Danfoss reste concentré sur la sécurité informatique

Immeubles de réseau

Danfoss intègre les meilleures pratiques et solutions de cybersécurité dans ses produits, systèmes et services. Notre approche de la sécurité dès la conception rend nos produits plus résistants aux cyberattaques. Nous mettons en œuvre des mécanismes pour atténuer les risques, réduire les failles exploitables et nous défendre contre les violations de données évitables et les cyberattaques au début du développement de nos produits.

Danfoss vise à se conformer à la norme CEI 62443, en tenant bien sûr compte des autres exigences des normes de sécurité supplémentaires.

En savoir plus Lire moins

Danfoss Electronic Controllers suit le développement sécurisé de la norme CEI 62443 au sein de ses équipes de développement

Recommandations pour les clients

Pour vous aider à assurer la sécurité et la protection de vos produits Danfoss, nous vous recommandons de mettre en œuvre les meilleures pratiques de cybersécurité ci-dessous.

Le respect de ces recommandations peut vous aider à réduire considérablement le risque de cybersécurité de votre entreprise.

CVE :
L’acronyme de Common Vulnerabilities and Exposures (Vulnérabilités et expositions communes) est une liste des failles de sécurité informatique divulguées publiquement.  

DDOS :
Distributed Denial of Service (Attaque par déni de service distribuée) : ce terme est utilisé lorsque 100 000 dispositifs distants attaquent un seul appareil sur le réseau Internet. Il s’agit d’une attaque très efficace sur un système. Même les grandes entreprises et les spécialistes en sécurité ne sont pas en mesure de maintenir leurs activités pendant une telle attaque. Ces attaques ont été évaluées à plus de 400 térabits/seconde, ce qui noie tout simplement la connexion à l'appareil. Cela ne peut être minimisé qu'au niveau de l'infrastructure Internet. 

Il n’existe pas de défense bon marché contre ce type d’attaques. Le seul moyen efficace est de les éviter, en se dissimulant.   

Exploitation à distance des failles :
On peut supposer que tous les logiciels ayant une interface avec Internet contiendront des failles exploitables. Par conséquent, les chercheurs sont constamment à la recherche de ces failles. Lorsqu’ils les trouvent, les fournisseurs de logiciels créent des correctifs adéquats. Il est donc très important d'effectuer les mises à jour et de disposer des versions les plus récentes afin d’éviter toute vulnérabilité dans le système. 

Par exemple, les anciens gestionnaires de systèmes utilisaient la version 1.12.1 de Nginx, pour laquelle plusieurs failles ont été détectées et corrigées. Par conséquent, la dernière version 3.1.9 du gestionnaire de système utilise désormais la version 1.21.0 de Nginx, qui n’a pas de failles connues à l’heure actuelle. Il est donc important de mettre à niveau vers la dernière version fournie par Danfoss°: de nouvelles failles étant découvertes en permanence, une nouvelle version avec un numéro supérieur peut être disponible après la rédaction de ce document.

  1. Les appareils doivent toujours être entièrement mis à jour avec la dernière version logicielle disponible fournie par Danfoss. Chaque version plus récente peut contenir des mises à jour de sécurité, qui sont expliquées dans l’annexe.
  2. Assurez-vous que l'appareil est toujours protégé contre un accès direct depuis Internet.(Installez les appareils réseau derrière un pare-feu)

Ce cours a pour but d'offrir une compréhension de base des quelques réglementations européennes à venir en matière de cybersécurité et de leur relation avec la sécurité supplémentaire du produit du gestionnaire de système AK-SM 800A.

https://event.on24.com/wcc/r/4542217/9DD4DD6F9BA5CA9B3DABDA48E088158A

Après cette formation, vous comprendrez pourquoi la cybersécurité est importante et vous connaîtrez les réglementations à venir en la matière.
En outre, vous connaîtrez certaines exigences en matière de sécurité des produits et saurez comment utiliser la sécurité accrue des produits dans le AK-SM 800A avec la dernière version logicielle 4.0.

Danfoss conseille vivement de protéger tous les périphériques réseau à l’aide d’un pare-feu et de sécuriser l’accès à distance.

Le problème qui peut survenir est que les systèmes qui ne sont pas entièrement mis à jour peuvent contenir des failles exploitables à distance connues, ce qui peut avoir des conséquences négatives sur le système. Les failles exploitables connues sont souvent publiées dans les bases de données CVE et sur de nombreux sites d’études de sécurité.

Cela signifie que la cartographie des périphériques directement sur Internet n’est pas recommandée, mais si nécessaire, il est important d’utiliser plusieurs mesures de protection pour protéger le système contre l’accès direct à Internet.  

Les préoccupations générales pour les dispositifs sont les suivantes.

  • DDOS – aucun correctif logiciel ne peut protéger contre ce type d’attaque. (Une protection grâce à un pare-feu est donc nécessaire)
  • Les exécutions à distance connues peuvent également laisser entrer un intrus. Par conséquent, toutes les mises à niveau logicielles sont nécessaires pour supprimer les failles exploitables connues.
  • L’exploitation de diverses failles de sécurité connues et inconnues peut entraîner des temps d’arrêt du système.

Commencez à diviser votre réseau en zones/segments. La mise en place de régulateurs Danfoss sur un réseau distinct réduira la zone d’attaque.

Il s’agit en général d’un exercice à prendre en compte dans votre réseau, indépendamment des régulateurs que vous utilisez.

La segmentation pourrait même être étendue à la microsegmentation, de sorte que, si un régulateur est compromis, il n'y aura pas de propagation au reste du réseau.

Voir l’exemple type de réseau segmenté ci-dessous :

Réseau segmenté

Placez toujours les systèmes et appareils Danfoss derrière les pare-feu et autres dispositifs de protection de sécurité qui limitent l’accès aux seules connexions à distance autorisées. Construire un réseau hautement sécurisé qui contribue à prévenir l’accès extérieur est la conduite de protection la plus essentielle contre les cyberattaques.

Nous vous recommandons de suivre ces directives :

  • Limitez l’accès aux réseaux sur lesquels les régulateurs Danfoss sont installés.
  • Assurez-vous que les systèmes et régulateurs Danfoss ne sont pas accessibles depuis Internet, sauf si placés derrière les pare-feu et autres dispositifs de protection.
  • Limitez la connectivité réseau externe à vos systèmes et appareils.
  • Surveillez en permanence les événements susceptibles d’indiquer une tentative d’accès non autorisé.
  • Limitez l’accès aux réseaux internes où résident les appareils.
  • Isolez les réseaux de systèmes de contrôle et de sécurité et les appareils à distance du réseau d’entreprise.

Pour une connexion/un accès sécurisé(e), vous pouvez également utiliser une connexion VPN.

Pare-feu Internet

Mettez en place des méthodes sécurisées pour permettre aux utilisateurs distants d'accéder à votre réseau. Exigez que tous les utilisateurs distants se connectent et s’identifient via une interface unique administrée avant d’effectuer des mises à niveau logicielles, des opérations de maintenance et d’autres activités de support du système.

Lorsqu’il est nécessaire d’accéder aux appareils à partir de sites distants, il est important de limiter autant que possible l’exposition de l'appareil. Les solutions suivantes présentent des moyens de protection de l'appareil et du réseau tout en offrant la souplesse d’accéder à distance au l'appareil.

IP fixe sur les appareils mobiles :

L’utilisation d’adresses IP fixes sur des appareils mobiles distants est la solution la plus simple pour maintenir l’accès à distance au système tout en garantissant la sécurité totale de l’appareil contre les attaques hostiles. Elle protège également l’appareil contre les attaques DDOS. 

Passerelle à distance

Les solutions de proxy sont plus complexes à mettre en place ; cependant, elles offrent une sécurité accrue ainsi que la possibilité de fournir un certificat SSL (Secure Sockets Layer) valable pour l’accès au système. Le système de proxy expose un accès authentifié du système à l'Internet, et cet accès authentifié subira la plus grande partie des attaques du système, protégeant le gestionnaire du système d'être compromis. 

Le proxy peut utiliser des méthodes telles que les authentificateurs, l’authentification à 2 facteurs et d’autres mécanismes de sécurité pour s’assurer que seul l’accès autorisé est permis.

Le proxy est verrouillé par IP au niveau du pare-feu qui protège le gestionnaire de système. Tous les clients mobiles utilisent des adresses IP aléatoires et s'authentifient auprès du proxy (généralement à l'aide de certificats, d'une authentification à deux facteurs ou autre), ce qui crée une validation forte du client.

L’accès direct par le pare-feu et le proxy est refusé à tous les clients hostiles, car ils ne peuvent pas fournir les informations d’identification requises pour communiquer avec le proxy.  

Cela signifie que le proxy supportera la plupart des attaques de sécurité. Dans le pire des cas, le proxy sera victime d'un DDOS et l'accès local au gestionnaire du système sera toujours possible.

Solutions de proxy

Alsense peut fournir cette solution via une connexion VPN (Virtual Private Network) ou via une solution de proxy liée à l’IP, où la connexion du régulateur peut être limitée au système cloud Alsense, ce qui réduit à nouveau l’exposition du système à Internet et permet à Alsense d’assurer la protection du système.

Alsense est une solution cloud Danfoss pour accéder aux gestionnaires de système et bien plus encore. Cette solution offre les mêmes avantages que la solution proxy, mais elle est gérée par Danfoss et, en tant que telle, le client n'a pas besoin de mettre en œuvre, ni de maintenir et d'exploiter le proxy.

Instructions techniques et explications pour la configuration d’un pare-feu
Lien TP 2

L’accès aux réseaux industriels doit être effectué via des journaux d’authentification/audit, par exemple VPN ou pare-feu, afin que l’accès puisse être audité et que les événements de sécurité puissent être analysés le cas échéant. Réduisez les risques de fuites de données en surveillant et en auditant les événements système 24 h/24 et 7 j/7. Utilisez des systèmes de détection des intrusions, des systèmes de prévention des intrusions, des logiciels antivirus et des journaux d’utilisation pour détecter les fuites de données ou les incidents dès leurs premières manifestations.

Il est recommandé d'utiliser un logiciel de surveillance des réseaux pour détecter toute alerte de trafic inhabituel, toute tentative d'accès infructueuse, etc. Les directives sont vastes, allant des exigences informatiques générales couvertes par la norme ISO 27001 aux spécificités de la norme CEI 62443, et peuvent être trouvées dans les normes internationales suivantes.

Pour en savoir plus sur les solutions de surveillance proposées par Danfoss, cliquez sur le lien suivant.

Notre solution Alsense Cloud répond déjà aux normes OWASP, NIST et, bien entendu, à la réglementation générale sur la protection des données : les Solutions IoT d’Alsense et surveillance pour CVC | Danfoss

FAQ IoT Alsense

Une usine ou une machine est généralement exploitée par plus d’une personne, c’est pourquoi il est recommandé de procéder à une administration centralisée des utilisateurs.

Modifiez les mots de passe par défaut lors de la mise en service et utilisez le produit pour créer des niveaux d’accès utilisateur.

Exemple : le gestionnaire de système Danfoss est un produit possible qui permet de définir le niveau d’accès utilisateur de l'appareil pour d’autres utilisateurs possibles.

Ceci est particulièrement important pour les comptes administrateur et les appareils du système de régulation. Utilisez l’accès basé sur les rôles avec l’authentification à plusieurs facteurs pour aider à prévenir les failles de sécurité et fournir un journal des accès.

Les utilisateurs doivent éviter de partager leurs mots de passe, car cela peut faciliter l'audit des accès et empêcher les mots de passe d'être divulgués à la population en général. Un mot de passe commun est en général connu de tous et empêche la vérification des problèmes de sécurité.

Envisagez d'ajouter des fonctions de sécurité des mots de passe, par exemple un verrouillage du compte qui s'active lorsque trop de mots de passe incorrects sont saisis.

Principes de base :

  • Les mécanismes de liste blanche offrent une protection supplémentaire contre les applications indésirables ou les logiciels malveillants, ainsi que contre les modifications non autorisées apportées aux applications installées.

  • Le logiciel de mise en liste blanche crée ou contient une liste de logiciels et d'applications autorisés à s’exécuter sur le PC.

Utilisez la liste blanche pour définir les applications, les adresses IP, etc. autorisées. La liste blanche est la forme la plus puissante de contrôle de la sécurité, car elle bloque les tentatives de contournement. Toutefois, si, pour une raison quelconque, la mise en liste blanche n’est pas une option viable, alors, si possible, mettez en place une liste noire pour bloquer les problèmes de sécurité connus, mais en sachant que les listes noires peuvent être contournées facilement.

La liste noire est un dispositif de contrôle d’accès de base qui permet de bloquer les éléments indésirables (adresses e-mail, utilisateurs, mots de passe, URL, adresses IP, noms de domaine, hachages de fichiers, etc.), sauf ceux explicitement mentionnés. Ces éléments de la liste sont interdits d’accès.

La liste noire peut aider à empêcher les virus, spywares, chevaux de Troie, vers et autres types de malwares connus d’accéder à votre système.

Souvent, l’utilisation conjointe de la liste noire et de la liste blanche est l’option parfaite. Vous pouvez utiliser différentes approches à différents niveaux de votre infrastructure et même utiliser les deux au même niveau.

De nombreuses organisations utilisent à la fois la liste noire et la liste blanche pour différentes parties de leurs stratégies de sécurité. Par exemple, le contrôle de l’accès à un ordinateur ou à un compte à l’aide d’un mot de passe est une liste blanche. Seules les personnes ayant le mot de passe sont autorisées à y accéder, et toutes les autres ne peuvent pas entrer. Bon nombre de ces entreprises exécutent également des programmes antimalware qui utilisent une liste noire de malwares connus pour bloquer les programmes malveillants.

Proposez une formation à la cybersécurité à vos collaborateurs pour les aider à assurer la sécurité de votre entreprise. Expliquez les e-mails d’hameçonnage, les pièces jointes infectées, les sites Web malveillants et les autres méthodes qui les attaquent directement.

Exemple : Le département informatique de Danfoss, conformément à la norme ISO 27001, propose chaque année une formation en ligne obligatoire à tous les employés, afin de former les personnes et de comprendre comment chacun au sein d'une entreprise peut contribuer à la cybersécurité.

Bien qu’il ne s’agisse pas seulement d’une question de cybersécurité, il est important de mettre en place des contrôles physiques afin qu’aucune personne non autorisée ne puisse accéder à votre équipement. Conservez tous les régulateurs dans des armoires verrouillées et limitez l’accès aux appareils connectés.

Informations générales

La cybersécurité ne peut être efficace que si tout le monde participe à la sécurisation du système.

Comme le montre la visualisation ci-dessus dans la famille des normes CEI-62443, il faudra un effort et une activité partagés puisque la sécurité est une responsabilité partagée. En tant que fournisseur de produits, Danfoss vise à se conformer aux normes CEI 62443-4-1 et CEI 62443-4-2.

Il faudra en outre que l'intégrateur de système et le propriétaire des biens assument leurs responsabilités et prennent des mesures d'atténuation.

Consultez les documents pour obtenir des informations spécifiques au produit

Danfoss fournit des informations détaillées sur chaque produit. Consultez les guides de produits sur le site Internet ou ceux qui accompagnent vos produits pour trouver des conseils en matière de cybersécurité et les meilleures pratiques directement liées à vos produits Danfoss.

Consultez également les informations spécifiques en ligne telles que la page FAQ de Danfoss, où ce guide des meilleures pratiques a été publié.

FAQ sur les régulateurs électroniques et les services | Danfoss

Pour plus d’informations sur les meilleures pratiques en matière de cybersécurité, consultez ces ressources :

Avertissement :

CE DOCUMENT A POUR BUT D'AIDER À FOURNIR DES RECOMMANDATIONS GÉNÉRALES EN MATIÈRE DE SÉCURITÉ ET EST FOURNI « TEL QUEL » SANS GARANTIE D'AUCUNE SORTE. DANFOSS DÉCLINE TOUTE GARANTIE, EXPRESSE OU IMPLICITE, Y COMPRIS LES GARANTIES DE QUALITÉ MARCHANDE OU D’ADÉQUATION À UN USAGE PARTICULIER. EN AUCUN CAS DANFOSS NE POURRA ÊTRE TENU POUR RESPONSABLE DE TOUT DOMMAGE QUEL QU'IL SOIT, Y COMPRIS LES DOMMAGES DIRECTS, INDIRECTS, ACCIDENTELS, CONSÉCUTIFS, LA PERTE DE BÉNÉFICES COMMERCIAUX OU LES DOMMAGES SPÉCIAUX, MÊME SI DANFOSS A ÉTÉ INFORMÉ DE LA POSSIBILITÉ DE TELS DOMMAGES. L’UTILISATION DE CE DOCUMENT, DES INFORMATIONS QU’IL CONTIENT OU DES MATÉRIAUX QUI Y SONT LIÉS EST À VOS PROPRES RISQUES. DANFOSS SE RÉSERVE LE DROIT DE METTRE À JOUR OU DE MODIFIER CE DOCUMENT À TOUT MOMENT ET À SA SEULE DISCRÉTION.