Directives de déploiement de la cybersécurité

This article has been translated automatically. See the original version.

Sécurité de l’installation et de la mise en service
Avant de connecter Ekip Connect à un réseau ou à un appareil afinde minimiser le risque de failles de sécurité et de malwares, suivez cette liste de contrôle :

1. Système d’exploitation

  • Déploiement sur Windows 11 avec les derniers correctifs de sécurité (minimum : Windows 10, fin du support officiel en janvier 2027)

    Menace atténuée : vulnérabilités connues du système d’exploitation, exploits de sécurité non corrigés et attaques d’escalade de privilèges au niveau système.

  • Activer le démarrage sécurisé dans le BIOS (obligatoire pour Windows 11)

    Menace atténuée : attaques du bootkit, exécution non autorisée de code au niveau de démarrage et altération du processus de démarrage

2. Sécurité des postes de travail

  • Restreindre l’accès physique aux postes de travail Ekip Connect

    Menace atténuée : Falsification physique, accès non autorisé aux appareils et manipulation directe du matériel.

  • Activez le chiffrement complet du disque (BitLocker ou équivalent)

    Menace atténuée : Exfiltration de données si la station de travail est volée ou physiquement compromise ; accès non autorisé aux données sensibles stockées.

  • Désactiver la connexion automatique ; Configurer la connexion protégée par mot de passe

    Menace atténuée : Accès non autorisé par des acteurs malveillants ayant un accès physique ou ayant accès à un poste de travail déverrouillé.

  • Configurez le verrouillage automatique de l’écran (15 minutes recommandées)

    Menace atténuée : Accès non autorisé à l’application EkipConnect et aux systèmes connectés en absence d’utilisateur

  • Activer le pare-feu Windows avec les règles par défaut de refus entrant

    Menace atténuée : Accès réseau non autorisé, trafic entrant non sollicité et communication par commande et contrôle par logiciel malveillant.

3. Protection logicielle

  • Installer un logiciel antivirus + antimalware

    Menace atténuée : Infection par malware, exécution de chevaux de Troie et code malveillant fonctionnant sur la station de travail.

  • Configurez le Scanning en temps réel et les scans complets quotidiens.

    Menace atténuée : détection et prévention en temps réel de l’exécution de logiciels malveillants ; identification des menaces dormantes ou récemment introduites.

  • Activer les mises à jour automatiques des définitions antivirus

    Menace atténuée : Évitement de la détection antivirus par des variantes de malwares nouvelles ou récemment découvertes.

4. Authentification utilisateur

  • Tous les utilisateurs doivent s’authentifier via MyABB (si l’ordinateur portable est ABB)

    Menace atténuée : Accès non autorisé à EkipConnect par des utilisateurs non authentifiés ou usurpés d’identité.

  • Imposer des mots de passe forts (minimum 8 caractères, 3 types de caractères)

    Menace atténuée : attaques par force brute, attaques de dictionnaire et devinette de mot de passe par les acteurs malveillants.

  • Activer l’authentification multifacteur (MFA) pour MyABB

    Menace atténuée : prise de contrôle de compte et accès non autorisé même si les identifiants utilisateurs sont compromis ou volés

  • Désactivez les sessions concurrentes depuis le même compte utilisateur

    Menace atténuée : Accès non autorisé utilisant des identifiants volés ou compromis sur un autre poste de travail ou appareil.

5. Configuration du réseau

  •  Déploiement sur un segment de réseau de gestion dédié (VLAN séparé)

    Menace atténuée : déplacement latéral des attaquants depuis des systèmes d’entreprise compromis ; accès non autorisé aux fonctions de gestion critiques.

  • Configurez le pare-feu pour n’autoriser que les ports sortants requis :

      • Port 443/TCP (connectivité cloud HTTPS)

      • Port 53/UDP (DNS)

      • Port 123/UDP (NTP)

    Menace atténuée : Communication sortante non autorisée, rappels de commandes et contrôle de logiciels malveillants, et exfiltration de données vers l’infrastructure des attaquants.

  • Isoler les réseaux d’appareils des réseaux d’entreprise (pare-feu requis)

    Menace atténuée : déplacement latéral entre réseaux d’appareils d’entreprise et critiques ; accès non autorisé à des dispositifs critiques pour la sécurité.

6. Mises à jour automatiques

  • Activer les mises à jour automatiques de Windows

    Réduction des menaces : Les vulnérabilités connues du système d’exploitation et les correctifs de sécurité au niveau système sont déployés en temps voulu.

  • Configurez l’antivirus pour mettre à jour automatiquement les définitions

    Menace atténuée : Détection d’évasion par de nouvelles variantes de malwares et menaces de malwares zero-day.

7. Vérification initiale

  • Vérifier que le Secure Boot est actif
  • Vérifier que le pare-feu Windows est activé
  •  Vérifiez que l’antivirus fonctionne et est mis à jour

    Menace atténuée : Erreurs de configuration, manquements de contrôles de sécurité et déploiement incomplet des bases de sécurité obligatoires.

     

Configuration et sécurité du pare-feu

Ekip Connect utilise des ports spécifiques pour différents types de communication. Une configuration correcte du pare-feu est essentielle pour la sécurité.

 

Ports obligatoires (nécessaires pour les fonctionnalités cloud)

Port 443/TCP (HTTPS - Connectivité cloud)

  • API du gestionnaire numérique ABB ELSP
  • Connectivité de la plateforme ABB Ability
  • Accès à la bibliothèque de firmware
  • Téléchargement des mises à jour et correctifs
  • Doit être ACTIVÉ pour les fonctionnalités cloud
  • TOUJOURS chiffré (TLS 1.2 ou supérieur)

    Menace atténuée : attaques Man-in-the-middle (MITM) sur la communication cloud (atténuées par le chiffrement TLS) ; Accès non autorisé aux API cloud et aux bibliothèques de firmwares ; Interception des mises à jour du firmware et des correctifs de sécurité

Port 53/UDP (DNS - Résolution des noms de domaine)

  • Nécessaire pour résoudre les points de terminaison cloud ABB
  • Doit être ACTIVÉ pour toute connectivité cloud
  • Pas de chiffrement (protocole DNS standard)
  • Je recommande d’utiliser des serveurs DNS de confiance

    Menace atténuée : attaques de spoofing DNS qui redirigent EkipConnect vers des points de terminaison cloud malveillants ; empoisonnement du cache DNS ; Redirection non autorisée de la connectivité cloud

     

Ports recommandés (fortement recommandés)

Port 123/UDP (NTP - Synchronisation temporelle)

  • Protocole de temps réseau pour la précision de l’horloge système
  • Important pour la précision et la sécurité des journaux temporels
  • Fortement recommandé mais pas strictement obligatoire
  • Activer si la configuration réseau le permet

    Menace atténuée : manipulation et falsification temporelle des journaux ; Les attaques de décalage horloge qui invalident les contrôles de sécurité basés sur le temps ; Trace d’audit inexacte et reconstruction des incidents

     

Ports de communication des appareils (pour les connexions des périphériques)

Port 502/TCP (Modbus TCP)

  • Communication Device-to-Ekip Connect via Ethernet
  • BIDIRECTIONNEL (appareil peut se connecter en arrière)
  • Protocole non chiffré (segmentation réseau requise)
  • Activer uniquement sur les réseaux d’appareils (pas connectés à Internet)
  • Le pare-feu devrait restreindre ce port uniquement aux appareils autorisés

    Menace atténuée : communication non autorisée des appareils et manipulation des paramètres ; Des appareils malveillants se connectant à l’interface de gestion ; L’écoute clandestine du trafic de dispositifs non chiffré (atténué par la segmentation réseau) ; Attaques par déni de service provenant de segments réseau non autorisés

Port 69/UDP (TFTP - Trivial File Transfer Protocol)

  • Téléchargement du firmware et provisionnement des appareils
  • Communication bidirectionnelle
  • Non chiffré (utilisation uniquement sur réseaux isolés)
  • Uniquement requise lors des opérations de mise à jour du firmware
  • Peut être désactivé en dehors des fenêtres de maintenance

    Menace atténuée : téléchargement et déploiement non autorisés du firmware ; Injection malveillante de firmware via des attaques Man-in-the-middle TFTP sur le transfert de firmware (atténuées par l’isolement réseau) ; Provisionnement non autorisé de dispositifs ; Écoute clandestine de transferts de firmware non chiffrés

 

Note : pendant que le provisionnement des appareils est intégré à ABB Ability™ EM & AM, assurez-vous que votre pare-feu est correctement configuré, selon les ports actifs mentionnés ci-dessus. Si des problèmes de communication surviennent, essayez de désactiver temporairement votre pare-feu, en le réactivant à la fin du processus de provisionnement.

 

Pour plus de détails sur les directives de déploiement de sécurité Modbus et les informations sur la sécurité, veuillez cliquer ici.