Risques de sécurité et stratégies d’atténuation

Lisez la liste de problèmes potentiels suivante et les stratégies d’atténuation pour minimiser les risques :

Problème	Risque de sécurité	Stratégies d’atténuation
Comptes utilisateur Les réglages de compte par défaut sont souvent la source d’accès non autorisés par des utilisateurs malveillants.	Ne pas modifier le mot de passe par défaut est susceptible d’engendrer un risque d’accès non autorisé.	Remplacez le mot de passe par défaut de 0 (zéro) afin de réduire le risque d’accès non autorisé. Voir Changer le mot de passe par défaut
Protocoles sécurisés ION, Modbus, DNP, DLMS, CEI 61850 et certains protocoles informatiques ne sont pas sécurisés. L’appareil ne peut pas transmettre des données chiffrées avec ces protocoles.	Un utilisateur malveillant qui accèderait à votre réseau pourrait intercepter les communications.	Pour la transmission de données sur un réseau interne, vous devez réaliser une segmentation physique ou logique du réseau. Pour la transmission de données sur un réseau externe, chiffrez les transmissions de protocole sur toutes les connexions externes à l’aide d’un tunnel de chiffrement, d’un wrapper TLS ou de Secure ION. Voir Exigences de défense en profondeur du système. Désactiver les protocoles non utilisés
Certificats autosignés Les appareils expédiés depuis l’usine comprennent un certificat SSL autosigné. Un certificat SSL est nécessaire pour utiliser les pages Web via HTTPS et Secure ION (ION sur TLS).	Les certificats autosignés ne peuvent pas être validés. Un attaquant ayant accès au réseau pourrait se faire passer pour l’appareil afin d’obtenir les informations d’identification envoyées via le tunnel TLS.	Utilisez un certificat SSL signé par une autorité de certification (CA) et des contrôles réseau externes.

Problème

Risque de sécurité

Stratégies d’atténuation

Comptes utilisateur

Les réglages de compte par défaut sont souvent la source d’accès non autorisés par des utilisateurs malveillants.

Ne pas modifier le mot de passe par défaut est susceptible d’engendrer un risque d’accès non autorisé.

Remplacez le mot de passe par défaut de 0 (zéro) afin de réduire le risque d’accès non autorisé. Voir Changer le mot de passe par défaut

Protocoles sécurisés

ION, Modbus, DNP, DLMS, CEI 61850 et certains protocoles informatiques ne sont pas sécurisés.

L’appareil ne peut pas transmettre des données chiffrées avec ces protocoles.

Un utilisateur malveillant qui accèderait à votre réseau pourrait intercepter les communications.

Pour la transmission de données sur un réseau interne, vous devez réaliser une segmentation physique ou logique du réseau.

Pour la transmission de données sur un réseau externe, chiffrez les transmissions de protocole sur toutes les connexions externes à l’aide d’un tunnel de chiffrement, d’un wrapper TLS ou de Secure ION.

Voir Exigences de défense en profondeur du système.

Désactiver les protocoles non utilisés

Certificats autosignés

Les appareils expédiés depuis l’usine comprennent un certificat SSL autosigné.

Un certificat SSL est nécessaire pour utiliser les pages Web via HTTPS et Secure ION (ION sur TLS).

Les certificats autosignés ne peuvent pas être validés. Un attaquant ayant accès au réseau pourrait se faire passer pour l’appareil afin d’obtenir les informations d’identification envoyées via le tunnel TLS.

Utilisez un certificat SSL signé par une autorité de certification (CA) et des contrôles réseau externes.