Le nombre de cyberattaques ne cesse d'augmenter en raison de l'utilisation de l'IoT et de l'intégration croissante entre l'OT/IT. Les solutions de cybersécurité destinées à l'industrie doivent être ultramodernes et permettre une utilisation sécurisée des données à tout moment.
La sécurité de l'usine applique diverses méthodes pour garantir une sécurité complète pour l'ensemble de votre usine.
Les concepts de cybersécurité spécifiques à l'industrie s'appuient sur des normes et une vaste expertise pour garantir la sécurité de votre usine. Les mesures de sécurité nécessaires sont définies sur la base d'une analyse des risques, puis mises en œuvre et mises à jour régulièrement.
Les exploitants d'usines ne peuvent plus se permettre de se passer de mesures de cybersécurité efficaces. Les exigences de conformité en matière de sécurité dans un environnement industriel et la législation visant à protéger les infrastructures critiques sont de plus en plus strictes. Mais le temps et l'argent consacrés à la cybersécurité industrielle sont souvent limités, et les experts sont rarement disponibles. Les employés informatiques ont besoin du soutien d'experts en sécurité spécialisés en automatisation. Ensuite, il y a la pression du temps, due aux nouvelles exigences de conformité et à la nouvelle législation, qui exigent que les mesures soient mises en place dans un délai précis.
Security Assessments analyser en profondeur les menaces et les vulnérabilités, identifier les risques et fournir des recommandations pour combler les failles identifiées. Ils maximisent la transparence et fournissent un aperçu complet de l'état de sécurité actuel de vos systèmes d'automatisation. Vous pouvez choisir entre une évaluation sur site compacte d'une journée (Industrial Security Check) ou une évaluation complète conformément à la norme IEC 62443 (évaluation IEC 62443). Industrial Security Consulting fournit une assistance sur site par des conseillers expérimentés pour vous aider à respecter les consignes de sécurité et à développer une configuration de réseau spécifique à l'usine. Ils veillent également à ce que vos exigences spécifiques soient mises en place.
Comment surmontez-vous les défis liés à la complexité des technologies IT/OT, à l'écart de connaissances entre l'informatique et l'OT et au manque de ressources ? Notre infrastructure IT/OT prête à fonctionner est conçue dans un souci de cybersécurité. Nos experts sont prêts à fournir un accès immédiat à leur expertise. Solutions pour la continuité opérationnelle maximisent la disponibilité et la conformité en matière de cybersécurité. En bref : nous pouvons vous aider à respecter toutes les réglementations pertinentes en matière de cybersécurité.
L'Industrial Automation Data Center est une infrastructure IT/OT configurée sur mesure et prête à fonctionner, dotée de fonctionnalités de cybersécurité. Remote Industrial Operations Services inclut la gestion de votre infrastructure IT/OT. Nos experts veillent à la continuité opérationnelle de votre usine grâce à une surveillance continue, un support proactif et des services de sécurité gérés.
Communication sécurisée sur les réseaux industriels
Plus la connexion entre les environnements informatiques et OT progresse au sein d'une entreprise, plus il est important de protéger les réseaux d'automatisation contre les accès non autorisés. La protection ne doit toutefois pas compromettre la production et doit donc être coordonnée avec les exigences particulières des réseaux d'automatisation.
Il est essentiel de protéger les machines en série ayant des sous-réseaux et des exigences de sécurité identiques. Tous les appareils sans système de sécurité intégré doivent être protégés au sein d'une cellule d'automatisation. Les pare-feux nécessitent d'importants efforts de gestion et de configuration. Un concept de zone de sécurité flexible et une gestion centralisée des pare-feux garantissent un débit de données élevé pour une disponibilité et une sécurité des données optimales. En outre, la disponibilité maximale des réseaux OT, ainsi que les environnements en temps réel et de sécurité, permettent de répondre aux exigences de la norme IEC 62443. L'accès à distance sécurisé et les principes Zero Trust dépendent de la protection des périmètres et des zones.
Le choix de la bonne approche jette les bases d'une conception de réseau sécurisée. Un exemple typique de mise en œuvre d'un concept d'automatisation des réseaux est une conception de sécurité cellulaire qui repose sur une isolation des cellules basée sur la couche 3. Le réseau est segmenté en installant des appareils de sécurité industriels SCALANCE S devant chaque cellule. La communication est gérée de manière centralisée par des règles de pare-feu via le système de gestion réseau SINEC NMS. SINEC INS fournit des services supplémentaires pour l'authentification des utilisateurs et la journalisation centralisée.
La pierre angulaire de la conception d'un réseau sécurisé commence par le choix de l'approche de la solution. Dans cette implémentation d'un concept de réseau d'automatisation, nous présentons un concept de sécurité cellulaire qui repose sur l'isolation cellulaire basée sur la couche 3. Des dispositifs Industrial Next Generation Firewall sont placés devant chaque cellule. Nous utilisons également des pare-feux industriels de nouvelle génération comme pare-feux frontaux et dorsaux.
L'entretien des machines distribuées dans le monde entier nécessite des efforts logistiques et des frais de déplacement importants. Il y a également un manque de visibilité sur les machines distribuées. La gestion des tunnels VPN existants et la maintenance des appareils connectés demandent d'énormes efforts. Notre solution fournit une bande passante énorme, une configuration facile, de la flexibilité, une extensibilité facile et la prévention des manipulations grâce au cryptage. La transmission sécurisée des données et l'authentification centralisée avec UMC empêchent tout accès non autorisé. La configuration automatique des appareils SCALANCE facilite l'intégration. Et vous n'avez pas besoin de compétences informatiques particulières pour gérer toutes vos connexions et tous vos utilisateurs VPN.
La technologie de la plateforme SINEMA Remote Connect permet de gérer en toute sécurité les connexions tunnel (VPN) entre le centre de contrôle, les techniciens de maintenance et les équipements installés. Cela évite l'accès direct au réseau de l'entreprise sur lequel se trouve la machine en cours de maintenance. Les techniciens de maintenance utilisent un client SINEMA Remote Connect, et le système ou la machine nécessitant une maintenance est équipé d'un appareil de sécurité industrielle SCALANCE S ou d'un routeur industriel SCALANCE M. Le technicien et la machine établissent des connexions distinctes avec un serveur SINEMA Remote Connect selon les besoins, et l'identité des participants est déterminée par un échange de certificats. Ce n'est qu'alors que l'accès à distance à la machine sera autorisé. Security CP pour SIMATIC S7-1200 et SIMATIC S7-1500 vous permettre de connecter vos manettes aux réseaux Industrial Ethernet en toute sécurité.
Remote Platform Software as a Service permet d'accéder à votre propre instance de la plateforme de service à distance commune (cRSP). Il garantit la sécurité de l'entreprise grâce à la gestion centralisée du cRSP par Siemens et permet l'auto-administration et la configuration de la propre instance de cRSP. La plateforme peut être utilisée pour accéder à distance à vos propres appareils industriels sur des sites distribués et pour fournir des services à distance aux clients finaux sur leurs sites.
Le besoin d'options de travail mobiles, y compris l'accès à distance aux données et aux systèmes, augmente également dans les domaines du développement et de la production. Pendant la phase d'exploitation et d'optimisation, les employés doivent accéder depuis tous les sites à ces zones de développement et de production spécifiques. Il en va de même pour le soutien aux processus opérationnels ou la mise en œuvre de flux de travail de gestion de la qualité. Cet accès aux zones OT peut être fourni à l'intérieur ou à l'extérieur du réseau de l'entreprise selon les principes Zero Trust, sans qu'il soit nécessaire de modifier l'infrastructure réseau. L'accès aux zones OT, y compris aux zones réservées, depuis ou depuis l'extérieur du réseau client doit être possible jusqu'au niveau de la machine.
Pour intégrer les principes Zero Trust, le service Zero Trust OT Access, basé sur une solution de sécurité de Zscaler Inc., doit être mis à disposition sur la plateforme de traitement locale SCALANCE LPE (Local Processing Engine). L'installation de la solution sous forme de conteneur Docker© sur le SCALANCE LPE permet d'accéder aux environnements d'automatisation industrielle en toute sécurité. Trois objectifs se complètent ici : la puissante protection cellulaire offerte par « Defense in Depth », l'accès sécurisé aux réseaux de production depuis l'extérieur (par exemple pour permettre un travail flexible depuis le bureau ou le travail mobile), et la disponibilité maximale et les fonctionnalités complètes en temps réel nécessaires aux réseaux de production.
Pendant la phase opérationnelle, OT a besoin des données informatiques et les renvoie également. Ces données doivent être sécurisées afin d'empêcher la manipulation et le vol de données, et pour respecter les normes de sécurité. L'accès direct depuis l'extérieur vers le réseau interne et vice versa est toutefois interdit au sein de l'infrastructure OT. Les employés informatiques ont également besoin du soutien d'experts en sécurité spécialisés en automatisation afin de mettre en place une protection IT/OT de pointe.
Industrial DMZ Infrastructure est un concept prêt à l'emploi pour la segmentation des réseaux IT/OT avec des fonctionnalités de sécurité intégrées. Avec des pare-feux avant et arrière, la zone démilitarisée protège les systèmes OT contre les accès non autorisés depuis l'extérieur. Les pare-feux industriels de nouvelle génération redondants et ultramodernes fonctionnent non seulement comme des filtres de ports, mais analysent également les données au niveau de l'application (Inspection approfondie des paquets). Les services contenus dans Industrial DMZ, tels que Remote Access, File Exchange et Active Directory, sont disponibles sous forme de machines virtuelles sur un hôte de visualisation performant distinct. L'IDMZ lui-même est basé sur le concept Zero Trust.
Les cyberattaques doivent être détectées le plus tôt possible pour éviter des dégâts et des coûts. Cela nécessite une visibilité sur tous les ports, les périphériques réseau et la topologie. C'est le seul moyen de détecter les intrusions à temps et de réagir rapidement.
Moniteur de sécurité SINEC Security fournit les fonctionnalités essentielles du système de détection des intrusions (IDS). En mettant en miroir et en analysant le trafic réseau, les actifs peuvent être identifiés passivement sans perturber la production en cours. Les actifs découverts peuvent être mis en corrélation avec des vulnérabilités connues afin d'identifier les appareils vulnérables concernés. Grâce à la détection des anomalies basée sur les signatures basée sur une vaste base de données de renseignements sur les menaces, ainsi qu'à la détection des anomalies sans signature grâce à des mécanismes d'IA intégrés, vous pouvez découvrir les vulnérabilités multifournisseurs de l'ensemble du réseau. Nous offrons la possibilité de réaliser des scans passifs et non intrusifs optimisés pour l'OT, qui prennent également en charge les protocoles de communication spécifiques à l'OT. Nos solutions fournissent également des propositions de solutions actualisées pour atténuer les vulnérabilités découvertes.
Le service Industrial Anomaly Detection fournit une surveillance de sécurité continue à distance inégalée 24 heures sur 24, 7 jours sur 7, pour les clients industriels. Nos experts en cybersécurité, basés au sein des Remote Industrial Operations Services, utilisent le SINEC Security Monitor pour détecter les menaces et y réagir. Nos experts sont des spécialistes de la sécurité OT, et notre transparence en matière d'échange de données au sein des réseaux industriels facilite la détection des anomalies dans le secteur de la fabrication. La détection précoce des anomalies et des menaces renforce la cybersécurité industrielle. Notre solution de surveillance 100 % passive fournit une cybersécurité de pointe sans affecter les systèmes de contrôle industriels surveillés.
Protégez votre production, vos communications et votre propriété intellectuelle
Le principe de base des entreprises industrielles est que la production doit continuer à fonctionner. C'est pourquoi les systèmes d'automatisation doivent être protégés contre les accès et les tentatives de manipulation. La communication au sein des systèmes, le code des programmes et la propriété intellectuelle méritent particulièrement d'être protégés.
La configuration de sécurité doit être en place pendant la phase d'ingénierie et de maintenance afin de protéger les systèmes d'automatisation contre les cyberattaques. Cela doit être à la fois efficace et intuitif pour simplifier le processus de mise en service. Même lors de la mise en service, les ingénieurs ont besoin d'une méthode efficace pour répondre aux exigences de sécurité et réduire les erreurs humaines. Cela n'arrive pas toujours, ce qui signifie que des données sensibles peuvent être laissées sans protection pendant la mise en service. Cela est dû au fait que les utilisateurs n'ont pas de connaissances techniques approfondies en matière de configuration de sécurité, ou parce que les mesures de sécurité entravent le processus d'ingénierie en exigeant des mots de passe, par exemple.
La configuration de la sécurité est facilitée grâce à l'assistant de sécurité de TIA Portal. Avec le TIA Portal V17, le SIMATIC S7-1500/S7-1200 et les panneaux HMI, vous configurez des données de configuration confidentielles, des communications PG/HMI sécurisées et des mots de passe pour les différents niveaux d'accès aux contrôleurs. La communication entre TIA Portal et le contrôleur, ou entre le contrôleur et l'IHM, est ensuite protégée par TLS V1.3.
L'accès non autorisé aux programmes utilisateur, aux systèmes d'automatisation et aux données doit être empêché pendant les phases d'ingénierie et de maintenance. La configuration granulaire des droits des utilisateurs, la gestion des accès et une administration efficace des utilisateurs pour l'ensemble de l'usine sont essentielles. L'importation d'utilisateurs/de groupes depuis un serveur Microsoft Active Directory déjà disponible permet d'économiser du temps et des efforts. L'accès personnalisé offre une meilleure protection au lieu d'un mot de passe générique.
Pour garantir une gestion efficace des utilisateurs, importez des utilisateurs et des groupes depuis Microsoft Active Directory vers serveur UMC. Connectez la station d'ingénierie TIA Portal au serveur UMC et importez des utilisateurs et des groupes depuis le serveur UMC vers TIA Portal. Vous pouvez attribuer des droits et des rôles au niveau local.
La production étant de plus en plus dynamique, l'accès aux données est essentiel tout au long du cycle de vie du produit. Les appareils, les systèmes et les utilisateurs échangent des données en continu ou selon les besoins, sans aucun mécanisme approprié de gestion de l'accès aux données ou d'identification en place. En l'absence de mécanismes d'identification appropriés, tout le monde peut se connecter au réseau, ce qui rend le système vulnérable aux attaques de type « man-in-the-middle ». Les données sont également transmises en texte clair et peuvent être lues sur le réseau, ce qui les expose à un risque de vol, de manipulation, d'espionnage et de sabotage.
Une communication sécurisée est possible grâce au cryptage de bout en bout entre TIA Portal, le SIMATIC S7-1500/S7-1200 et les stations HMI, sur la base du protocole Transport Layer Security (TLS) V1.3. Cela peut être étendu à la communication via OPC UA et un serveur Web, ainsi qu'à la communication ouverte entre utilisateurs.
La protection des systèmes OT sur lesquels s'exécutent les systèmes d'exploitation est essentielle à la fois pendant les phases opérationnelles et d'optimisation. Normalement, la protection des terminaux est utilisée afin de garantir l'intégrité du système, essentielle à la disponibilité des systèmes de contrôle. Dans le même temps, la menace des malwares sous forme de virus, de rançongiciels et de chevaux de Troie augmente de façon exponentielle et cible le secteur industriel. Seules les solutions approuvées dotées d'une configuration spécifique à l'OT sont autorisées pour une utilisation dans les systèmes industriels.
Nous proposons deux approches différentes de la protection des terminaux contre les malwares. Chaque approche a ses avantages, en fonction de la situation.
En outre, nous proposons un test d'interopérabilité pour Endpoint Detection and Response (EDR) afin de configurer spécifiquement la version d'un fournisseur tiers de SIMATIC PCS 7 et de son logiciel EDR.
Les systèmes doivent être mis à jour régulièrement pendant les phases opérationnelles et d'optimisation. De nombreux systèmes sont vulnérables aux nouvelles vulnérabilités signalées quotidiennement, que les pirates informatiques peuvent exploiter si aucune mesure n'est prise. Notre solution fournit une transparence instantanée sur les vulnérabilités pertinentes sur la base de renseignements sophistiqués. Il propose également une gestion proactive des cyberrisques, qui s'intègre facilement à votre flux de travail, ce qui permet de gagner du temps et de l'argent. Notre service identifie et gère les vulnérabilités à temps pour éviter les interruptions de service et les attaques coûteuses.
Grâce à Vulnerability Services, vous pouvez sécuriser votre infrastructure et votre portefeuille de produits en fournissant des informations pertinentes sur les vulnérabilités qui peuvent être corrigées. Vous recevez des alertes de vulnérabilité pour votre système individuel via différentes options :
Il est crucial de consigner les événements pour surveiller les incidents de sécurité, identifier les failles de sécurité et y répondre rapidement. L'intégrité des événements est également essentielle, car toute altération ou perte de données relatives aux événements peut entraîner des risques pour la sécurité et des perturbations opérationnelles. Nous centralisons les données des journaux provenant de différents appareils et systèmes. L'intégrité des journaux est garantie par la transmission cryptée des événements, qui empêche tout accès non autorisé, toute falsification ou toute cyberattaque des événements. Nous surveillons les événements et les activités critiques au sein de l'environnement OT en temps réel.
Notre solution permet d'enregistrer les événements localement, puis de les envoyer en utilisant le protocole sécurisé Syslog. Nous assurons un cryptage de bout en bout entre le SIMATIC S7-1500, le « client Syslog » SCALANCE et SINEC INS « Serveur Syslog ».
L'accès non autorisé aux machines et aux installations doit être empêché à tout moment. Pendant la phase d'exploitation et de maintenance, le contrôle individuel des droits d'accès à l'aide des cartes d'identification des employés existantes est essentiel. Cela garantit une fiabilité et une efficacité maximales des processus. Un accès sécurisé et documenté aux machines est crucial pour garantir la transparence et la traçabilité en cas d'incidents de sécurité.
Le système SIMATIC RF1000 empêche les personnes non autorisées d'accéder à vos machines et systèmes, évitant ainsi d'éventuelles erreurs de fonctionnement et arrêts de production. Le SIMATIC RF1100 est la nouvelle génération de lecteurs de cartes proposant une gestion Web pratique, une prise en charge PoE et des options d'intégration via XML et ModbusTCP.
Il est crucial de découvrir les cyberattaques pour éviter les dommages et les coûts. La transparence concernant tous les ports, les participants au réseau et la topologie est essentielle. Vous devez détecter les anomalies, les intrusions et les vulnérabilités multifournisseurs de l'ensemble du réseau pour réagir rapidement. Des scans passifs et non intrusifs optimisés pour l'OT sont possibles, tout comme les protocoles de communication spécifiques à l'OT. Des propositions de solutions actualisées pour atténuer les vulnérabilités découvertes sont essentielles.
SINEC Security Inspector offre des capacités inégalées d'identification des actifs et de détection des vulnérabilités. Notre plateforme fournit une suite complète d'outils permettant d'identifier les actifs et de tester des scénarios pour identifier les vulnérabilités. Nous utilisons la détection des anomalies basée sur l'IA pour identifier les anomalies et les intrusions de manière proactive.
Une solide stratégie de reprise après sinistre est essentielle pour reprendre rapidement la production après une interruption et éviter les pertes de données. Dans le monde de plus en plus menacé par les cybermenaces d'aujourd'hui, avec de nouvelles directives telles que NIS 2, une solution de sauvegarde complète est indispensable ! Notre solution garantit un redémarrage plus rapide de la production après une panne ou un incident de cybersécurité. Et il prévient les pertes de données grâce à une restauration facile à partir de sauvegardes en ligne. De plus, il s'agit d'une infrastructure prête à fonctionner avec des composants préconfigurés et testés par le système.
La sauvegarde et la restauration intégrées à l'infrastructure SIMATIC DCS/SCADA créent automatiquement des sauvegardes pendant le fonctionnement de l'usine. La solution est intégrée à l'Industrial Automation DataCenter. Pendant le fonctionnement, des sauvegardes automatiques sont créées à partir du cluster informatique et stockées sur le serveur de sauvegarde. En cas de panne, les machines virtuelles peuvent facilement être restaurées depuis le serveur de sauvegarde. Cela permet une restauration rapide et évite les pertes de données.
Le 17 octobre 2024, la directive de cybersécurité NIS 2 de l'UE est entrée en vigueur, obligeant certains secteurs à faire preuve de préparation en matière de cybersécurité et à signaler les incidents importants. Découvrez si vous êtes concernée et comment nous pouvons vous aider.
