Conception d’une stratégie de mot de passe

Présentation

Une stratégie de mot de passe bien conçue constitue votre première ligne de défense contre les cyberattaques.

Dans les installations comprenant le disjoncteur MasterPacT, ComPacT et PowerPacT avec unité de contrôle ou déclencheur MicroLogic, les mots de passe sont requis pour les tâches suivantes :

• Exécution de commandes intrusives sur l’unité de contrôle MicroLogic, quel que soit le mode d’accès (Modbus-TCP / Modbus-SL, USB ou technologie sans fil Bluetooth)

• Exécution de commandes intrusives sur le déclencheur MicroLogic, quel que soit le mode d’accès (Modbus-TCP / Modbus-SL, afficheur FDM121 ou port de test)

• Connexion au PC qui exécute le logiciel EcoStruxure Power Commission

• Connexion aux pages Web des interfaces IFE et EIFE

• Connexion aux pages Web du serveur IFE

• Connexion à l’interface IFE et EIFE, et aux pages Web du serveur IFE via le logiciel EcoStruxure Power Commission à partir d’une IMU MasterPacT MTZ

• Connexion au serveur FTPS pour la configuration IEC 61850 des interfaces IFE et EIFE, et au serveur IFE depuis un MasterPacT MTZ

Recommandations de cybersécurité concernant la stratégie de mot de passe

AVERTISSEMENT
RISQUES POUVANT AFFECTER LA DISPONIBILITÉ, L'INTÉGRITÉ ET LA CONFIDENTIALITÉ DU SYSTÈME Modifiez les mots de passe par défaut à la première utilisation, afin d'empêcher tout accès non autorisé aux réglages, contrôles et informations des appareils. Le non-respect de ces instructions peut provoquer la mort, des blessures graves ou des dommages matériels.

La stratégie de mot de passe est l'un des piliers de la stratégie de cybersécurité. Une bonne stratégie de mot de passe :

• utilise des mots de passe forts ;

• implique une modification régulière des mots de passe ;

• gère les mots de passe à l’aide d’un référentiel ;

• interdit la réutilisation d’anciens mots de passe ;

• rappelle régulièrement aux utilisateurs les bonnes pratiques concernant les mots de passe.

Pour protéger votre système, vous devez au minimum :

• utiliser des mots de passe forts ;

• définir une longueur minimale de 10 caractères pour les mots de passe ;

• modifier le mot de passe régulièrement.

Tous les utilisateurs doivent connaître les bonnes pratiques concernant les mots de passe, Notamment :

• Ne pas partager les mots de passe personnels.

• Ne pas afficher les mots de passe lors de leur saisie.

• Ne pas communiquer les mots de passe par e-mail ou par d’autres moyens.

• Ne pas enregistrer les mots de passe sur les PC ou d’autres équipements.

Mot de passe pour les paramètres et contrôles critiques de MicroLogic Active

Lors de l’accès à l’unité de contrôle MicroLogic Active via le logiciel Application EcoStruxure Power Device ou EcoStruxure Power Commission, toutes les commandes intrusives qui modifient le comportement du disjoncteur MasterPacT MTZ avec l’unité de contrôle MicroLogic Active nécessitent un mot de passe. Par exemple, la modification des paramètres de protection et l’actionnement du disjoncteur nécessitent le mot de passe MicroLogic Active.

Un compte utilisateur et un mot de passe uniques sont définis pour l’unité de contrôle MicroLogic Active.

En cas de connexion via Application EcoStruxure Power Device ou le logiciel EcoStruxure Power Commission, l’utilisateur est invité à fournir ce mot de passe.

Le mot de passe est composé de 8 à 32 caractères ASCII, avec les contraintes suivantes :

• Seuls les caractères ASCII [32-126] sont autorisés

• Au moins une majuscule

• Au moins une minuscule

• Ne doit pas contenir le nom d’utilisateur

• Doit être différent du mot de passe précédent

Les mots de passe par défaut doivent être modifiés lors de la première installation du disjoncteur MasterPacT MTZ avec unité de contrôle MicroLogic Active, et ensuite de façon régulière à l’aide du logiciel EcoStruxure Power Commission. Stockez les mots de passe dans un référentiel de mots de passe. Ne communiquez les mots de passe qu’à un nombre limité d’utilisateurs de confiance. Le cas échéant, respectez les recommandations relatives à la stratégie de mot de passe.

Mot de passe pour d’autres paramètres et contrôles MicroLogic critiques

Lorsque vous accédez à l’unité de contrôle ou au déclencheur MicroLogic via une interface de communication, les commandes intrusives qui modifient le comportement du disjoncteur MasterPacT, ComPacT et PowerPacT requièrent un mot de passe. Par exemple, la modification des paramètres de protection et l’actionnement du disjoncteur nécessitent le mot de passe MicroLogic.

Quatre mots de passe sont définis pour une unité de contrôle ou un déclencheur MicroLogic, un pour chacun des quatre profils d’utilisateur suivants :

• Administrateur

• Services

• Ingénieur

• Opérateur

Pour plus d’informations sur les profils d’utilisateur, reportez-vous aux guides utilisateur MicroLogic.

En cas de connexion via l’application Application EcoStruxure Power Device ou le logiciel EcoStruxure Power Commission, l’utilisateur est invité à saisir l’un de ces mots de passe.

En cas de connexion à partir d’une interface de contrôle et de surveillance à distance, le mot de passe doit faire partie de la demande de communication.

Le mot de passe est composé de quatre caractères ASCII. Il est sensible à la casse et autorise les caractères suivants :

• les chiffres de 0 à 9

• les lettres minuscules de a à z ;

• les lettres majuscules de A à Z.

Les mots de passe par défaut doivent être modifiés lors de l’installation initiale du disjoncteur MasterPacT, ComPacT et PowerPacT et régulièrement après, à l’aide du logiciel EcoStruxure Power Commission. Stockez les mots de passe dans un référentiel de mots de passe. Ne communiquez les mots de passe qu’à un nombre limité d’utilisateurs de confiance. Le cas échéant, respectez les recommandations relatives à la stratégie de mot de passe.

Mot de passe pour l’accès à distance à l’unité de contrôle MicroLogic via une interface IFE ou EIFE ou un serveur IFE

Dans une UMI MasterPacT MTZ, l’accès à l’unité de contrôle MicroLogic X ou MicroLogic Active est contrôlé par un mécanisme de contrôle d’accès basé sur les rôles (RBAC) lorsque la connexion est établie via :

• Logiciel EcoStruxure Power Commission via Ethernet

• Pages Web d’interface IFE ou de serveur IFE

• Pages Web d’interface EIFE

• Serveur FTPS pour interfaces IFE et EIFE et serveur IFE.

Pour plus d’informations sur le mécanisme RBAC, reportez-vous à Mots de passe pour les pages Web des interfaces IFE ou EIFE, ainsi qu’au serveur IFE ou EIFE FTPS.

Mot de passe pour l’accès à distance aux déclencheurs ComPacT NSX via l’interface IFE ou le serveur IFE

Dans une IMU ComPacT NSX équipée d’un déclencheur MicroLogic 5, 6 ou 7, l’accès au déclencheur MicroLogic est contrôlé par un mécanisme de contrôle d’accès basé sur les rôles (RBAC) lorsque la connexion est établie :

• Logiciel EcoStruxure Power Commission via Ethernet

• Pages Web d’interface IFE ou de serveur IFE

• Serveur FTPS pour interface IFE ou serveur IFE.

Pour plus d’informations sur le mécanisme RBAC, reportez-vous à Mots de passe pour les pages Web des interfaces IFE ou EIFE, ainsi qu’au serveur IFE ou EIFE FTPS.

Identifiants utilisateur et mots de passe pour PC en réseau

Les PC qui exécutent le logiciel EcoStruxure Power Commission ou qui accèdent à l’unité de contrôle ou au déclencheur MicroLogic par d’autres moyens (pages Web IFE ou SCADA, par exemple) doivent demander un identifiant et un mot de passe aux utilisateurs. Vous devez vérifier que les utilisateurs définissent des mots de passe forts et qu’ils les modifient régulièrement. De plus, vous devez définir un temporisateur pour verrouiller l’écran du PC automatiquement après une période d’inactivité.

Un mot de passe fort comprend des lettres majuscules et minuscules, des chiffres et des caractères spéciaux, lorsqu’ils sont disponibles. Il doit compter au minimum 10 caractères.

Le cas échéant, respectez les recommandations relatives à la stratégie de mot de passe.

Mots de passe pour pages Web d’interface IFE/EIFE ou de serveur IFE (avec version de micrologiciel 005.•••.•••) et serveur FTPS

L’accès aux pages Web d’interface IFE, aux pages Web d’interface EIFE, aux pages Web de serveur IFE et au serveur FTPS pour interfaces IFE et EIFE et serveur IFE est vérifié par un mécanisme de contrôle d’accès basé sur les rôles (RBAC).

Le mécanisme RBAC permet d’attribuer aux utilisateurs un rôle qui définit les fonctionnalités auxquelles ils peuvent accéder.

L’administrateur de la sécurité de votre système répertorie les utilisateurs du système et attribue un rôle à chacun d’eux.

L’administrateur de la sécurité peut gérer les utilisateurs de l’interface IFE ou EIFE ou du serveur IFE  :

• Sur les pages Web de l’interface IFE ou EIFE ou du serveur IFE

• Avec le logiciel EcoStruxure Cybersecurity Admin Expert (CAE)

L’administrateur de la sécurité peut utiliser le logiciel CAE pour définir la stratégie de sécurité du système.

La stratégie de sécurité s’applique à tous les éléments du système qui sont compatibles avec le logiciel CAE. Pour les systèmes basse tension, elle s’applique aux interfaces IFE et EIFE et au serveur IFE du système.

L’administrateur de la sécurité peut définir les paramètres suivants de la stratégie de sécurité à l’aide du logiciel CAE :

• Période d’inactivité minimum. Après cette durée sans aucune action de l’utilisateur, les pages Web de l’interface IFE ou EIFE sont verrouillées. L’utilisateur doit saisir le mot de passe à nouveau pour les déverrouiller.

• Nombre maximum de tentatives de connexion.

• Durée de la période de verrouillage.

Pour plus d’informations, reportez-vous à CAE_EN_UM_B4.1 EcoStruxure Cybersecurity Admin Expert User Guide.

Mots de passe pour les pages Web du serveur IFE (avec version de micrologiciel) 003.•••.•••)

Pour le serveur IFE avec version de micrologiciel 003.•••.•••, chaque utilisateur des pages Web du serveur IFE a un identifiant utilisateur et un mot de passe personnels pour se connecter. Les utilisateurs doivent modifier leur mot de passe après s’être connectés aux pages Web pour la première fois.

Vous devez identifier les utilisateurs de votre entreprise qui ont besoin d’une connexion aux pages Web du serveur IFE et suivre les recommandations de la stratégie de mot de passe, le cas échéant.