Cybersécurité
Directive sur la cybersécurité
Utilisez ce produit à l'intérieur d'un système d'automatisation et de contrôle industriel sécurisé. La protection totale des composants (équipements/dispositifs), des systèmes, des organisations et des réseaux contre les menaces de cyberattaque nécessite des mesures d'atténuation des cyberrisques à plusieurs niveaux, une détection précoce des incidents et des plans de réponse et de récupération appropriés lorsque des incidents se produisent. Pour plus d'informations sur la cybersécurité, consultez le Guide de cybersécurité de l'IHM/IPC Pro-face.
https://www.proface.com/en/download/manual/cybersecurity_guide
|
Le non-respect de ces directives peut entraîner la mort, des blessures graves ou des dommages matériels. |
AVERTISSEMENT
Fonctions de sécurité fournies
Les fonctions de cybersécurité suivantes sont fournies par ce produit. Ces fonctions offrent des capacités de sécurité qui contribuent à protéger le produit contre les menaces potentielles pour la sécurité :
- Sécurité (Gestion des utilisateurs)
La fonction de sécurité permet d'empêcher les utilisateurs non autorisés d'accéder aux objets et aux écrans. Connectez-vous avec un nom d'utilisateur et un mot de passe valides pour accéder aux objets et aux écrans protégés. Vous pouvez accéder à un objet ou un écran protégé uniquement si votre niveau de sécurité est égal ou supérieur au niveau de sécurité défini pour l'objet.
Vue d'ensemble - Gestion des mots de passe (politique de mot de passe complexe, expiration du mot de passe)
Vous pouvez sélectionner la politique de mot de passe complexe de l'utilisateur et définir l'expiration du mot de passe. - Paramètres de cible
Spécifiez le niveau de sécurité requis pour transférer le fichier de projet et afficher l'écran Configuration du matériel.
Paramètres de cible - Journal des opérations
La conservation d'un journal des opérations effectuées sur votre projet est utile pour analyser la cause des problèmes, par exemple pour confirmer l'opération effectuée avant que l'erreur ne soit détectée.
Vue d'ensemble - Mot de passe du projet (ouverture et transfert)
Pour renforcer la sécurité des projets, ajoutez un mot de passe de projet, nécessaire pour ouvrir ou transférer un projet.
Éviter les changements non autorisés à un projet - Chiffrement de la base de données (Alarme, Journalisation, Recette, Journal des opérations)
Vous pouvez chiffrer l'historique des alarmes, les données de journalisation, les données de recette et le journal des opérations enregistrés dans la base de données.
Propriétés (Toutes les alarmes)
Propriétés (Journal des opérations)
Propriétés (Toutes les journalisations)
Propriétés (Contrôle de recette) - Détection de modification de fichier d'exportation par code de hachage
Vous pouvez vérifier le code utilisé pour détecter une modification dans le fichier exporté à l'aide de l'outil Export File Validation.
Exportation et importation des alarmes
Exportation et importation des paramètres et des données de journalisation
Exportation des journaux d'opérations - Transfert IPsec
Vous pouvez utiliser le transfert chiffré IPsec via Ethernet pour empêcher tout accès non autorisé. L'IETF (Internet Engineering Task Force) a développé et conçu une IPsec (Internet Protocol Security) en tant qu'ensemble ouvert de normes relatives aux protocoles pour s'assurer que les sessions de communication IP sont privées et sécuritaires. Les algorithmes d'authentification et de chiffrement IPsec nécessitent des clés cryptographiques définies par l'utilisateur qui traitent les paquets de communication lors d'une session IPsec.
Transfert d'un projet par Ethernet en IPsec
Pour les applications sécuritaires
Cette section explique quelques points pour configurer les applications en toute sécurité.
Les messages relatifs à la sécurité apparaissent dans l'onglet [Avertissements de sécurité] de la zone de commentaires. Examinez les messages et prenez les mesures correctives nécessaires pour réduire votre risque de cybersécurité.
Pour créer un réseau sécuritaire afin d'empêcher les accès non autorisés
- Créez un environnement de communication à l'aide de communications chiffrées (p. ex., VPN). Vous pouvez utiliser Pro-face Connect pour créer un environnement de communication chiffré.
Configuration de Pro-face Connect - Assurez-vous que le réseau est sécuritaire avant d'établir la communication et de transférer les données par Ethernet.
- Sélectionnez une option de transfert qui n'est pas basée sur la communication Ethernet (p. ex., câble USB ou système de fichiers).
Transfert d'un projet par câble USB
Transfert d'un projet à l'aide du système de fichiers
Si vous avez besoin d'une option de transfert basée sur la communication Ethernet, nous vous recommandons d'utiliser IPsec.
Transfert d'un projet par Ethernet en IPsec - Ouvrez le port pour la communication de données uniquement lorsque vous utilisez le service de communication.
- Protégez votre ordinateur avec un pare-feu et assurez-vous qu'il est utilisé sur un réseau sécuritaire autorisé.
- Installez l'afficheur sur un réseau sécurisé autorisé et protégez l'afficheur avec un pare-feu.
Nous vous recommandons d'utiliser une politique de sécurité plus sûre basée sur AES lors de la connexion au serveur OPC UA.
Connexion au serveur OPC/UASi vous vous connectez à un serveur FTP, nous vous recommandons d'utiliser FTPS (FTP sur SSL/TLS).
Utilisez un serveur FTP ou une adresse IP de confiance.
Pour empêcher l'emprunt d'identité dans l'afficheur
- Utilisez les fonctions de sécurité.
- Utilisez la fonction de déconnexion automatique.
- Accordez un niveau de sécurité approprié pour le déverrouillage à un nombre limité d'utilisateurs (autorisez uniquement les utilisateurs avec des droits d'administrateur, etc.).
- Le mot de passe n'est pas demandé pour les opérations ci-dessous :
- Blocage de l'opération Équipement externe - Transfert (stockage USB/carte SD)
- Blocage de l'opération Équipement externe - Téléchargement (stockage USB/carte SD)
- Afficher la configuration du matériel
Lorsque vous utilisez Web Viewer pour vous connecter à l'afficheur, ne touchez pas le bouton [***] pour afficher le mot de passe. Le mot de passe affiché deviendra visible pour tous les afficheurs connectés et les clients Web Viewer.
Définissez le niveau de sécurité pour les commutateurs utilisés pour les opérations ci-dessus.
Lors de l'utilisation d'un équipement Série SP5000 Open Box (modèle Windows 10 IoT Enterprise), Série IPC ou PC/AT.
- Utilisez Runtime uniquement sur un ordinateur autorisé.
- Ne vous connectez pas à Windows sous un compte ayant des droits d'administrateur sauf lors du transfert de projets ou de la réalisation d'autres opérations nécessitant spécifiquement des droits d'administrateur.
- Utilisez les fonctions de sécurité dans Windows (définir un mot de passe, utiliser la fonction de déconnexion automatique, etc.).
- Définissez des mots de passe sécuritaires et la sécurité pour le compte d'administrateur de votre projet.
Pour protéger les informations contre la modification
- Protégez votre ordinateur en suivant les meilleures pratiques optimales en matière de cybersécurité (antivirus, systèmes d'exploitation mis à jour, logiciel de liste d'autorisation d'application, etc.) en observant les directives suivantes :
https://www.pro-face.com/trans/en/manual/1087.html - Gérez soigneusement vos propres données.
- Protégez votre projet en ajoutant un mot de passe de projet.
Éviter les changements non autorisés à un projet - Lors de l'utilisation de l'option de transfert à l'aide d'un câble USB ou d'un câble Ethernet, activez [Paramètre de sécurité] dans [Méthode de transfert]. Pour les procédures détaillées, consultez ce qui suit.
Transfert d'un projet par Ethernet en IPsec
Transfert d'un projet par câble USB
Transfert d'un projet par Ethernet - N'exécutez pas le logiciel d'édition d'écrans avec des droits d'administrateur Windows.
Utilisez le logiciel d'édition d'écran uniquement sur un ordinateur autorisé.