bonjour a tous
J'avais une question par rapport au firmware des automates, car j'ai entendu parler de la NIS2. A quel moment est on obliger de les mettre a jour, Hormis lorsqu'on change le matériel informatique, ou qu'on intègre un nouvelle équipement.
dans mon cas j'ai différent automate. j'ai des TSX 37 et 57, le logiciel de programmation tourne sur une vm.
j'ai des tm251 et 221
Et aussi d'autre automate.
merci de vos réponses
info firmware
-
MiGaNuTs
- Mi homme - Mi automate
- Messages : 1573
- Enregistré le : 12 nov. 2015, 21:02
- Localisation : 45 - Loiret
- Contact :
Re: info firmware
Bonjour,
La dissolution de l'assemblée a reporté le vote et donc la mise en application de la loi qui devait rendre la chose obligatoire cette année, et repoussé le tout aux calendes grecques. Cependant le problème auquel elle veux répondre n'a pas disparu pour autant. C'est une bonne idée de s'y intéresser.
Le NIS2 c'est avant tout une obligation de moyens. On sait très bien que si il y'a cyber-malveillance ciblée, de toutes façons il y'aura des dégâts.
Le plan de restauration après attaque est aussi important, voire plus, que le plan de protection. L'étape 1 c'est donc d'avoir des sauvegardes, qu'elles soient fonctionnelles, pérennes, et d'avoir ce qu'il faut pour les utiliser.
Une disquette de 1994 qui traine depuis 1994 dans le fond d'une armoire et qu'on a jamais testé, ça ne compte pas. Surtout si entre temps il y'a eu des modifs non suivies.
Les sauvegardes ne sont pas la qu'en cas de cyberattaque. En cas de panne matérielle, elles servent aussi.
Pour les automates récents, type M221,M241,M251,M262 et même M580, =S= sort des mises a jour régulièrement et au fur et a mesure de la découverte de problèmes, il sont patchés.
Une 'hygiène' de base qui consiste a leur mettre des mots de passe (pas tous le même mdp, les changer périodiquement, etc) et mettre a jour les firmware des que possible. En faisant ceci, vous êtes en règle vis a vis du NIS2 et vous SURTOUT devenez une cible COMPLIQUEE pour les hackers.
Pour les 37, 57, probablement le twido (j'en sait rien pour les twido), et les générations d'avant, c'est plus compliqué.
On est face a un double problème. D'une part ils ne sont plus supportés ni mis a jour, et d'autre part le protocole UMAS utilisé par leur système est maintenant largement documenté. Ça en fait des cibles très faciles pour les pirates. Un script en python (ou autre) qui permettrait de les basculer en stop ou d'effacer leur mémoire a partir du réseau ou de leur prise terminal n'est pas trop compliqué a écrire (pour un pro) vu qu'on trouve cette doc sur github. J'ai en projet de le faire pour en faire un démo a mes clients lors des audits. Ça viendra quand j'aurai du temps.
Il faut a tout prix éviter qu'ils soient accessibles par un réseau IP.
Pour le M340 c'est la merde. il utilise aussi le protocole UMAS, mais il reçoit encore des mises a jour. Par contre y'a des tonnes de variantes du hardware.
J'ai pas trop fouillé le sujet, mais je pense qu'un vieux hardware avec un firmware pas a jour exposé a un réseau accessible depuis internet, a mon avis il fini vérolé a un moment ou un autre.
Edit:
Un peu de lecture :
http://lirasenlared.blogspot.com/2017/0 ... art-i.html
La dissolution de l'assemblée a reporté le vote et donc la mise en application de la loi qui devait rendre la chose obligatoire cette année, et repoussé le tout aux calendes grecques. Cependant le problème auquel elle veux répondre n'a pas disparu pour autant. C'est une bonne idée de s'y intéresser.
Le NIS2 c'est avant tout une obligation de moyens. On sait très bien que si il y'a cyber-malveillance ciblée, de toutes façons il y'aura des dégâts.
Le plan de restauration après attaque est aussi important, voire plus, que le plan de protection. L'étape 1 c'est donc d'avoir des sauvegardes, qu'elles soient fonctionnelles, pérennes, et d'avoir ce qu'il faut pour les utiliser.
Une disquette de 1994 qui traine depuis 1994 dans le fond d'une armoire et qu'on a jamais testé, ça ne compte pas. Surtout si entre temps il y'a eu des modifs non suivies.
Les sauvegardes ne sont pas la qu'en cas de cyberattaque. En cas de panne matérielle, elles servent aussi.
Pour les automates récents, type M221,M241,M251,M262 et même M580, =S= sort des mises a jour régulièrement et au fur et a mesure de la découverte de problèmes, il sont patchés.
Une 'hygiène' de base qui consiste a leur mettre des mots de passe (pas tous le même mdp, les changer périodiquement, etc) et mettre a jour les firmware des que possible. En faisant ceci, vous êtes en règle vis a vis du NIS2 et vous SURTOUT devenez une cible COMPLIQUEE pour les hackers.
Pour les 37, 57, probablement le twido (j'en sait rien pour les twido), et les générations d'avant, c'est plus compliqué.
On est face a un double problème. D'une part ils ne sont plus supportés ni mis a jour, et d'autre part le protocole UMAS utilisé par leur système est maintenant largement documenté. Ça en fait des cibles très faciles pour les pirates. Un script en python (ou autre) qui permettrait de les basculer en stop ou d'effacer leur mémoire a partir du réseau ou de leur prise terminal n'est pas trop compliqué a écrire (pour un pro) vu qu'on trouve cette doc sur github. J'ai en projet de le faire pour en faire un démo a mes clients lors des audits. Ça viendra quand j'aurai du temps.
Il faut a tout prix éviter qu'ils soient accessibles par un réseau IP.
Pour le M340 c'est la merde. il utilise aussi le protocole UMAS, mais il reçoit encore des mises a jour. Par contre y'a des tonnes de variantes du hardware.
J'ai pas trop fouillé le sujet, mais je pense qu'un vieux hardware avec un firmware pas a jour exposé a un réseau accessible depuis internet, a mon avis il fini vérolé a un moment ou un autre.
Edit:
Un peu de lecture :
http://lirasenlared.blogspot.com/2017/0 ... art-i.html
-
JC87
- Mi homme - Mi automate
- Messages : 2231
- Enregistré le : 20 oct. 2015, 13:00
- Localisation : Nouvelle Aquitaine
Re: info firmware
Bonjour,
Concernant les 37 et 57 et encore moins les Nano/Twido il n'y en pas tant que ça qui sont accessible en réseau à distance. A l'époque ça ne se faisait pas trop surtout pour les 37 ou il fallait mettre un coupleur Ethernet qui coutait plus cher que toute la config automate.
Donc le plus simple s'ils sont en réseau c'est de faire en sorte qu'ils ne soient pas accessibles à distance ou de manière ponctuelle pour dépannage par exemple en se connectant manuellement au réseau et si c'est vraiment indispensable d'avoir une connexion permanente, de faire en sorte de sécuriser leurs accès par un VPN.
JC
Concernant les 37 et 57 et encore moins les Nano/Twido il n'y en pas tant que ça qui sont accessible en réseau à distance. A l'époque ça ne se faisait pas trop surtout pour les 37 ou il fallait mettre un coupleur Ethernet qui coutait plus cher que toute la config automate.
Donc le plus simple s'ils sont en réseau c'est de faire en sorte qu'ils ne soient pas accessibles à distance ou de manière ponctuelle pour dépannage par exemple en se connectant manuellement au réseau et si c'est vraiment indispensable d'avoir une connexion permanente, de faire en sorte de sécuriser leurs accès par un VPN.
JC
"On veut faire du zéro défaut mais on a zéro bonhomme et zéro budget, et bien à la fin on a zéro résultat..."
Re: info firmware
Salut à tous,
Je me suis amusé à faire une réponse chat GPT à la Eugène:
"La sécurité des automates industriels anciens repose sur des mesures préventives très strictes : la limitation de leur exposition au réseau, l'isolement physique ou via des VLANs sécurisés, et l’utilisation de pare-feu et de contrôles d’accès stricts. En parallèle, il est crucial de maintenir un plan de sauvegarde et de restauration fiable pour minimiser l'impact en cas de défaillance.
Enfin, vous soulignez un point clé : la mise en place de démonstrations de vulnérabilité lors des audits est essentielle. Cela permet de sensibiliser vos clients à ces risques et de mettre en avant l'importance de sécuriser ces équipements, même si, comme vous le dites, "un script en Python" pourrait rendre ces systèmes vulnérables de manière assez simple.
Merci pour votre retour, c’est un sujet crucial pour la sécurité industrielle !"
Je me suis amusé à faire une réponse chat GPT à la Eugène:
"La sécurité des automates industriels anciens repose sur des mesures préventives très strictes : la limitation de leur exposition au réseau, l'isolement physique ou via des VLANs sécurisés, et l’utilisation de pare-feu et de contrôles d’accès stricts. En parallèle, il est crucial de maintenir un plan de sauvegarde et de restauration fiable pour minimiser l'impact en cas de défaillance.
Enfin, vous soulignez un point clé : la mise en place de démonstrations de vulnérabilité lors des audits est essentielle. Cela permet de sensibiliser vos clients à ces risques et de mettre en avant l'importance de sécuriser ces équipements, même si, comme vous le dites, "un script en Python" pourrait rendre ces systèmes vulnérables de manière assez simple.
Merci pour votre retour, c’est un sujet crucial pour la sécurité industrielle !"
-
MiGaNuTs
- Mi homme - Mi automate
- Messages : 1573
- Enregistré le : 12 nov. 2015, 21:02
- Localisation : 45 - Loiret
- Contact :
Re: info firmware
Pepino672 a écrit : ↑11 déc. 2024, 14:37 Salut à tous,
Je me suis amusé à faire une réponse chat GPT à la Eugène:
"La sécurité des automates industriels anciens repose sur des mesures préventives très strictes : la limitation de leur exposition au réseau, l'isolement physique ou via des VLANs sécurisés, et l’utilisation de pare-feu et de contrôles d’accès stricts. En parallèle, il est crucial de maintenir un plan de sauvegarde et de restauration fiable pour minimiser l'impact en cas de défaillance.
Enfin, vous soulignez un point clé : la mise en place de démonstrations de vulnérabilité lors des audits est essentielle. Cela permet de sensibiliser vos clients à ces risques et de mettre en avant l'importance de sécuriser ces équipements, même si, comme vous le dites, "un script en Python" pourrait rendre ces systèmes vulnérables de manière assez simple.
Merci pour votre retour, c’est un sujet crucial pour la sécurité industrielle !"
Oui, je crois qu'on en a encore trouvé un beau.
C'est pénible a force. Au bout d'un moment on va finir par demander une pièce d'identité pour l'inscription sur le forum
Re: info firmware
Salut,
Une solution pour répondre à la directive NIS2 : https://www.se.com/dz/fr/download/docum ... _brochure/
En France, ça s'appelle OCTOPLANT, Schneider en est le distributeur officiel.
Une solution pour répondre à la directive NIS2 : https://www.se.com/dz/fr/download/docum ... _brochure/
En France, ça s'appelle OCTOPLANT, Schneider en est le distributeur officiel.
-
JC87
- Mi homme - Mi automate
- Messages : 2231
- Enregistré le : 20 oct. 2015, 13:00
- Localisation : Nouvelle Aquitaine
Re: info firmware
AUVESY
Schneider Electric Collaborative Automation
Partner Program
Contacts:
AUVESY GmbH & Co KG
+49 6341 6810 440
sales@auvesy.de
Fichtenstraße 38 B
76829 Landau
Germany
Itasoft va nous faire un arrêt cardiaque
JC
Schneider Electric Collaborative Automation
Partner Program
Contacts:
AUVESY GmbH & Co KG
+49 6341 6810 440
sales@auvesy.de
Fichtenstraße 38 B
76829 Landau
Germany
Itasoft va nous faire un arrêt cardiaque
JC
"On veut faire du zéro défaut mais on a zéro bonhomme et zéro budget, et bien à la fin on a zéro résultat..."
Re: info firmware
JC87 a écrit : ↑11 déc. 2024, 17:12 AUVESY
Schneider Electric Collaborative Automation
Partner Program
Contacts:
AUVESY GmbH & Co KG
+49 6341 6810 440
sales@auvesy.de
Fichtenstraße 38 B
76829 Landau
Germany
Itasoft va nous faire un arrêt cardiaque
JC
Re: info firmware
OCTOPLANT, c'est le dernier truc de schneider qui plante 8 fois ?fish a écrit : ↑11 déc. 2024, 16:59 Salut,
Une solution pour répondre à la directive NIS2 : https://www.se.com/dz/fr/download/docum ... _brochure/
En France, ça s'appelle OCTOPLANT, Schneider en est le distributeur officiel.
Re: info firmware
dpo a écrit : ↑11 déc. 2024, 20:41OCTOPLANT, c'est le dernier truc de schneider qui plante 8 fois ?fish a écrit : ↑11 déc. 2024, 16:59 Salut,
Une solution pour répondre à la directive NIS2 : https://www.se.com/dz/fr/download/docum ... _brochure/
En France, ça s'appelle OCTOPLANT, Schneider en est le distributeur officiel.
mouais....