9
GUIDE DE DÉPLOIEMENT SÉCURISÉ
9.1
INTRODUCTION
Ce document fournit des informations pouvant être exploitées dans le cadre du renforcement de la
sécurité des systèmes ASI, de l'adaptateur SNMP/Web et d'autres produits de connectivité.
Ces informations s'adressent aux techniciens d'intégration et de maintenance, aux professionnels IT et
aux développeurs en charge du déploiement et de la configuration des systèmes ASI et des
équipements de connectivité.
Assurer la sécurité d'un système consiste à maintenir la confidentialité, l'intégrité et la disponibilité des
informations:
• Confidentialité:
S'assurer que seules les personnes autorisées accèdent aux informations;
• Intégrité:
S'assurer que les données ne subissent aucune altération;
• Disponibilité:
S'assurer que le système et les données sont accessibles et exploitables.
GE reconnaît la nécessité de concevoir et de déployer des produits dans la stricte observance de ces
principes, et encourage ses clients à prendre les mesures appropriées à la sécurisation de leurs produits
et solutions GE.
Les pares-feux et autres équipements de sécurité réseau, tels que les systèmes de prévention des
intrusions ou de type "data diodes", sont des éléments essentiels à toute stratégie de sécurité.
Cependant, pour être pleinement résiliente, cette stratégie ne doit pas reposer sur un mécanisme
unique de sécurité, mais intégrer plusieurs couches de sécurité indépendantes.
GE recommande par conséquent l'adoption d'une approche de "défense en profondeur" (DiD -
Defence in Depth) en matière de sécurité.
Une défense en profondeur consiste à intégrer plusieurs couches de sécurité indépendantes, afin de
minimiser les risques d'agressions.
Cette approche contraint les assaillants à rechercher puis à exploiter non pas une vulnérabilité unique,
mais les failles éventuelles de chaque couche de défense protégeant un équipement.
9.2
RECOMMANDATIONS D'ORDRE GENERAL
Dans le cadre de l'utilisation des produits et solutions GE, les mesures de sécurité suivantes doivent être
respectées.
• Les appliances ASI et les équipements de connectivité dont il est question dans ce document n'ont
pas été conçus pour être reliés directement à un réseau de type WAN, qu'il s'agisse d'un réseau
d'entreprise ou d'internet au sens large.
Afin d'accéder aux équipements évoqués dans ce document depuis l'extérieur des réseaux locaux de
contrôle, il convient d'utiliser les routeurs et les pares-feux qui ont été configurés spécifiquement
pour le site.
Si un système nécessite une connectivité externe, il convient de prendre soin de contrôler, filtrer et
surveiller les accès, à l'aide d'architectures appropriées et de mécanismes tels que les réseaux privés
virtuels (VPN) ou les zones démilitarisées (DMZ).
• Veillez à renforcer les configurations des systèmes en activant/utilisant les fonctionnalités de
sécurité disponibles, et en désactivant les ports, les services, les fonctions et les partages réseau non
utilisé.
• Veillez à appliquer les dernières mises à jour et correctifs de sécurité logiciels et firmware (procès
ECN).
• Utilisez le programme de listes blanches pour le monitoring des systèmes ASI, et maintenez les listes
à jour.
Modifications réservées
GE_UPS_OPM_TME_MUL_15K_90K_1FR_V010.docx
Critical Power
Manuel Utilisateur TME Modular Series 15 à 90 UL S1
Page 67/71