Danfoss reste concentré sur la sécurité informatique

CVE :
L’acronyme de Common Vulnerabilities and Exposures (Vulnérabilités et expositions communes) est une liste des failles de sécurité informatique divulguées publiquement.  

DDOS :
Distributed Denial of Service (Attaque par déni de service distribuée) : ce terme est utilisé lorsque 100 000 dispositifs distants attaquent un seul appareil sur le réseau Internet. Il s’agit d’une attaque très efficace sur un système. Même les grandes entreprises et les spécialistes en sécurité ne sont pas en mesure de maintenir leurs activités pendant une telle attaque. Ces attaques ont été évaluées à plus de 400 térabits/seconde, ce qui noie tout simplement la connexion à l'appareil. Cela ne peut être minimisé qu'au niveau de l'infrastructure Internet. 

Il n’existe pas de défense bon marché contre ce type d’attaques. Le seul moyen efficace est de les éviter, en se dissimulant.   

Exploitation à distance des failles :
On peut supposer que tous les logiciels ayant une interface avec Internet contiendront des failles exploitables. Par conséquent, les chercheurs sont constamment à la recherche de ces failles. Lorsqu’ils les trouvent, les fournisseurs de logiciels créent des correctifs adéquats. Il est donc très important d'effectuer les mises à jour et de disposer des versions les plus récentes afin d’éviter toute vulnérabilité dans le système. 

Par exemple, les anciens gestionnaires de systèmes utilisaient la version 1.12.1 de Nginx, pour laquelle plusieurs failles ont été détectées et corrigées. Par conséquent, la dernière version 3.1.9 du gestionnaire de système utilise désormais la version 1.21.0 de Nginx, qui n’a pas de failles connues à l’heure actuelle. Il est donc important de mettre à niveau vers la dernière version fournie par Danfoss°: de nouvelles failles étant découvertes en permanence, une nouvelle version avec un numéro supérieur peut être disponible après la rédaction de ce document.

1. Les appareils doivent toujours être entièrement mis à jour avec la dernière version logicielle disponible fournie par Danfoss. Chaque version plus récente peut contenir des mises à jour de sécurité, qui sont expliquées dans l’annexe.
2. Assurez-vous que l'appareil est toujours protégé contre un accès direct depuis Internet.(Installez les appareils réseau derrière un pare-feu)

Commencez à diviser votre réseau en zones/segments. La mise en place de régulateurs Danfoss sur un réseau distinct réduira la zone d’attaque.

Il s’agit en général d’un exercice à prendre en compte dans votre réseau, indépendamment des régulateurs que vous utilisez.

La segmentation pourrait même être étendue à la microsegmentation, de sorte que, si un régulateur est compromis, il n'y aura pas de propagation au reste du réseau.

Voir l’exemple type de réseau segmenté ci-dessous :

Placez toujours les systèmes et appareils Danfoss derrière les pare-feu et autres dispositifs de protection de sécurité qui limitent l’accès aux seules connexions à distance autorisées. Construire un réseau hautement sécurisé qui contribue à prévenir l’accès extérieur est la conduite de protection la plus essentielle contre les cyberattaques.

Nous vous recommandons de suivre ces directives :

• Limitez l’accès aux réseaux sur lesquels les régulateurs Danfoss sont installés.
• Assurez-vous que les systèmes et régulateurs Danfoss ne sont pas accessibles depuis Internet, sauf si placés derrière les pare-feu et autres dispositifs de protection.
• Limitez la connectivité réseau externe à vos systèmes et appareils.
• Surveillez en permanence les événements susceptibles d’indiquer une tentative d’accès non autorisé.
• Limitez l’accès aux réseaux internes où résident les appareils.
• Isolez les réseaux de systèmes de contrôle et de sécurité et les appareils à distance du réseau d’entreprise.

Pour une connexion/un accès sécurisé(e), vous pouvez également utiliser une connexion VPN.

Mettez en place des méthodes sécurisées pour permettre aux utilisateurs distants d'accéder à votre réseau. Exigez que tous les utilisateurs distants se connectent et s’identifient via une interface unique administrée avant d’effectuer des mises à niveau logicielles, des opérations de maintenance et d’autres activités de support du système.

Lorsqu’il est nécessaire d’accéder aux appareils à partir de sites distants, il est important de limiter autant que possible l’exposition de l'appareil. Les solutions suivantes présentent des moyens de protection de l'appareil et du réseau tout en offrant la souplesse d’accéder à distance au l'appareil.

IP fixe sur les appareils mobiles :

L’utilisation d’adresses IP fixes sur des appareils mobiles distants est la solution la plus simple pour maintenir l’accès à distance au système tout en garantissant la sécurité totale de l’appareil contre les attaques hostiles. Elle protège également l’appareil contre les attaques DDOS. 

Les solutions de proxy sont plus complexes à mettre en place ; cependant, elles offrent une sécurité accrue ainsi que la possibilité de fournir un certificat SSL (Secure Sockets Layer) valable pour l’accès au système. Le système de proxy expose un accès authentifié du système à l'Internet, et cet accès authentifié subira la plus grande partie des attaques du système, protégeant le gestionnaire du système d'être compromis. 

Le proxy peut utiliser des méthodes telles que les authentificateurs, l’authentification à 2 facteurs et d’autres mécanismes de sécurité pour s’assurer que seul l’accès autorisé est permis.

Le proxy est verrouillé par IP au niveau du pare-feu qui protège le gestionnaire de système. Tous les clients mobiles utilisent des adresses IP aléatoires et s'authentifient auprès du proxy (généralement à l'aide de certificats, d'une authentification à deux facteurs ou autre), ce qui crée une validation forte du client.

L’accès direct par le pare-feu et le proxy est refusé à tous les clients hostiles, car ils ne peuvent pas fournir les informations d’identification requises pour communiquer avec le proxy.  

Cela signifie que le proxy supportera la plupart des attaques de sécurité. Dans le pire des cas, le proxy sera victime d'un DDOS et l'accès local au gestionnaire du système sera toujours possible.

Alsense peut fournir cette solution via une connexion VPN (Virtual Private Network) ou via une solution de proxy liée à l’IP, où la connexion du régulateur peut être limitée au système cloud Alsense, ce qui réduit à nouveau l’exposition du système à Internet et permet à Alsense d’assurer la protection du système.

Alsense est une solution cloud Danfoss pour accéder aux gestionnaires de système et bien plus encore. Cette solution offre les mêmes avantages que la solution proxy, mais elle est gérée par Danfoss et, en tant que telle, le client n'a pas besoin de mettre en œuvre, ni de maintenir et d'exploiter le proxy.

L’accès aux réseaux industriels doit être effectué via des journaux d’authentification/audit, par exemple VPN ou pare-feu, afin que l’accès puisse être audité et que les événements de sécurité puissent être analysés le cas échéant. Réduisez les risques de fuites de données en surveillant et en auditant les événements système 24 h/24 et 7 j/7. Utilisez des systèmes de détection des intrusions, des systèmes de prévention des intrusions, des logiciels antivirus et des journaux d’utilisation pour détecter les fuites de données ou les incidents dès leurs premières manifestations.

Il est recommandé d'utiliser un logiciel de surveillance des réseaux pour détecter toute alerte de trafic inhabituel, toute tentative d'accès infructueuse, etc. Les directives sont vastes, allant des exigences informatiques générales couvertes par la norme ISO 27001 aux spécificités de la norme CEI 62443, et peuvent être trouvées dans les normes internationales suivantes.

Une usine ou une machine est généralement exploitée par plus d’une personne, c’est pourquoi il est recommandé de procéder à une administration centralisée des utilisateurs.

Modifiez les mots de passe par défaut lors de la mise en service et utilisez le produit pour créer des niveaux d’accès utilisateur.

Ceci est particulièrement important pour les comptes administrateur et les appareils du système de régulation. Utilisez l’accès basé sur les rôles avec l’authentification à plusieurs facteurs pour aider à prévenir les failles de sécurité et fournir un journal des accès.

Les utilisateurs doivent éviter de partager leurs mots de passe, car cela peut faciliter l'audit des accès et empêcher les mots de passe d'être divulgués à la population en général. Un mot de passe commun est en général connu de tous et empêche la vérification des problèmes de sécurité.

Envisagez d'ajouter des fonctions de sécurité des mots de passe, par exemple un verrouillage du compte qui s'active lorsque trop de mots de passe incorrects sont saisis.

Principes de base :

• Les mécanismes de liste blanche offrent une protection supplémentaire contre les applications indésirables ou les logiciels malveillants, ainsi que contre les modifications non autorisées apportées aux applications installées.

• Le logiciel de mise en liste blanche crée ou contient une liste de logiciels et d'applications autorisés à s’exécuter sur le PC.

Utilisez la liste blanche pour définir les applications, les adresses IP, etc. autorisées. La liste blanche est la forme la plus puissante de contrôle de la sécurité, car elle bloque les tentatives de contournement. Toutefois, si, pour une raison quelconque, la mise en liste blanche n’est pas une option viable, alors, si possible, mettez en place une liste noire pour bloquer les problèmes de sécurité connus, mais en sachant que les listes noires peuvent être contournées facilement.

La liste noire est un dispositif de contrôle d’accès de base qui permet de bloquer les éléments indésirables (adresses e-mail, utilisateurs, mots de passe, URL, adresses IP, noms de domaine, hachages de fichiers, etc.), sauf ceux explicitement mentionnés. Ces éléments de la liste sont interdits d’accès.

La liste noire peut aider à empêcher les virus, spywares, chevaux de Troie, vers et autres types de malwares connus d’accéder à votre système.

Souvent, l’utilisation conjointe de la liste noire et de la liste blanche est l’option parfaite. Vous pouvez utiliser différentes approches à différents niveaux de votre infrastructure et même utiliser les deux au même niveau.

De nombreuses organisations utilisent à la fois la liste noire et la liste blanche pour différentes parties de leurs stratégies de sécurité. Par exemple, le contrôle de l’accès à un ordinateur ou à un compte à l’aide d’un mot de passe est une liste blanche. Seules les personnes ayant le mot de passe sont autorisées à y accéder, et toutes les autres ne peuvent pas entrer. Bon nombre de ces entreprises exécutent également des programmes antimalware qui utilisent une liste noire de malwares connus pour bloquer les programmes malveillants.

Proposez une formation à la cybersécurité à vos collaborateurs pour les aider à assurer la sécurité de votre entreprise. Expliquez les e-mails d’hameçonnage, les pièces jointes infectées, les sites Web malveillants et les autres méthodes qui les attaquent directement.

Bien qu’il ne s’agisse pas seulement d’une question de cybersécurité, il est important de mettre en place des contrôles physiques afin qu’aucune personne non autorisée ne puisse accéder à votre équipement. Conservez tous les régulateurs dans des armoires verrouillées et limitez l’accès aux appareils connectés.