Gestion des comptes

Schneider Electric recommande de suivre les consignes suivantes concernant la gestion des comptes :

  • Créez un compte utilisateur standard sans droits d'administrateur.

  • Utilisez le compte utilisateur standard pour lancer des applications. Réservez les comptes avec des droits étendus pour lancer une application requérant des droits d'administration particuliers.

  • Utilisez un compte d'administrateur pour installer des applications.

Gestion des commandes de compte utilisateur (UAC) (Windows 10)

Pour prévenir toute tentative non autorisée de modification du système, Windows 10 octroie aux applications les autorisations d'un utilisateur normal, sans droits d'administration. A ce niveau, les applications ne peuvent pas modifier le système. L'UAC invite l'utilisateur à octroyer ou refuser des autorisations supplémentaires à une application. Configurez l'UAC au niveau maximum. Au niveau maximum, l'UAC affiche un message demandant à l'utilisateur d'autoriser une application à effectuer des modifications exigeant des droits d'administration.

Pour accéder aux paramètres d'UAC dans Windows 10, sélectionnez Panneau de configuration > Comptes et protection des utilisateurs > Comptes d'utilisateur > Modifier les paramètres du contrôle de compte d’utilisateur ou saisissez UAC dans le champ de recherche du menu Démarrer de Windows 10.

Gestion des mots de passe

La gestion des mots de passe est un des outils fondamentaux de la sécurisation renforcée des équipements, processus consistant à configurer un équipement afin qu'il ne soit pas impacté par les menaces basées sur la communication. Schneider Electric recommande de suivre les consignes suivantes :

  • Activez l'authentification par mot de passe sur tous les serveurs de messagerie et Web, les CPU et les modules d'interface Ethernet.

  • Changez tous les mots de passe par défaut immédiatement après l'installation, y compris ceux des éléments suivants :

    • comptes d'utilisateur et d'application sous Windows, SCADA, HMI et autres systèmes

    • scripts et code source

    • équipement de contrôle réseau

    • équipements avec comptes d'utilisateur

    • serveurs FTP

    • équipements SNMP et HTTP

    • Control Expert

  • Accordez uniquement des mots de passe aux personnes qui ont besoin d'un accès. N'autorisez pas le partage des mots de passe.

  • N'affichez pas les mots de passe lors de leur saisie.

    • Exigez des mots de passe difficiles à deviner. Ils doivent contenir au moins huit caractères et combiner des majuscules, des minuscules, des chiffres et des caractères spéciaux s'ils sont autorisés.

  • Exigez des utilisateurs et applications qu'ils modifient les mots de passe selon un intervalle planifié.

  • Supprimez les comptes d'accès des employés lorsqu'ils ne font plus partie de l'organisation.

  • Exigez des mots de passe différents pour différents comptes, systèmes et applications.

  • Conservez une liste principale sécurisée des mots de passe de compte administrateur, afin qu'ils soient rapidement accessibles en cas d'urgence.

  • Implémentez la gestion des mots de passe afin qu'elle n'interfère pas avec la capacité d'un opérateur à répondre à un événement, tel qu'un arrêt d'urgence.

  • Ne transmettez pas les mots de passe par e-mail ou d'une autre manière sur l’Internet non sécurisé.

Gestion de HTTP

Hypertext Transfer Protocol (HTTP) est le protocole qui est utilisé par le Web. Il est utilisé sur les systèmes de contrôle pour prendre en charge les serveurs Web intégrés aux produits de contrôle. Les serveurs Web Schneider Electric utilisent les communications HTTP pour afficher des données et envoyer des commandes via des pages Web.

Si le serveur HTTP n'est pas requis, désactivez-le. Sinon, utilisez le protocole HTTPS (Hypertext Transfer Protocol Secure), qui combine HTTP et un protocole de chiffrement, au lieu de HTTP. N'autorisez que le trafic vers certains équipements, en mettant en place des mécanismes de contrôle d'accès comme une règle de parefeu qui limite l'accès de certains équipements à d'autres équipements.

Vous pouvez configurer HTTPS comme serveur Web par défaut sur les produits qui prennent en charge cette fonctionnalité.

Gestion de FTP

Le protocole de transfert de fichiers (FTP) fournit des services de gestion de fichiers à distance via un réseau TCP/IP, tel qu’Internet. FTP utilise une architecture client-serveur ainsi que des connexions de contrôle et de données séparées entre le client et le serveur.

Tenez compte du comportement suivant du service FTP fourni par Schneider Electric :

  • FTP est désactivé par défaut.

    FTP n’est nécessaire que pour certaines activités de maintenance et de configuration. Nous conseillons à nos clients de désactiver l'ensemble des services FTP lorsqu'ils ne sont pas nécessaires.

  • FTP est intrinsèquement non sécurisé et doit donc être utilisé avec précaution pour éviter toute divulgation d'informations sensibles et tout accès non autorisé aux contrôleurs :

    • Modifiez les mots de passe par défaut de tous les équipements qui prennent en charge FTP, dès que possible.

    • Utilisez la liste de contrôle d'accès pour limiter la communication aux adresses IP autorisées. Pour plus d’informations sur le module concerné, consultez la section "Services de cybersécurité par plate-forme".

    • Si vous utilisez un module BMENOC, configurez la fonction IPSEC (Configuration de la communication chiffrée).

    • Bloquez tout le trafic entrant et sortant FTP à la périphérie du réseau de l'entreprise et du réseau des opérations de la salle de commande.

    • Filtrez les commandes FTP envoyées à certains hôtes entre le réseau de contrôle et le réseau d'exploitation ou communiquez-les sur un réseau de gestion séparé et chiffré.

    • Utilisez un module externe pour configurer un VPN entre les modules affectés par l'automate Modicon et la station de travail d'ingénierie du réseau de contrôle.

  • Le module BMENOC0301/11 ne prend pas en charge le transfert IP vers le réseau d'équipements (limites IPsec dans l'architecture).

    Si la transparence est requise entre les réseaux de contrôle et les réseaux d'équipements, un routeur/VPN externe est nécessaire pour chiffrer la communication entre les réseaux de contrôle et d'équipements (voir l'illustration dans la section "Cible de sécurité CSPN").

Dans le protocole FTP, la transparence est requise pour effectuer les opérations suivantes depuis le réseau de contrôle :

  • Mise à jour du micrologiciel de la CPU Modicon M580 à partir du logiciel Automation Device Maintenance ou Unity Loader via le service FTP

  • Diagnostic réseau de la CPU Modicon M580 exécuté à partir d'un outil de gestion de réseau via le service SNMP

Gestion de SNMP

Le protocole Simple Network Management Protocol (SNMP) fournit des services de gestion de réseau entre une console de gestion centrale et des équipements réseau tels que des routeurs, des imprimantes et des PAC. Ce protocole est constitué de 3 parties :

  • Gestionnaire : application qui gère les agents SNMP sur un réseau, par l'envoi de requêtes, la réception des réponses et l'écoute et le traitement des interruptions envoyées par les agents.

  • Agent : module de gestion réseau situé sur un équipement géré. L'agent permet aux gestionnaires de modifier les paramètres de configuration. Les équipements gérés peuvent être de tout type : routeurs, serveurs d'accès, commutateurs, ponts, hubs, PAC, lecteurs.

  • Système de gestion du réseau (NMS) : terminal via lequel les administrateurs peuvent réaliser des tâches d'administration

Les équipements Schneider Electric Ethernet disposent d'une fonctionnalité de service SNMP pour la gestion du réseau.

Souvent, le protocole SNMP est automatiquement installé avec la propriété de lecture publique et la propriété d'écriture privée. Ce type d'installation permet à un utilisateur malveillant de s'authentifier sur un système et de créer un refus de service.

Pour réduire le risque d'attaque via SNMP, procédez comme suit :

  • Si SNMP v1 est requis, utilisez les paramètres d'accès pour limiter les équipements (adresses IP) autorisés à accéder au commutateur. Attribuez différents mots de passe de lecture et de lecture/écriture aux équipements.

  • Modifiez les mots de passe par défaut de tous les équipements prenant en charge SNMP.

  • Bloquez tout le trafic entrant et sortant SNMP à la périphérie du réseau de l'entreprise et du réseau des opérations de la salle de commande.

  • Filtrez les commandes SNMP v1 envoyées à certains hôtes entre le réseau de contrôle et le réseau d'exploitation ou communiquez-les sur un réseau de gestion séparé et chiffré.

  • Contrôlez l'accès en identifiant l'adresse IP autorisée à interroger un équipement SNMP.

  • Utilisez un module externe pour configurer un VPN entre les modules affectés par l'automate Modicon et la station de travail d'ingénierie du réseau de contrôle.

Gestion du mot de passe de l'application, de la section, du stockage de données et du micrologiciel de Control Expert

Dans Control Expert, les mots de passe s'appliquent aux éléments suivants (selon la CPU) :

  • Application

    La protection de Control Expert et la CPU par un mot de passe permet d'éviter toute modification, tout téléchargement ou toute ouverture indésirable de l'application (fichiers .STU, .STA and .ZEF ). Le mot de passe est stocké de manière chiffrée dans l'application.

    Outre la protection par mot de passe, vous pouvez chiffrer les fichiers .STU, .STA et .ZEF. La fonction de chiffrement de fichiers de Control Expert permet d'empêcher toute modification par une personne malveillante et renforce la protection contre le vol de propriété intellectuelle. L'option de chiffrement de fichier est protégée par un mécanisme de mot de passe.

    NOTE : Lorsqu'un contrôleur est géré dans un projet système, le mot de passe de l'application et le chiffrement des fichiers sont désactivés dans l'éditeur Control Expert et doivent être gérés à l'aide du Gestionnaire de topologie.

    Pour plus d’informations, consultez la rubrique Protection de l’application.

  • Section

    La fonction de protection de sections est accessible dans l'écran Propriétés du projet en mode local. Elle permet de protéger les sections du programme. Pour plus d’informations, consultez la section Protection des sections et des sous-programmes.

    NOTE : la protection des sections n'est pas active tant qu'elle n'a pas été activée dans le projet.

  • Stockage de données/Web

    La protection du stockage de données par un mot de passe empêche toute intrusion dans la zone réservée au stockage des données sur la carte SD (si une carte valide est insérée dans la CPU). Elle permet également d'éviter tout accès indésirable aux diagnostics Web (pour le micrologiciel de CPU M580 ≥ 4.0). Pour plus d'informations, consultez la rubrique Protection du stockage des données.

  • Micrologiciel

    La protection du téléchargement du micrologiciel par un mot de passe empêche le téléchargement de micrologiciels malveillants dans la CPU. Pour plus d’informations, consultez la rubrique Protection du micrologiciel.