Renforcement Des Configurations; Limitation De La Bande Passante Reseau; Gestion Des Mises A Jour Et Des Correctifs Logiciels; Organismes Publics Et De Normalisation - GE TME Modular Série 15 Manuel Utilisateur

9.6

RENFORCEMENT DES CONFIGURATIONS

Le renforcement des configurations du système ASI et des équipements de connectivité complète les
stratégies de sécurité en place, basée sur l'authentification, le contrôle des accès et la gestion des permissions.
GE recommande de désactiver, sur chaque produit, tous les ports, services et protocoles non
indispensables à l'exploitation.
L'interface Ethernet peut être configurée pour désactiver des services tels que FTP, HTTP ou encore Telnet.
La désactivation de ces services ne bloquera pas entièrement le port TCP/UDP, mais réduira
significativement les possibilités d'attaque.
9.7

LIMITATION DE LA BANDE PASSANTE RESEAU

Afin de réduire les probabilités de saturation du réseau (flooding), intentionnelle ou accidentelle, pouvant
entraînant la perte de disponibilité de l'interface Ethernet, GE recommande fortement d'appliquer les
procédures décrites dans la section "9.5 - FONCTIONNALITES DE SECURITE".
Afin de réduire encore les risques liés à la perte de disponibilité d'un équipement particulièrement
critique, il est recommandé d'implémenter un commutateur ou un pare-feu limitant le trafic entrant et
sortant, entre le système ASI ou les équipements de connectivité et le reste du réseau.
En cas de risque de saturation du réseau, le commutateur ou le pare-feu écartera de façon sélective
une partie du trafic, préservant ainsi la disponibilité de l'équipement concerné.
9.8

GESTION DES MISES A JOUR ET DES CORRECTIFS LOGICIELS

Une stratégie d'application des correctifs de sécurité, des mises à jour des firmware et des modifications
de configuration, doit être intégrée au plan de sécurité du site.
L'application des correctifs et mises à jour peut nécessiter l'arrêt momentané d'un ou de plusieurs services.
Seul le personnel GE est autorisé à effectuer des opérations de maintenance sur le système ASI ou les
équipements de connectivité. Le personnel GE est autorisé à:
• Collecter/se procurer les mises à jour logicielles requises, à partir de sources GE sécurisées;
• Appliquer ces mises à jour et/ou modifier les paramètres de configuration des équipements GE.
Enfin, certaines installations nécessitent un processus de qualification avant tout déploiement des
modifications en environnement de production.
L'application des mises à jour et des correctifs pouvant entraîner des interruptions de service, il pourra
être souhaitable de disposer d'équipements d'infrastructure supplémentaires afin de réduire les délais
nécessaires aux processus de qualification.
9.9

ORGANISMES PUBLICS ET DE NORMALISATION

Les organismes publics et/ou de normalisation peuvent fournir des recommandations utiles pour
l'élaboration et la maintenance d'un programme de sécurité renforcé, ou pour le déploiement et
l'utilisation sécurisés de systèmes de contrôle industriel.
Par exemple, le département de la Sécurité intérieure des États-Unis a publié des guides portant sur la
conception d'architectures sécurisées et sur les pratiques recommandées pour la cyber-sécurité et les
systèmes de contrôle industriel.
De la même façon, l'ISA (International Society of Automation) propose les Spécifications ISA-99, portant
sur l'élaboration et l'exploitation d'un programme de cyber-sécurité, comprenant des recommandations
technologiques pour les systèmes d'automatisation et de contrôle industriels.
Selon les cas, ces différentes documentations complèteront utilement les informations contenues dans
ce document.
Modifications réservées
GE_UPS_OPM_TME_MUL_15K_90K_1FR_V010.docx
Critical Power
Manuel Utilisateur TME Modular Series 15 à 90 UL S1
Page 70/71