Mantysse a écrit : ↑22 mars 2018, 08:41
Le problème sur ces 2 points c'est que les service maintenance et industrialisation sont souvent a des années lumières de ces problématiques:
- ils ne prennent pas en compte la sécurité informatique
- ils ne budgetent pas ces mises a jours
Les services SI ne les préviennent pas lorsqu'il forcent des mises a jours... ces mecs la sont encore un peu dans leurs tour d'ivoire lorsqu'il s'agit du réseau technique.
Je suis dans la maintenance, et je plussoie.
Quand je suis arrivée sur mon site en 2014, il n'y avait jamais de mise à jour de faite sur les API, juste des corrections de bug de fonctionnement (et encore).
J'ai commencé à faire des MAJ firmware sur les automates où je passais en intervention. Le client m'a reproché le temps passé, genre 30 minutes ça va changer la face du monde sur une intervention totale de 4h (on est payé à l'heure). Il y avait un problème récurent d'automates qui "figeaient" sur le site. En gros ils passaient en "halt" et donc nous faisait un bel arrêt sur image.
On a fini par identifier que ça venait du réseau. J'ai été la seule à chercher si il y avait une corrélation avec la position géographique des API (routeur défectueux, mauvaise requête réseau d'un autre équipement, etc) et les plantages, avec le type d'installation, etc.
Il y a eu un gros pic de ces plantages environ 8/10 mois après mon arrivée. Premier gros plantage d'une des 2 chaufferies. Un intégrateur qui était bien vu par le client est arrivé avec une solution sortie de son chapeau... Selon lui ça viendrait du fait que les automates ne sont pas tous fait par sa boite mais aussi par d'autres intégrateurs. Que en gros les autres intégrateurs viendraient perturber le réseau avec des échanges de données entre API qui n'iraient pas au bon automate. J'ai pu expliquer, service technique du fabriquant à l'appui, que c'était pas possible puisque qu'aucun API n'avait la même adresse IP, RAF côté client. On a donc lancé une procédure pour contrôler les paramètres de communications de chaque automate et leur mettre à chacun un numéro de station unique et un ID unique... Ce qui ne servait à rien. Mais bon "machin a dit que"...
Comme je passe partout sur ma partie (en gros le site était divisé entre "machin" et moi, même si officiellement c'est moi qui doit faire toute la maintenance), j'en profite pour mettre à jour mes FW sur ma partie... Nouveaux reproches.
Grosse accalmie. On rebranche les chaufferies sur le réseau... Et bim, un petit mois après, second plantage des chaufferies.
Branle bas de combat.
On entend enfin ce que je disais depuis le début (ça fait 18 mois que ça dure) : peut-on demander une surveillance réseau sur les API qui plantent ? Pour savoir d'où vient la trame qui fait planter... Le client demande à son service IT qui le renvoie au service sécurité info. Et là on se prend un mail de 3 pages pour nous expliquer que nos API c'est de la merde ("ils sont peu fiables et pas robustes"), qu'ils résistent pas aux scans réseau ("qui sont pourtant gentils"), que les mots de passe sont ceux par défaut (ho encore un truc que je répétais depuis des mois), que les mots de passes des pages webs sont accessibles en clair (machin qui sait tout il s'est jamais mis à jour et le nouveau système de mot de passe intègre un chiffrement... et on est sur 10 API de machin), etc et "qu'on doit lui virer ces merdes de son réseau" (oui, dans ces termes).
ça fait au moins 18 mois que le service sécurité info nous fait planter nos équipements régulièrement, voit que nos équipements sont mis HS par leurs scan de sécurité et ils ne nous ont pas fait remonté une seule fois l'info ! Pourquoi faire des scans pour identifier des problèmes sécurité si on ne fait pas remonter l'information ?!
Je récupère les données des chaufferies, images automates, paramètres et j'envoie tout ça au constructeur avec en copie le mail du chef de la sécurité info.
Et il me revient un document de 5 pages disant en gros : "Mettez à jour les FW et apprenez à vous servir du logiciel de programmation" Puisque la faille de sécurité identifiée par le scan réseau était résolu depuis près de 2 ans...
Et vu que j'avais mis à jour toute ma partie du site, forcément on avait beaucoup moins de plantage du coup...
Bref... chacun dans sa tour, dans son monde, 0 communication...
Bon pour l'histoire, le service sécurité info s'est un peu plus interressé à nous et a réussi à nous pirater un de nos automates... Mais bon du coup ils nous ont donné le patch pour virer cette faille de nos automates en même temps, donc ça va.