La sécurité des réseaux industriels devient pour 150.000 entreprises françaises une obligation en octobre 2024 avec la NIS2. Hors la mise en réseau de nombreux équipements industriels avec port série à ouverts de nombreuses failles de sécurité.
Et au delà de l’obligation légale les cyberattaques récentes en Europe, ciblant des entités critiques pour la souveraineté Européenne, souligne la nécessité pour les organisations industrielles de donner la priorité à la cybersécurité.
Peu importe l’industrie dans laquelle vous vous trouvez, les menaces potentielles sont partout. Parmi les incidents récents, on peut citer la fermeture d’un pipeline de carburant aux États-Unis 1 ou une cyber-attaque prenant pour cible une compagnie de chemin de fer britannique 2 .
Comment renforcer la cybersécurité des connexions série à Ethernet ?
Pour améliorer la sécurité des connexions d’équipements avec port série à Ethernet , vous pouvez remplacer votre équipement par des modèles plus récents qui présentent une fonctionnalité de sécurité intégrée. Cependant, le remplacement de vos équipements sera coûteux et impliquera des efforts considérables dans le déploiement et l’installation. En outre, jeter vos anciens équipements s’ils fonctionnent correctement serait vraisemblablement un non sens économique et écologique.
Une option plus réaliste, et plus en ligne avec le développement durable, consiste donc à mettre à jour les correctifs de sécurité de votre équipement existant. Malheureusement, certains équipements utilisent des systèmes d’exploitation (type Windows XP ou Windows 7) qui ne prennent plus en charge les derniers correctifs de sécurité.
Dans cet article, nous discuterons des défis auxquels les opérateurs industriels sont confrontés et de solutions qui renforcent la cybersécurité avec un minimum d’efforts.
Défis pour sécuriser vos réseaux OT
Pour améliorer l’efficacité opérationnelle, les opérateurs industriels doivent tirer parti des capacités des réseaux actuels pour assurer la surveillance à distance en temps réel.
Le premier défi est de connecter les équipements, avec des ports série RS-232/422/485, au réseau local (LAN) ou à Internet, via une communication Ethernet. Il existe pour cela des convertisseurs série ou des passerelles de protocoles.
Mais pour ne pas créer de nouvelles failles de sécurité il est essentiel de trouver des convertisseurs série à Ethernet ou des passerelles de protocoles qui ne compromettent pas la cybersécurité.
Comment choisir un convertisseur Série vers Ethernet sécurisé
De nos jours, des normes de sécurité telles que l‘IEC 62443 sont disponibles pour renforcer la cybersécurité de vos connexions série.
Moxa est un fournisseur de solutions pour réseau OT, certifiées CEI 62443-4-2 au niveau SL2 (prévention de cyberattaques intentionnelles) . Avec des fonctions intégrées de sécurité, les convertisseurs série vers Ethernet améliorent la sécurité du réseau et complexifient grandement l’accès au réseau par des hackers.
Deux cas d’usage avec mise en œuvre de connexions série au réseau Ethernet, préservant la cybersécurité
Les convertisseurs série à Ethernet sécurisés NPort et les passerelles de protocole MGate ont aidé nos clients à renforcer la sécurité de leur réseau OT dans une variété d’applications industrielles. Pour vous montrer comment nous avons aidé nos clients à améliorer la cybersécurité, nous vous fournissons deux exemples concrets, en montrant comment nos serveurs de série NPort 6150 et nos passerelles de protocole MGate MB3170 renforcent la cybersécurité dans le secteur des hydrocarbures.
Cas 1 : Assurer une connexion cybersécurisée pour des centaines de station-essences
Un client qui possède plus de 600 stations-service aux États-Unis a exigé une surveillance en temps réel des niveaux dans ses réservoirs de pétrole avec ATG (écart-citerne automatique, généralement avec des interfaces série) pour programmer les réapprovisionnements des stocks en fonction des besoins dans les sites distants.
Ils avaient également besoin des données provenant des terminaux POS des pompes à gaz pour être renvoyés pour le traitement des transactions et les enregistrements.
Les informations concernant les niveaux des citernes doivent être bien sécurisées afin qu’elles ne puissent pas être manipulées, et les données du point de vue du point de vue de la demande contiennent des informations confidentielles sur les consommateurs, qui doivent être protégées.
Pour améliorer la sécurité de la connectivité, la connexion entre la station-service et la salle de traitement informatique doit être protégée. En outre, pour s’assurer que les appareils connectés fonctionnent aux niveaux de sécurité acceptés, le personnel informatique est tenu d’effectuer des analyses de vulnérabilité périodiquement pour mettre à jour les micrologiciels et les correctifs de sécurité, en préservant la sécurité des systèmes de communication.
Voici le schéma de la solution mise en place
Les serveurs de port série NPort 6150 disposent de fonctions de sécurité de base telles que l’authentification de l’utilisateur et la liste IP accessible pour accélérer la sécurité des appareils avec le contrôle d’accès de l’appareil. Une fonction de cryptage des données améliore la sécurité de la transmission lors de l’envoi de données en série sur Ethernet. Pour faciliter la maintenance quotidienne du personnel informatique, les serveurs de ports série NPort 6150 supportent les outils pour faciliter la configuration et la gestion de nombreux appareils à distance.*
Renforcement de la cybersécurité pour des data centers
Des data-centers d’un client X ont été des cibles fréquentes de cyberattaques, ce qui a entraîné des pertes de données et des pénalités importantes .
Pour réduire les risques de piratage, la cybersécurité est devenue essentielle au niveau de l’entreprise X.
Leur évaluation des risques de sécurité ne se concentre pas uniquement sur les vulnérabilités dans les salles des serveurs, mais s’étend également à tous les points d’entrée du réseau, y compris les sources d’énergie qui alimentent les salles de serveurs.
Pour surveiller la consommation d’énergie et la qualité, les équipements d’alimentation, y compris les switchs, les PDU et les UPSs, se connectent aux réseaux afin que les opérateurs puissent recevoir des informations en temps réel. Les passerelles de passerelles de protocoles MGate MB3170 assurent la communication entre les dispositifs Modbus RTU basés en série, tels que les compteurs d’alimentation utilisés à l’intérieur des équipements d’alimentation, et les systèmes SCADA basés sur Ethernet dans le centre de contrôle. Lorsque le personnel informatique de l’entreprise est tenu d’effectuer une analyse de vulnérabilité, ils doivent scanner des milliers de passerelles de protocole MGate afin qu’ils puissent prendre des mesures immédiates s’ils identifient une vulnérabilité.
Pour faciliter le travail du personnel informatique, Moxa effectue également des analyses de vulnérabilité périodiquement et, si nécessaire, prend les mesures nécessaires, telles que la mise à jour des correctifs de sécurité et des micrologiciels pour réduire les menaces potentielles. En outre, nos passerelles de protocole MGate MB3660 et MB3170 disposent d’un outil de configuration facile à utiliser au format GUI et CLI, aidant les utilisateurs de réseaux OT et IT à mettre à niveau en batch les firmwares.
2 https://www.securityweek.com/ransomware-attack-uk-rail-system-spray-and-pray-or-targeted