Fonctionnalités de sécurité

Fonctions de sécurité

Des fonctions de sécurité ont été intégrées dans la passerelle PowerTag Link pour que la passerelle PowerTag Link fonctionne correctement.

Les principales fonctions sont les suivantes :

Gestion des comptes utilisateur
Contrôles d'authentification et d'autorisation des utilisateurs lorsqu'ils accèdent aux ressources du produit à partir du logiciel EcoStruxure Power Commission (EPC) ou des pages Web
Communications sécurisées entre la passerelle PowerTag Link et ses capteurs et appareils sans fil associés (prenant en charge la confidentialité et l'intégrité)
Paramètres et services de sécurité configurables
Mécanisme de mise à jour du firmware

Ces fonctions de sécurité protègent contre les menaces potentielles susceptibles d'altérer le fonctionnement du produit (disponibilité), de modifier des informations (intégrité) ou de divulguer des informations confidentielles (confidentialité).

Ces fonctions de sécurité sont conçues pour minimiser les menaces liées à l'utilisation de la passerelle PowerTag Link dans un environnement de technologie opérationnelle.

Cependant, leur efficacité dépend de l'adoption et de l'application :

des recommandations fournies dans ce chapitre concernant la mise en service, le fonctionnement, la maintenance et la mise en service de la passerelle PowerTag Link ;
des bonnes pratiques en matière de cybersécurité.

Protocoles pris en charge

La passerelle PowerTag Link prend en charge les protocoles suivants :

HTTPS pour la configuration via les outils de configuration et les pages Web intégrées
Modbus TCP pour les communications avec d'autres appareils de technologie opérationnelle
DHCP pour l'adressage IP du réseau
DNS pour la résolution du nom de réseau
SNTP pour la synchronisation horaire
DPWS pour la détection du réseau
SMTPS pour l'envoi d'e-mails
Communications sans fil sur la bande ISM de radiofréquence 2,4 GHz

Risques potentiels et contrôles de compensation

Zone	Problème	Risque	Contrôles de compensation
Comptes utilisateur	Les utilisateurs malveillants exploitent souvent les paramètres par défaut des comptes.	Si vous ne modifiez pas le mot de passe par défaut, vous vous exposez à des intrusions.	Modifiez le mot de passe par défaut pour réduire le risque d'accès non autorisé.
Comptes utilisateur	Les identifiants d'utilisateur sont stockés de manière chiffrée dans l'appareil.	Si un utilisateur malveillant a réussi à accéder à votre appareil, il peut récupérer vos identifiants sur le support de stockage.	Stockez les appareils inutilisés dans un local à accès contrôlé ou sous surveillance.
Protocoles sécurisés	Modbus et certains protocoles informatiques (SNTP, DHCP, DNS, SNTP et DPWS) ne sont pas sécurisés. Ils ne permettent pas à l'appareil d'envoyer des données chiffrées.	Un utilisateur malveillant qui réussit à accéder à votre réseau peut intercepter vos communications.	Pour transmettre des données sur un réseau interne, segmentez physiquement ou logiquement ce réseau. Pour transmettre des données sur un réseau externe, chiffrez les transmissions du protocole sur toutes les connexions externes à l'aide d'un tunnel chiffré, d'un TLS ou d'une solution similaire.
Protocoles sécurisés	HTTP n'est pas sécurisé.	Un utilisateur malveillant qui réussit à accéder à votre réseau peut compromettre la sécurité de votre réseau local.	Configurez les paramètres de protocole Web suivants : HTTPS HTTPS avec redirection HTTP.
Communication radio sans fil	Pendant la période d'appariement, des appareils radio non autorisés peuvent tenter de s'intégrer au réseau.	Un appareil suspect qui réussit à accéder à votre réseau peut écouter la communication de votre réseau sans fil ou créer un refus de service.	Réduisez la période de mise en service pour limiter votre exposition.
Communication radio sans fil			Une fois l'appariement effectué, consultez la liste des appareils dans la configuration de la passerelle PowerTag Link et vérifiez qu'elle ne contient aucun appareil inattendu ou suspect.