Risques de sécurité et stratégies d’atténuation

Lisez la liste de problèmes potentiels suivante et les stratégies d’atténuation pour minimiser ces risques :

Problème	Risque de sécurité	Stratégies d’atténuation
Comptes utilisateur Les réglages par défaut sont souvent la source d’accès non autorisés par des utilisateurs malveillants.	Ne pas modifier le mot de passe par défaut est susceptible d’engendrer un risque d’accès non autorisé.	Remplacez le mot de passe par défaut de 0 (zéro) afin de réduire le risque d’accès non autorisé. Voir Changer le mot de passe par défaut
Protocoles non chiffrés ION, Modbus, DNP, DLMS, CEI 61850, BACnet/IP et certains protocoles informatiques ne sont pas chiffrés. Ils ne permettent pas à l’appareil d’envoyer des données chiffrées.	Un utilisateur malveillant qui réussit à accéder à votre réseau peut intercepter vos communications.	Segmentez physiquement ou logiquement le réseau pour la transmission de données sur un réseau interne. Chiffrez les transmissions de protocole sur toutes les connexions externes à l’aide d’un tunnel crypté, d’un wrapper TLS ou Secure ION. Pour plus d’informations, voir Exigences de défense en profondeur du système. Désactivez les protocoles non utilisés. Pour plus d’informations, voir Désactivation et activation des protocoles et changement des numéros de port.
Certificats autosignés Les appareils expédiés depuis l’usine comprennent un certificat SSL autosigné. Un certificat SSL est nécessaire pour utiliser les pages Web via HTTPS et Secure ION (ION sur TLS).	Les certificats autosignés ne peuvent pas être validés. Un attaquant ayant accès au réseau pourrait se faire passer pour l’appareil afin d’obtenir les informations d’identification envoyées via le tunnel TLS.	Utilisez un certificat SSL signé par une autorité de certification (CA) et des contrôles réseau externes.

Problème

Risque de sécurité

Stratégies d’atténuation

Comptes utilisateur

Les réglages par défaut sont souvent la source d’accès non autorisés par des utilisateurs malveillants.

Ne pas modifier le mot de passe par défaut est susceptible d’engendrer un risque d’accès non autorisé.

Remplacez le mot de passe par défaut de 0 (zéro) afin de réduire le risque d’accès non autorisé. Voir Changer le mot de passe par défaut

Protocoles non chiffrés

ION, Modbus, DNP, DLMS, CEI 61850, BACnet/IP et certains protocoles informatiques ne sont pas chiffrés.

Ils ne permettent pas à l’appareil d’envoyer des données chiffrées.

Un utilisateur malveillant qui réussit à accéder à votre réseau peut intercepter vos communications.

Segmentez physiquement ou logiquement le réseau pour la transmission de données sur un réseau interne.

Chiffrez les transmissions de protocole sur toutes les connexions externes à l’aide d’un tunnel crypté, d’un wrapper TLS ou Secure ION.

Pour plus d’informations, voir Exigences de défense en profondeur du système.

Désactivez les protocoles non utilisés. Pour plus d’informations, voir Désactivation et activation des protocoles et changement des numéros de port.

Certificats autosignés

Les appareils expédiés depuis l’usine comprennent un certificat SSL autosigné.

Un certificat SSL est nécessaire pour utiliser les pages Web via HTTPS et Secure ION (ION sur TLS).

Les certificats autosignés ne peuvent pas être validés. Un attaquant ayant accès au réseau pourrait se faire passer pour l’appareil afin d’obtenir les informations d’identification envoyées via le tunnel TLS.

Utilisez un certificat SSL signé par une autorité de certification (CA) et des contrôles réseau externes.