Siemens SIMATIC S7-1500 Manuel De L'appareil page 14

Cybersécurité industrielle
2.2 Informations de cybersécurité
Remarques relatives à la sécurité spécifiques au module
Le TM MFP, doté de deux ports Ethernet, est prévu pour l'utilisation dans l'Intranet ou dans
des réseaux sans accès direct à Internet. Utilisez l'appareil derrière un pare-feu.
Par défaut, le pare-feu ufw est activé et seul le port 22 est ouvert. Nous recommandons de
n'ouvrir que les ports qui sont nécessaires pour le fonctionnement du système. L'utilisation
d'un pare-feu ufw est décrite à la section Uncomplicated Firewall (Page 42) (ufw).
Il est recommandé d'utiliser le principe Need To Know et de limiter le nombre de personnes
ayant accès à l'appareil et pouvant se connecter directement ou via SSH. Pour la connexion
SSH, il est préférable d'utiliser l'authentification avec clé publique, avec laquelle la clé SSH est
protégée par un mot de passe.
L'utilisateur Root est désactivé par défaut. Les utilisateurs de MFP peuvent utiliser des droits
d'administrateur temporaires via la commande sudo.
Le mot de passe de l'utilisateur, y compris le mot de passe root, doit être suffisamment
complexe et long pour réduire au minimum les risques de sécurité. Les mots de passe doivent
être traités avec précaution et ne doivent pas être partagés.
Suivez le principe des droits minimaux pour réduire les risques de sécurité au minimum.
Le système est configuré pour recevoir les correctifs de sécurité de la communauté Debian via
Internet. Les mises à jour peuvent être effectuées manuellement et doivent être effectuées
régulièrement. Pour plus d'informations, voir le chapitre Installation et mise à jour du logiciel
(Page 24).
Le système d'exploitation est équipé d'un scanner antivirus clamAV. La base de données peut
être mise à jour en ligne (via Internet) ou hors ligne en copiant le fichier de la base de
données. Nous recommandons de maintenir la base de données virale à jour et d'exécuter
régulièrement le scanner de virus.
La valeur par défaut umask est 077. Cela signifie que le propriétaire des fichiers (celui qui les
a créés) peut les lire, les écrire et les exécuter. Les autres utilisateurs ou groupes ne peuvent
pas lire, écrire ou exécuter ces fichiers.
TM MFP est équipé de PTT (Platform Trust Technology). Il est recommandé d'utiliser PTT
comme mode de stockage sécurisé des certificats clients. Vous pouvez utiliser PTT à partir du
système d'exploitation via les outils tpm2.
L'utilisateur a le contrôle total de la mémoire interne SSD. L'utilisateur est responsable du
maintien de l'espace libre disponible pour le système, c'est-à-dire pour la journalisation.
Veillez à ce que tous les périphériques connectés soient conformes aux normes (USB3,
Ethernet, Display Port).
Utilisation des interfaces Ethernet
Les interfaces Ethernet TM MFP et les services qu'elles contiennent sont conçus pour
communiquer uniquement dans une zone à accès protégé de votre installation.
La connexion de l'Ethernet TM MFP à un cloud ou à un appareil en dehors de cette zone à
accès protégé constitue un risque pour la sécurité. Établissez la communication avec des
services cloud ou des appareils externes via des mécanismes de sécurité, par exemple un
pare-feu.
Voir aussi
Observez également les informations relatives à l'exécution des mises à jour de sécurité dans
la section Installation des mises à jour (Page 32).
14
Module technologique TM MFP
Manuel, 03/2024, A5E52603218-AB