propos de ce manuel EcoStruxure Panel Server A propos de ce manuel Objectif du document Ce guide fournit des informations sur la cybersécurité de l'EcoStruxure™ Panel Server en vue d'aider les concepteurs et les utilisateurs de système à mettre en place un environnement sécurisé d'exploitation du produit. Ce guide n'aborde pas la question générique de la sécurisation de votre réseau de technologie opérationnelle ou de votre réseau Ethernet d'entreprise. Pour une présentation générale des menaces de cybersécurité et des moyens de protection disponibles, consultez le document How Can I Reduce Vulnerability to Cyber Attacks?. NOTE: Dans ce guide, le terme sécurité fait référence à la cybersécurité. Champ d'application Les informations de ce guide concernent EcoStruxure Panel Server. Convention EcoStruxure Panel Server est désigné ci-après sous le nom Panel Server. Informations en ligne Les informations indiquées dans ce guide peuvent être mises à jour à tout moment. Schneider Electric recommande de disposer en permanence de la version la plus récente, disponible sur le site www.se.com/ww/en/download. Les caractéristiques techniques des équipements décrits dans ce guide sont également fournies en ligne. Pour accéder aux informations en ligne, accédez à la page d’accueil Schneider Electric à l’adresse www.se.com. Document(s) à consulter Titre de documentation Référence EcoStruxure Panel Server - Guide utilisateur DOCA0172FR How Can I Reduce Vulnerability to Cyber Attacks? Cybersecurity System Technical Note EcoStruxure Power - Guide for Designing and Implementing a Cyber Secure Digital Power System Technical Guide ESXP2TG003EN Vous pouvez télécharger ces publications et autres informations techniques depuis notre site web à l'adresse : www.se.com/ww/en/download. DOCA0211FR-06 7 EcoStruxure Panel Server Introduction à la cybersécurité Introduction à la cybersécurité Gamme principale EcoStruxure EcoStruxure est une architecture et une plateforme interopérable de Schneider Electric ouverte, plug-and-play et compatible IdO destinée aux foyers, bâtiments, centres de données, infrastructures et industries. L'innovation à tous les niveaux, des produits connectés au contrôle périphérique, en passant par les applications, les analyses et les services. Introduction La cybersécurité vise à protéger votre réseau de communication et tous les équipements qui y sont connectés, contre les attaques susceptibles de perturber les opérations (disponibilité), de modifier des informations (intégrité) ou de divulguer des informations confidentielles (confidentialité). Son objectif consiste à augmenter les niveaux de protection des informations et des actifs physiques contre le vol, la corruption, l'utilisation abusive ou les accidents, tout en maintenant l'accès pour les utilisateurs cibles. La cybersécurité revêt de nombreux aspects, comme la conception de systèmes sécurisés, la restriction de l'accès à l'aide d'outils physiques et numériques, l'identification des utilisateurs, ainsi que la mise en œuvre de procédures de sécurité et de bonnes pratiques. Consignes Schneider Electric Outre les recommandations fournies dans ce guide et qui sont propres au Panel Server, vous devez adopter l'approche de défense en profondeur de Schneider Electric concernant la cybersécurité. Cette approche est décrite dans la note technique How Can I Reduce Vulnerability to Cyber Attacks?. De plus, vous trouverez de nombreuses ressources utiles et des informations actualisées sur le portail d'assistance à la cybersécurité de sur le site web global de Schneider Electric, page 19. Politiques et règles de cybersécurité Schneider Electric Schneider Electric suit un processus de cycle de développement sécurisé (SDL, Secure Development Lifecycle), un cadre de développement essentiel qui assure que les produits respectent des processus de conception sécurisés à toutes les étapes de leur cycle de vie. Le processus SDL de Schneider Electric est conforme à la norme IEC 62443-4.1. Le processus SDL inclut les éléments suivants : 8 • Pratiques SDL appliquées au développement interne tout au long de la chaîne logistique • Examen de sécurité final obligatoire avant le lancement des produits • Formation en sécurité du personnel participant au développement des produits DOCA0211FR-06 Caractéristiques de l'appareil EcoStruxure Panel Server Caractéristiques de l'appareil Présentation Le EcoStruxure Panel Server est équipé de fonctions de sécurité. Ces fonctions sont prédéfinies et peuvent être modifiées en fonction des besoins de votre installation. Le produit Panel Server doit être configuré par du personnel qualifié, car l'activation ou la modification de paramètres affectent la sécurité globale du Panel Server et de votre réseau. Ce guide est à utiliser avec le document DOCA0172FR EcoStruxure Panel Server - Guide utilisateur, qui contient la configuration détaillée des fonctions et paramètres de l'Panel Server. Interfaces de l'EcoStruxure Panel Server L'EcoStruxure Panel Server communique à l'aide des interfaces suivantes : • • En filaire via : ◦ Deux ports Ethernet ◦ Un port Modbus-SL Par radiofréquence via : ◦ IEEE 802.15.4 (non actif par défaut) ◦ Infrastructure Wi-Fi Protocoles pris en charge L'EcoStruxure Panel Server prend en charge les protocoles suivants : • HTTPS (TLS v1.2) pour la configuration via les outils de configuration et les pages Web intégrées • Client VPN pour l'accès à distance (ouvert sur le Centre de Contact Client Schneider Electric) • Modbus TCP et Modbus-SL pour les communications avec d'autres appareils de technologie opérationnelle (OT) • DHCP pour l'adressage IP du réseau • DNS pour la résolution du nom de réseau • NTP pour la synchronisation horaire • DPWS pour la détection du réseau • IEEE 802.15.4 pour la communication sans fil sur la bande ISM de radiofréquence 2,4 GHz • WPA2 et WPA pour la communication Wi-Fi • SFTP pour la publication de fichiers CSV sur un serveur SFTP Fonctions de sécurité L'EcoStruxure Panel Server prend en charge les fonctions de sécurité suivantes : DOCA0211FR-06 • Seul un firmware signé numériquement par Schneider Electric peut être installé sur l'Panel Server. • Lors de chaque démarrage, la signature numérique est validée avant l'exécution du firmware pour confirmer que son intégrité n'a pas été altérée. • Les mots de passe utilisateur sont stockés dans une version hachée et salée (SHA256). • Vous pouvez effacer toutes les informations de l'Panel Server à l'aide du bouton Redémarrer. 9 EcoStruxure Panel Server 10 Caractéristiques de l'appareil • L'appareil est doté d'une horloge interne et mémorise la date et l'heure pendant plusieurs mois hors tension. • La clé d'authenticité de l'Panel Server est stockée sur une puce Common Criteria CC EAL6+ hautement sécurisée. DOCA0211FR-06 Fonctions de l'appareil EcoStruxure Panel Server Fonctions de l'appareil Mise à jour du firmware Mettez à jour l'EcoStruxure Panel Server vers la dernière version du firmware pour bénéficier des fonctions et correctifs de sécurité les plus récents. Afin d'assurer l'intégrité et l'authenticité du firmware exécuté sur l'EcoStruxure Panel Server, tous les firmware conçus pour l'EcoStruxure Panel Server sont signés à l'aide de l'infrastructure de clé publique (PKI) Schneider Electric. Pour que l'infrastructure PKI fonctionne correctement, la date de l'appareil doit être synchronisée (consultez la section Date et heure, page 11). Pour être tenu informé des mises à jour de sécurité, demandez à recevoir les notifications de sécurité (Security Notifications) sur le portail d'assistance à la cybersécurité de Schneider Electric. Date et heure L'EcoStruxure Panel Server contient des certificats et des signatures numériques. Pour éviter les erreurs, il est important de synchroniser la date et l'heure. Pour plus d’informations sur la date et l’heure, consultez la documentation DOCA0172FR EcoStruxure Panel Server - Guide utilisateur. Désactivation des fonctions inutilisées L'EcoStruxure Panel Server vous permet de désactiver les ports et services inutilisés pour réduire le risque d'attaques malveillantes. Il est recommandé de désactiver les fonctions et protocoles suivants : • Wi-Fi (désactivé par défaut). Le Wi-Fi peut être désactivé définitivement. • IEEE 802.15.4 (désactivé par défaut). Le réseau IEEE 802.15.4 peut être désactivé définitivement. • Passerelle Modbus (activée par défaut). Peut être désactivée pour chaque interface (Ethernet 1, Ethernet 2 et/ou Wi-Fi) sur les pages Web du Panel Server. • DPWS (protocole de détection sur IP v4/6) (activé par défaut) Pour plus d’informations sur la désactivation des fonctions inutilisées de l'EcoStruxure Panel Server, consultez le document DOCA0172FR EcoStruxure Panel Server - Guide utilisateur. Ports TCP Les ports TCP suivants sont utilisés dans le produit EcoStruxure Panel Server: DOCA0211FR-06 • Port 443 : HTTPS • Port 502 : Modbus • Port 5357 : DPWS (peut être modifié) 11 EcoStruxure Panel Server Fonctions de l'appareil Journaux d'audit L'EcoStruxure Panel Server génère des journaux d'audit qui enregistrent divers événements, comme les tentatives de connexion non valides et les mises à jour du firmware. Les journaux ne contiennent aucune information personnelle. Pour détecter des comportements inattendus (tels que des redémarrages fréquents, une mise à jour incorrecte du firmware ou des tentatives de connexion non valides), il est recommandé de surveiller régulièrement les journaux d'audit. Pour plus d’informations sur les journaux de diagnostic, consultez la documentation DOCA0172FR EcoStruxure Panel Server - Guide utilisateur. Mise au rebut de l'appareil L'EcoStruxure Panel Server contient des informations confidentielles configurées pendant la mise en service, ainsi que des valeurs de données récentes et des journaux. Ces informations concernent notamment la topologie d'appareils Modbus, les réseaux sans fil, les mots de passe Wi-Fi ou les consommations d'énergie mesurées. Rétablissez les paramètres d'usine avant de mettre l'EcoStruxure Panel Server au rebut. Vous devez pouvoir redémarrer physiquement l'EcoStruxure Panel Server durant cette procédure. Pour rétablir les paramètres d'usine de l'EcoStruxure Panel Server, consultez la documentation DOCA0172FR EcoStruxure Panel Server - Guide utilisateur. 12 DOCA0211FR-06 Sécurité du réseau EcoStruxure Panel Server Sécurité du réseau Présentation L'EcoStruxure Panel Server n'est pas conçu pour être directement exposé au réseau Internet public. Il doit être protégé avec la méthode NAT (Network Address Translation) au minimum ou, de préférence, par plusieurs pare-feu. Consultez les sites Web suivants pour en savoir plus : • Services de conseil en cybersécurité Schneider Electric • National Institute of Standards and Technology (NIST) • Agence européenne de la cyber-sécurité (ENISA) Segmentation réseau Le produit EcoStruxure Panel Server est une passerelle. Il crée un pont entre différents réseaux. La segmentation du réseau permet d'assurer la cyberdéfense. Pour améliorer la segmentation du réseau, l'Panel Server dispose de deux ports Ethernet. Ils peuvent être exploités séparément, avec un port dédié aux technologies de l'information (IT) et un port dédié aux technologies opérationnelles (OT). La segmentation du réseau vous permet de maintenir la segmentation des réseaux TO et IT, car les paquets réseau ne sont pas transmis d'un côté à l'autre. Il est recommandé de configurer le réseau en mode segmenté (pour plus d'informations sur les paramètres réseau, reportez-vous à la documentation DOCA0172FR EcoStruxure Panel Server - Guide utilisateur). Vous pouvez ainsi connecter l'Panel Server à : • Des équipements OT en aval via Modbus TCP sur un port Ethernet. • Des PC IT en amont avec SCADA et applications logicielles de mise en service sur l'autre port Ethernet. HTTPS et Modbus sont disponibles sur les interfaces Ethernet (ETH1, ETH2) et Wi-Fi d'Panel Server. Le tableau suivant présente la configuration par défaut pour chaque interface : Interface Modbus Ethernet en topologie commutée Activé Ethernet en topologie séparée Wi-Fi Port ETH1 Activé Port ETH2 Désactivé Désactivé Il est recommandé de désactiver le service Modbus sur les réseaux où il n'est pas utilisé. Pour plus d’informations sur l’activation des services, consultez la documentation DOCA0172FR EcoStruxure Panel Server - Guide utilisateur. Certificat de serveur Web du produit Pour prendre en charge les communications sécurisées HTTP, l'EcoStruxure Panel Server est équipé par défaut d'un certificat X.509v3. Ce certificat assure l'intégrité et la confidentialité des communications HTTPS. Les navigateurs Web reconnaissent seulement les certificats destinés à des sites publics. Comme l'Panel Server est installé sur un réseau local (LAN), ils ne peuvent pas faire la distinction entre deux Panel Servers. C'est pourquoi un message de sécurité s'affiche dans le navigateur Web lors de la connexion à l'Panel Server. DOCA0211FR-06 13 EcoStruxure Panel Server Sécurité du réseau Une connexion câblée directe permet de sécuriser le chemin de communication avec l'Panel Server. Pour plus d’informations sur le premier accès aux pages Web d'EcoStruxure Panel Server via un PC, consultez la documentation DOCA0172FR EcoStruxure Panel Server - Guide utilisateur. Empreinte de la clé du serveur SFTP Si vous publiez vos données sur un serveur SFTP, assurez-vous que l'empreinte de la clé, affichée lors de la configuration de l'adresse du serveur, correspond à la clé SFTP de votre serveur. Si vous renouvelez la clé SFTP sur votre serveur, le Panel Server ne pourra plus envoyer les fichiers, car la connexion ne sera pas authentifiée. Vous devrez reconfigurer la publication pour que le Panel Server enregistre la nouvelle empreinte de clé SFTP. Réseau sans fil Les protocoles radio sont vulnérables aux attaques physiques. Lors d'une attaque par refus de service, par exemple, le signal radio peut être brouillé grâce à un émetteur puissant situé à proximité. Par conséquent, il est recommandé d'adapter la sécurité physique du système en fonction du niveau de criticité des informations qui dépendent des protocoles radio. Pour cela, les réseaux sans fil (Wi-Fi et IEEE 802.15.4) peuvent être désactivés de façon permanente dans le Panel Server. Si vous êtes sûr de ne jamais avoir besoin de réseaux sans fil (Wi-Fi et IEEE 802.15.4), et dans ce cas uniquement, vous pouvez les désactiver définitivement. Pour plus d'informations sur la désactivation définitive et simultanée des réseaux sans fil, consultez le document DOCA0172FR EcoStruxure Panel Server - Guide utilisateur . Il est en outre recommandé de mettre en service les appareils sans fil IEEE 802.15.4 dans un lieu à l'abri d'émetteurs radio suspects, comme une salle d'administrateur. Pour un réseau Wi-Fi, il est recommandé d’utiliser le protocole WPA2 (Wi-Fi Protected Access version 2). NOTE: Le protocole TKIP (Temporal Key Integrity Protocol) n'est pas pris en charge. Appareils connectés Il est recommandé de vérifier régulièrement la liste des appareils connectés au réseau IEEE 802.15.4 du Panel Server. Si la liste contient un appareil connecté inconnu, localisez-le et supprimez-le. Vous pouvez aussi recréer le réseau et ne reconnecter que les appareils identifiés. 14 DOCA0211FR-06 Sécurité des applications cloud EcoStruxure Panel Server Sécurité des applications cloud Sécurité des données en mouvement Avec les applications cloud EcoStruxure, Schneider Electric met en oeuvre de nombreuses pratiques recommandées, par exemple : • Toutes les communications vers et depuis EcoStruxure Panel Server avec des systèmes Schneider Electric internes ou des systèmes tiers externes sont cryptées à l'aide du protocole HTTPS (niveau minimum requis : TLS 1.2). • Les certificats impliqués dans ces sessions cryptées utilisent l'algorithme de hachage sécurisé SHA 256. Cela s'applique aux communications entre application Panel Server et serveurs des plateformes cloud Microsoft Azure. Sécurité des données au repos Schneider Electric suit les pratiques recommandées pour créer des solutions sécurisées et limiter le risque de compromission importante des données tout en protégeant la confidentialité, le contrôle et l'autonomie des données de chaque client individuellement. Tous les identifiants et jetons de système à système sont stockés et cryptés dans les plateformes cloud Microsoft Azure. Points de terminaison attendus Schneider Electric recommande de n'autoriser l'accès qu'aux domaines absolument nécessaires. Le tableau suivant répertorie les noms de domaine et les protocoles utilisés lorsque l'Panel Server se connecte au cloud. Nom de domaine Protocole Description cbBootStrap.gl.StruXureWareCloud.com HTTPS Utilisé lors de la première connexion de Panel Server au cloud (ou après une restauration des paramètres d'usine) pour authentifier et enregistrer l'Panel Server. etp.gl.StruXureWareCloud.com HTTPS Permet de télécharger une mise à jour de firmware. cnm-ih-na.azure-devices.net HTTPS Utilisé pour la communication de Panel Server avec des services cloud Schneider Electric (configuration, données, alarmes). time.gl.StruXureWareCloud.com NTP (UDP 123) Permet à l'horloge d'Panel Server de rester synchronisée. RemoteShell.rsp.Schneider-Electric.com HTTPS Permet au Centre de contact client de Schneider Electric d'accéder à distance aux pages Web d'Panel Server. NOTE: Les noms de domaine ne sont pas sensibles à la casse. DOCA0211FR-06 15 EcoStruxure Panel Server Sécurité physique de l'appareil Sécurité physique de l'appareil Étiquette de garantie L'EcoStruxure Panel Server dispose d'une étiquette de garantie qui assure la sécurité physique de l'appareil. Elle doit être propre et ne présenter aucun signe d'altération (comme des accrocs, des déchirures ou des rayures). Schneider Electric déconseille d'utiliser un appareil dont l'intégrité physique a été visiblement altérée. Installation Afin d'assurer la sécurité physique de l'appareil, il est recommandé d'effectuer l'installation suivante : 16 • Installez l'EcoStruxure Panel Server dans une armoire protégée par un dispositif approprié en fonction du niveau de risque de votre installation (un cadenas ou une clé, par exemple). • Si l'EcoStruxure Panel Server est monté dans un tableau de distribution, installez le tableau dans une pièce sécurisée (par une porte verrouillée ou une caméra, par exemple). DOCA0211FR-06 Recommandations de sécurité pour la maintenance EcoStruxure Panel Server Recommandations de sécurité pour la maintenance Opérations d’entretien Il est recommandé de réaliser régulièrement les opérations suivantes pendant toute la durée de vie de l'EcoStruxure Panel Server : • Vérifier la sécurité physique de l'EcoStruxure Panel Server (consulter la section Etiquette de garantie, page 16) • S'assurer que le firmware est à jour (vous devez être abonné aux notifications de sécurité, page 11) • Vérifier qu'il n'existe pas d'appareils inconnus parmi les appareils connectés, page 14 • Consulter les journaux d'audit, page 12 pour identifier d'éventuels comportements inattendus (tentatives de connexion non valides et redémarrages fréquents, par exemple) • Vérifier la date et l'heure, page 11 pour qu'elles soient toujours synchronisées Vérification des fonctions de sécurité Pour la conformité à la certification CEI 62443, les tests suivants permettent de vérifier que les fonctions de sécurité fonctionnent comme prévu via les pages Web d'EcoStruxure Panel Server. Authentification Web 1. Essayez de vous connecter aux pages Web d'EcoStruxure Panel Server sans mot de passe ou entrez un mot de passe incorrect. Résultat : EcoStruxure Panel Server ne vous donne pas accès aux pages Web. 2. Répétez cette action 9 fois de plus. Résultat : EcoStruxure Panel Server se verrouille pendant 10 minutes. 3. Réessayez encore 5 fois. Résultat : EcoStruxure Panel Server se verrouille pendant 60 minutes. Autorisation Web 1. Connectez-vous aux pages Web EcoStruxure Panel Server. 2. Placez un signet sur une page Web (par exemple, Paramètres) 3. Ouvrez une fenêtre de navigation privée dans votre navigateur et ouvrez la page Web précédemment marquée d'un signet. Résultat : Vous ne pouvez pas accéder à la page Web, mais vous êtes redirigé vers la page de connexion. Historique 1. Après avoir effectué une partie ou l'ensemble des tests précédents, accédez à la page Web des journaux. 2. Téléchargez les fichiers journaux. 3. Vérifiez que les tentatives infructueuses de connexion figurent dans les journaux. DOCA0211FR-06 17 EcoStruxure Panel Server Recommandations de sécurité pour la maintenance Mise à jour du micrologiciel 1. Accédez à la page Web Mise à jour du firmware. 2. Téléchargez un fichier aléatoire (par exemple, une image ou un document texte). Résultat : EcoStruxure Panel Server signale que la signature est erronée. 3. Accédez aux journaux d'audit. 4. Vérifiez que l'échec de mise à jour du micrologiciel est consigné dans les journaux. Désactivation des services 1. Pour accéder au menu de désactivation des services, sélectionnez Paramètres > Communication réseau > DPWS. 2. Connectez un PC équipé du système d'exploitation Windows au même réseau local. 3. Cliquez sur Réseau dans l'Explorateur de fichiers. Résultat : EcoStruxure Panel Server n'est pas repéré et n'apparaît donc pas dans la liste des équipements du réseau. 18 DOCA0211FR-06 Portail d'assistance à la cybersécurité de Schneider Electric EcoStruxure Panel Server Portail d'assistance à la cybersécurité de Schneider Electric Présentation Le cybersecurity support portal de Schneider Electric décrit la politique de gestion des vulnérabilités de Schneider Electric. L'objectif de la politique de gestion des vulnérabilités de Schneider Electric est de gérer les vulnérabilités qui ont un impact sur les produits et systèmes Schneider Electric, afin de protéger les solutions installées, les clients et l'environnement. Schneider Electric travaille avec des chercheurs, des équipes de réponse aux cyberurgences (CERT) et des propriétaires de site pour s'assurer que des informations exactes sont fournies en temps voulu pour protéger correctement leurs installations. L'équipe CPCERT (Corporate Product CERT) de Schneider Electric est chargée non seulement de gérer les vulnérabilités et les restrictions affectant les produits, mais aussi d'émettre des alertes. Elle coordonne la communication avec les équipes CERT compétentes, les chercheurs indépendants, les chefs de produit et tous les clients concernés. Informations disponibles sur le portail d'assistance à la cybersécurité de Schneider Electric Ce portail fournit les informations suivantes : • Informations sur les vulnérabilités des produits en matière de cybersécurité • Informations sur les incidents de cybersécurité • Interface permettant aux utilisateurs de déclarer des incidents ou des vulnérabilités en matière de cybersécurité Signalement et gestion des vulnérabilités Les incidents liés à la cybersécurité et les vulnérabilités potentielles peuvent être signalés via le site Web de Schneider Electric, sur la page Report a Vulnerability (Signaler une vulnérabilité). DOCA0211FR-06 19 EcoStruxure Panel Server Glossaire D DPWS - Device Profile for Web Services: Ensemble minimal de contraintes d'implémentation qui permet d'activer la messagerie, la découverte, la description et les événements de services Web sécurisés sur des équipements limités en ressources. H HTTP - Hypertexot Transfer Protocol: Protocole réseau qui gère la distribution des fichiers et données sur le Web. HTTPS - Hypertext Transfer Protocol Secure: Variante du protocole de tranfert web standard (HTTP) qui ajoute une couche de sécurité sur les données en transit via une connexion par protocole SSL (Secure Socket Layer) ou TLS (Transport Layer Security). I IP - Internet Protocol: Les adresses IP servent à identifier les équipements connectés à l'intranet de l'entreprise ou à Internet. IT - Information Technology, signifiant technologie de l’information: Désigne le réseau informatique et les systèmes d'information de l'entreprise, par opposition au réseau de technologie opérationnelle (OT). L LAN - Local Area Network, signifiant réseau local.: Désigne l'intranet ou le réseau informatique de l'entreprise. M Modbus TCP/IP: Protocole assurant une communication client/serveur entre des équipements et TCP/IP, qui permet des communications via une connexion Ethernet. O OT - Operational technology, signifiant technologie opérationnelle.: Désigne les systèmes matériels et logiciels utilisés par l'entreprise pour surveiller et contrôler directement les processus et équipements de production, également appelés réseau de contrôle industriel (IC). L'abréviation OT est souvent utilisée pour désigner le réseau opérationnel de l'entreprise, par opposition à son réseau informatique. P PKI - Public key infrastructure, signifiant infrastructure de clé publique.: Définit un ensemble de services utilisés pour générer et authentifier des signatures numériques. Une infrastructure de clé publique est conçue pour garantir la confidentialité, l'intégrité et l'authenticité des informations. DOCA0211FR-06 21 EcoStruxure Panel Server S SCADA - Supervisory control and data acquisition: Désigne les systèmes conçus pour obtenir des données en temps réel sur les processus et équipements de production en vue de les surveiller et de les contrôler à distance. SFTP - Secure File Transfer Protocol: Version sécurisée du protocole de transfert de fichiers (FTP) qui facilite l'accès aux données et le transfert de données via un flux de données SSH (Secure Shell). Stratégie de sécurité: Paramètres de sécurité appliqués à l’ensemble du système sécurisé. En général, une stratégie de sécurité renvoie à l’utilisation de normes. Il permet de définir la configuration de sécurité commune à l’ensemble des équipements. T TCP/IP - Transmission control protocol/Internet protocol: Désigne la suite de protocoles utilisés pour les communications sur Internet. V VPN - Virtual private network, signifiant réseau privé virtuel.: Un VPN permet d'établir un « tunnel » sécurisé/privé entre un point d'accès externe authentifié et le réseau d'entreprise sécurisé. 22 DOCA0211FR-06 Schneider Electric 35, rue Joseph Monier 92500 Rueil-Malmaison France + 33 (0) 1 41 29 70 00 www.se.com Les normes, spécifications et conceptions pouvant changer de temps à autre, veuillez demander la confirmation des informations figurant dans cette publication. © 2022 Schneider Electric. Tous droits réservés. DOCA0211FR-06