Sécurité industrielle Quel est le niveau de sécurité de votre entreprise ?

Les perturbations et les virus, p. ex. de l'environnement de bureau, peuvent être transmis directement au secteur de la production.

La solution : la segmentation du réseau

En divisant les grands réseaux en petits segments, il est possible de gérer l'échange des données entre les différentes zones, p. ex. entre la production et les bureaux ou entre les différentes parties des installations. La séparation des différents segments peut s'effectuer avec des VLAN ou des pare-feux. Pour la communication entre les différents segments des réseaux, il faut utiliser des routeurs ou des Layer-3-Switchs. Ces appareils compensent les erreurs réseau courantes, de sorte que celles-ci ne peuvent plus se propager dans le reste du réseau.

Un logiciel malveillant est souvent conçu pour essayer de se répandre dans les systèmes voisins et de les infecter. Par exemple, le logiciel malveillant WannaCry qui a infecté les systèmes Windows non patchés.

La solution : limiter la communication

En utilisant des pare-feux, il est possible de limiter ou d'empêcher la propagation de tels logiciels malveillants. Si toutes les possibilités de communication qui ne sont pas nécessaires au niveau technique sont supprimées, beaucoup d'attaques ne seront plus possibles. De plus, un Integrity Monitoring pour l'industrie (p. ex. CIM) permet de détecter à temps et d'endiguer les modifications et les manipulations des systèmes basés sur Windows, tels que les automates, les terminaux de commande ou les ordinateurs.

Par une connexion internet non sécurisée, des criminels peuvent copier des données ou modifier les installations.

La solution : la transmission de données cryptées

Les systèmes d'automatisation ne doivent pas être accessibles par internet. Cela est possible avec un pare-feu à l'accès internet, qui limite tout le trafic entrant mais aussi sortant aux connexions nécessaires et autorisées. Toutes les connexions d'un réseau étendu doivent être chiffrées, p. ex. par un VPN IPsec.

Le matériel infecté, tel que les clés USB ou les ordinateurs portables, peut transmettre le logiciel malveillant au réseau.

La solution : protéger les ports

La fonction Sécurité de port permet de régler directement sur les composants du réseau que les utilisateurs non autorisés ne pourront pas échanger de données avec le réseau. De plus, il est recommandé de désactiver les ports disponibles qui ne sont pas utilisés. Certains composants permettent aussi de vous envoyer une alarme par SNMP et par contact de signalisation, si un accès interdit est enregistré sur le réseau.

À distance, des modifications sont apportées involontairement sur le mauvais système.

La solution : un accès à distance sécurisé

L'accès à distance sécurisé à une ou plusieurs machines peut être réalisé avec différentes solutions technologiques. D'une part, la communication avec l'extérieur est chiffrée, p. ex. avec IPsec ou OpenVPN. D'autre part, il est possible de déclencher la télémaintenance sur la machine avec un interrupteur à clé.

Cela permet de garantir que les modifications seront uniquement effectuées sur la machine concernée. Simultanément, il est possible de bloquer les règles de communication du réseau pendant la télémaintenance avec l'interrupteur à clé.

Les appareils intelligents non autorisés se connectent par l'interface WLAN.

La solution : l'attribution de mots de passe WLAN sécurisés

Si les mots de passe WLAN sont connus et ne sont pas modifiés pendant une période prolongée, cela permet également à des tiers d'accéder de manière non contrôlée au réseau des machines. Les composants WLAN de Phoenix Contact permettent donc une gestion automatisée des clés par la commande des machines. Ainsi, il est possible de réaliser facilement des accès WLAN sécurisés aux machines sous forme de mots de passe à usage unique.

De plus, la communication WLAN peut être protégée par une zone démilitarisée (DMZ) et isolée du reste du réseau.