Fonctionnalites De Securite; Périmètre De Sécurité Physique; Périmètre De Sécurité Électronique; Gestion Des Mots De Passe - GE TME Modular Série 15 Manuel Utilisateur

9.5

FONCTIONNALITES DE SECURITE

Dans le cadre d'une stratégie de défense en profondeur du système, les fonctionnalités de sécurité
intégrées à chaque équipement doivent être exploitées.
9.5.1 Périmètre de sécurité physique
1. Les équipements matériels doivent être installés dans des armoires ou des salles verrouillées, avec
des procédures strictes mises en place pour en contrôler l'accès.
2. Les équipements réseau tels que les commutateurs, les routeurs, les pares-feux ainsi que le câblage
Ethernet doivent être physiquement protégés dans des armoires appropriées, avec des procédures
strictes pour en contrôler l'accès.
3. Dans la mesure du possible, aucun chemin réseau physique ne doit exister entre le système ASI ou
les équipements de connectivité et Internet. Le réseau sur lequel opère le système ASI ne doit pas
pouvoir être "vu" depuis un ordinateur connecté à Internet.
4. La segmentation physique des réseaux est nécessaire afin d'éviter d'exposer les réseaux sur lesquels
sont déployés le système ASI et les équipements de connectivité.
5. Chaque appliance ASI physique doit être clairement identifié par une référence unique, et toutes ces
identifications doivent être compilées dans une liste à contrôle d'accès.
9.5.2 Périmètre de sécurité électronique
1. Tous les accès externes vers un système ASI doivent être gérés via un réseau privé virtuel (VPN) ou un
autre mécanisme d'accès s'appuyant sur l'authentification à deux facteurs (2FA).
2. Des pares-feux de dernière génération doivent être convenablement déployés et configurés au
niveau de chaque intersection de réseaux physiques. Ces pares-feux bloqueront tout trafic exploitant
des protocoles, adresses source et adresses de destination autres que ceux spécifiquement
autorisés, ainsi que toutes commandes de niveau applicatif autres que celles spécifiquement
autorisées entre les deux réseaux adjacents. Un pare-feu pourra ainsi bloquer, par exemple, toute
requête en écriture entre les réseaux, et autoriser les requêtes en lecture.
3. Si un nœud du réseau, tel qu'un boîtier CPL, utilise un protocole sans authentification pour échanger
des informations avec un autre nœud sur le même réseau physique, un pare-feu peut être
implémenté entre les deux nœuds. Ce pare-feu sera configuré pour autoriser explicitement une liste
de messages attendus entre les deux nœuds, et bloquer tout autre message.
4. L'implémentation d'un système de détection d'intrusion (IDS) permettra de détecter tout message
sans authentification et non attendu sur un réseau donné, et de déclencher une alerte en
conséquence. Cet IDS pourra être configuré pour journaliser tous les événements vers un système de
gestion des informations et des événements de sécurité (SIEM), centralisant l'ensemble des
informations de sécurité sur le réseau ICS.
5. L'implémentation d'un système de prévention d'intrusion (IPS) permettra de détecter et de bloquer tout
message sans authentification et non attendu sur un réseau donné. Cet IPS pourra être configuré pour
journaliser tous les événements vers un système de gestion des informations et des événements de
sécurité (SIEM), centralisant l'ensemble des informations de sécurité sur le réseau ICS.
6. Afin de limiter l'impact lié à la compromission d'un compte d'utilisateur, il est recommandé de
répartir les droits de niveau administrateur sur plusieurs comptes d'utilisateurs, chacun d'eux étant
associé à une fonction spécifique au niveau de l'exploitation.
7. Afin de limiter l'impact lié à la compromission des identifiants d'un utilisateur (nom d'utilisateur et
mot de passe) pour un équipement au sein du réseau ASI, il est recommandé de ne jamais utiliser ces
mêmes identifiants à d'autres fins.
8. Les identifiants utilisateurs (noms d'utilisateurs et mots de passe) permettant d'accéder aux
différents équipements ASI et de connectivité, tels que les commutateurs, les pares-feux, les
systèmes IDS et IPS, etc., doivent être administrés et protégés avec rigueur.
9. Il est recommandé de renouveler périodiquement ces identifiants, et de les modifier après tout
changement de personnel. Pour les produits ne permettant pas l'application d'une stratégie de mots
de passe uniques, il est recommandé d'implémenter des procédures basées sur un historique des
mots de passe.

9.5.3 Gestion des mots de passe

GE recommande fortement l'utilisation de mots de passe longs (12 caractères ou plus) et complexes,
partout où ces mots de passe sont requis pour l'authentification.
Dans le cas où le masque pour les mots de passe autorise un nombre maximal de caractères, il est
recommandé, chaque fois que possible, de définir des mots de passe en utilisant le nombre maximal de
caractères autorisés, afin de rendre plus difficile leur compromission.
Modifications réservées
GE_UPS_OPM_TME_MUL_15K_90K_1FR_V010.docx
Critical Power
Manuel Utilisateur TME Modular Series 15 à 90 UL S1
Page 69/71