Publicité
Introduction
2.2 Recommandations de sécurité des données
Certificats et clés
• Utilisez une autorité de certification digne de confiance (CA) qui prend en charge la
révocation de clés et la signature des certificats.
• SINEC OS comprend des certificats et des clés de fournisseur pour la première ouverture
d'une session. Utilisez l'appareil uniquement après avoir installé des certificats et des clés
signés par une autorité de certification digne de confiance (CA).
• Si vous soupçonnez une violation de sécurité, modifiez immédiatement tous les certificats et
toutes les clés.
• Des clés SSH et SSL sont à la disposition des utilisateurs Admin. Veuillez vous assurer que vous
prenez bien des mesures de sécurité appropriées lorsque vous expédiez l'appareil hors de
l'environnement habituel :
– Remplacez les clés SSH et SSL par des clés jetables avant l'expédition.
– Mettez les clés SSH et SSL existantes hors service. Créez et programmez au retour de
• Utilisez des certificats au format "PKCS #12", protégés par mot de passe.
• Utilisez des certificats possédant une longueur de clé de 4096 bits.
• Avant de retourner l'appareil à Siemens pour réparation, remplacez les clés et certificats
courants par des clés et certificats temporaires jetables que vous pourrez détruire lorsque
l'appareil vous sera retourné.
• Contrôlez les certificats et empreintes digitales sur le serveur pour éviter ainsi toute attaque
dite de l'homme du milieu (MitM, Man-in-the-Middle).
Accès physique/à distance
• Exploitez les appareils uniquement dans une zone protégée du réseau. Si le réseau interne
est découplé du réseau externe, un attaquant n'a pas accès aux données internes.
• Réservez l'accès physique à l'appareil exclusivement au personnel digne de confiance. Un
utilisateur malveillant qui se serait procuré les supports amovibles de l'appareil pourrait en
extraire des informations sensibles telles que certificats, clés, etc. (les mots de passe des
utilisateurs sont protégés par des codes de hachage) ou reprogrammer les supports.
• Contrôlez l'accès à la console série avec la même minutie que tout accès à l'appareil.
• Il est instamment recommandé de laisser la protection contre les attaques par force brute
(BFA, Brute-force-attack) activée pour empêcher toute intrusion à l'appareil.
Pour plus d'informations, voir "Empêcher des attaques par force brute (BFA) (Page 189)".
• Si vous communiquez via des réseaux non sûrs, utilisez des appareils complémentaires
compatibles VPN, permettant de crypter et d'authentifier les communications.
• Si vous établissez une communication sécurisée à un serveur (pour une mise à niveau sûre
par exemple), veillez à ce que le serveur utilise des méthodes de cryptage et des protocoles
robustes.
• Mettez correctement fin aux liaisons de gestion (HTTP, HTTPS, SSH p. ex.).
• Veuillez vous assurer que l'appareil a été intégralement mis hors tension avant de le mettre
hors service.
Pour plus d'informations, voir "Mise hors service l'appareil (Page 130)".
32
l'appareil de nouvelles clés pour l'appareil.
Command Line Interface (CLI) SINEC OS V2.4
Manuel de configuration, 10/2023, C79000-G8977-C498-07
Publicité
