Les login et mot de passe d’accès à ma supervision sont-ils suffisants pour en assurer la sécurité ?
Une attaque informatique peut intervenir soit par vos accès de connexion web, soit par des supports amovibles comme les clés USB, les disques durs externes ou tout autre équipement connecté à votre réseau.
Dans tous les cas, il est nécessaire de sécuriser l’accès au poste central de supervision ainsi qu’à tout équipement connecté sur son réseau.
Seules les personnes habilitées et préalablement formées aux bonnes pratiques de la sécurité informatique auront les autorisations pour accéder au poste central de supervision.
Il convient aussi de :
- Doter le poste central de supervision d’un antivirus et antispyware efficace,
- Connecter le poste central sur internet afin de bénéficier le plus rapidement possible de toutes les mises à jour nécessaires,
- Sécuriser obligatoirement le réseau du poste central par des équipements de sécurité réseau spécialisés (firewall, logs…) et si possible certifiés, tant pour gérer les accès au réseau intranet et internet,
- Identifier individuellement chaque connexion sur un des appareils du réseau avec un mot de passe unique, suffisamment complexe et modifié périodiquement, ou via un certificat de sécurité, crypter les communications entre les équipements.
Est-ce qu’une cyberattaque peut aussi avoir lieu sur mes automates de télégestion ?
Les automates de télégestion ne sont pas des produits de sécurité réseau. Ils disposent cependant d’un certain nombre de mesures de sécurité qu’il convient d’intégrer dans la stratégie de sécurité dont vous êtes responsable. Les protocoles qu’ils utilisent comme le MODBUS TCP/IP ne sont pas sécurisés et peuvent faire l’objet de cyberattaques.
Il faut un routeur/firewall pour protéger ces communications. Les box opérateurs ne peuvent pas jouer ce rôle. D’autres failles de sécurité existent aussi. Elles peuvent provenir de systèmes d’exploitation et des moyens de mise à jour ou de paramétrage de logiciels et matériels utilisés par les fabricants.
Il est donc important de sécuriser les accès en suivant quelques règles élémentaires :
- Modifier ou désactiver les codes de connexion par défaut,
- Individualiser et rendre suffisamment robustes les codes de connexion utilisés (nombre de caractères),
- Sauvegarder tous ces codes de connexion dans une base de données cryptée qui est elle-même sécurisée par un mot de passe,
- Changer les mots de passe lors du départ de la société d’une personne possédant les codes de connexion des équipements.
Par ailleurs, il est nécessaire d’utiliser des moyens de communication cryptés pour les échanges de données avec le poste central et les autres automates de télégestion en cas de communication intersites. De plus, un filtrage des flux de données de type firewall est toujours préférable pour limiter les accès aux équipements autorisés.
Attention à bien veiller à ce que les consoles de paramétrage des automates de télégestion soient elles-mêmes sécurisées au même titre que les postes centraux de supervision.
Qu’est qu’un APN dédié ou un VPN ?
Un APN (Accès Point Name) privé est un raccordement du réseau de téléphonie mobile d’un opérateur à votre réseau intranet. Il donne accès à l’internet à condition que vous ayez mis en œuvre un routeur dans votre réseau pour cela. L’APN privé est une solution clé en main, qui vous rend cependant dépendant de l’opérateur et nécessite généralement de paramétrer vous-même les règles de sécurité.
Il existe des offres qui utilisent des APN dédiés en ajoutant des tunnels cryptés, plusieurs mesures de sécurité et des fonctions de gestion comme Mattowan. Elles ont l’avantage d’être plus simples à déployer.
Un VPN (Virtual Private Network) est un système permettant de créer un lien direct entre des ordinateurs distants pour communiquer. Cette connexion isole leurs échanges du reste du trafic internet présent sur des réseaux de télécommunication publics.
Une solution VPN ne passant pas par un opérateur, nécessite la mise en place d’un serveur VPN qui va permettre d’identifier et de gérer les connexions des postes clients autorisés. Cette solution est plus complexe de mise en route mais permet une réelle indépendance vis-à-vis des opérateurs de téléphonie. Il existe soit des solutions VPN intégrées sur des routeurs (ADSL, 3G…) qui utilisent le plus souvent un logiciel de gestion de protocoles de communication IP du type IPsec, soit des solutions VPN à installer sur des PC Linux ou Window, comme par exemple le logiciel libre OpenVPN.
