Publicité
Contrôleur de pompe parallèle Technologic® PPS
Recommandations en matière de sécurité pour l'utilisateur final
Le contrôleur de pompe Technologic PPS est développé dans le respect des pratiques exemplaires en matière de sécurité.
Les lignes directrices suivantes fournissent des recommandations pour une exploitation sécuritaire, le renforcement et la
gestion du compte. Dans le tableau ci-dessous : Mesures de protection décrit la consigne de sécurité, Contexte et justification
en matière de sécurité fourni un aperçu des caractéristiques des sécurité et de la valeur de la mesure de protection en
matière de sécurité et Références fourni des ressources supplémentaires à consulter dans le cadre de la mise en œuvre
des mesures de protection recommandées.
Mesure de protection
Restreindre l'accès physique
• S'assurer que l'accès physique aux actifs est
limité. Inclure un isolement physique pour
protéger l'environnement et l'équipement
qu'il contient.
• Assurer un contrôle strict de l'accès physique
à l'intérieur et à l'extérieur des installations.
S'assurer que le dispositif n'est pas exposé
à l'internet, en utilisant les recommandations
ci-dessous :
• Sécuriser l'accès réseau au dispositif avec
des connexions par réseau VPN.
• Mettre en place un pare-feu et définir des
règles afin de protéger le dispositif des
tentatives d'attaques par déni de service.
• Protéger l'information concernant l'adresse
réseau du dispositif à l'aide d'une technique
NAT (Network Address Translation).
Assurez-vous du bon suivi des politiques de
cybersécurité, et assurez la sensibilisation et la
formation des opérateurs, des administrateurs
et des autres membres du personnel
Assurez-vous que la gestion des correctifs est
effectuée régulièrement et que les mises à jour
sont faites de manière appropriée.
S'assurer que les lignes directrices en matière
de renforcement sont mises en œuvre, seuls
les ports et services souhaités devraient être
ouverts et la procédure CAFR doit être suivie.
S'assurer qu'une politique de mot de passe
fort est mise en œuvre et que les informations
d'identification par défaut ne sont pas utilisées;
les mots de passe doivent être modifiés
périodiquement.
Effectuer des sauvegardes des informations
au niveau du dispositif et au niveau du système.
Pour les entraînements IPC102, utiliser Danfoss
MCT10 SW pour sauvegarder le projet. Pour
Technologic PPS, utiliser l'option de sauvegarde
dans Configuration de l'utilisateur (Service ->
Filesystem) qui est sauvegardée et chargée lors
des démarrages à froid et après les pannes.
Mettre en œuvre un inventaire, une
journalisation et une surveillance spécifiques
pour le matériel et rapporter les incidents
liés à la sécurité à Xylem à l'adresse product.
security@xylem.com. Ceux-ci peuvent inclure
des opérations inattendues, une altération
confirmée ou le vol du dispositif.
Pour obtenir plus d'informations, consultez les références :
1. ATT&CK pour ICS disponible en ligne sur :
2. NIST SP 800-53 Rév. 5 disponible en ligne sur :
3. Normes ISA/IEC 62443 disponibles à l'achat auprès de l'ISA, de la CEI ou de l'ANSI.
PAGE 16
Contexte et justification en matière de sécurité
Les ports de communication ont été renforcés de
manière à restreindre l'accès et assurer l'intégrité
du fonctionnement du dispositif. Cette mesure
de protection prend en charge la capacité de
davantage limiter l'exposition associée aux
menaces physiques concernant le dispositif,
comme l'entrée dans le réseau Modbus RTU par
un dispositif mal intentionné par l'interface RS485.
Cette mesure de protection prévient l'exposition
des données et des commandes SCADA à
l'internet. Cela aide également à prévenir les
attaques de type « homme au milieu » lors d'un
accès au dispositif via Modbus par TCP/IP ou
BACnet IP.
Nous recommandons l'utilisation de méthodes de
segmentation et de ségrégation du réseau afin de
minimiser l'accès aux informations sensibles par les
systèmes et les personnes qui n'ont pas besoin d'y
accéder tout en assurant la poursuite des activités
de l'organisation avec efficacité.
Cette mesure de protection prévient les attaques
d'ingénierie sociale et favorise la sensibilisation
liée à la cybersécurité.
Cette mesure de protection empêche les attaques
liées à l'utilisation de composants présentant
des vulnérabilités connues. Il arrive que des
vulnérabilités soient découvertes; nous travaillons
avec nos partenaires afin de déployer des mises
à jour en matière de sécurité et de résilience.
Cette mesure de protection atténue les risques
d'exploitation et assure l'application de correctifs
de sécurité
Cette mesure de protection aide à prévenir les
attaques dues à des erreurs de configuration
ou à des configurations laissées aux valeurs par
défaut.
Cette mesure de protection aide à prévenir les
attaques impliquant le vol de mots de passe et
la prise de contrôle de compte.
La capacité d'effectuer des sauvegardes à jour
permet de reprendre les activités suite à des
défaillances du système de contrôle ou des erreurs
de configuration. Cela procure de la résilience,
y compris contre les rançongiciels.
Les dispositifs sont renforcés et Xylem possède
une équipe d'intervention en cas d'incident contre
la sécurité informatique afin d'aider les clients
à enquêter suite à un potentiel incident en matière
de sécurité. Cette mesure de protection prend
en charge une capacité de suivre les actifs et de
reconnaître les événements de sécurité potentiels.
https://collaborate.mitre.org/attackics/index.php/Mitigations
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r5.pdf
Bell & Gossett
Références
ATT&CK pour ICS : M0801
NIST SP 800-53 Rev5: AC-3, PE-3
ISA/IEC 62443-3-3: SR 2.1
ATT&CK pour ICS : M0930
NIST SP 800-95
NIST SP 800-44 v2
ISA/IEC 62443-3-3: SR 5.1, SR 7.1
ATT&CK pour ICS : M0917
NIST SP 800-53 Rev5: AT-2
ISA/IEC 62443-2-4: SP.01
ATT&CK pour ICS : M0951
NIST SP 800-53 Rev5 : MA-2
ISA/IEC 62443-2-3
ATT&CK pour ICS: M0937, M0918, M0801
NIST SP 800-53 Rev5: AC-3(7), SC-7(5)
ISA/IEC 62443-3-3: SR 2.1, SR 5.1
ATT&CK pour ICS : M0927
NIST SP 800-53 Rev5 : IA-5
ISA/IEC 62443-3-3 : SR 1.7
ATT&CK pour ICS : M0953
NIST SP 800-53 Rev5: CP-9
ISA/IEC 62443-3-3: SR 7.3
ATT&CK pour ICS : M0947
NIST SP 800-53 Rev5 : SM-8
ISA/IEC 62443-3-3 : SR 1.11, SR 2.8, SR 3.4
Publicité
