Fin du support Windows XP Comment gérer la journée du 9 Avril 2014? Par Brecht SCHAMP Product Specialist Industrial Networks & Security Contexte Selon l IMS Research, plus d un million de PC industriels par an ont été vendus durant ces dernières années. Considérant que la plupart d entre eux sont basés sur Windows XP et que Microsoft a décidé d en arrêter le support le 8 avril 2014, les industriels vont se retrouver avec une multitude de systèmes opérationnels potentiellement vulnérables. Contexte......... 1 Possibilités......... 2 Protection des systèmes industriels. 2 Fonction CIM.......... 3 Produits.......... 4 Conclusion.......... 5 Dans un post sur un blog de sécurité, Tim Rains, le directeur Microsoft du département «Trustworthy Computing» affirme qu après le 8 avril 2014, «Windows XP deviendra vulnérable aux attaques Zéro Day». Comme l indique Net Applications, une entreprise d analyse web, 31,6 % des utilisateurs sont encore sur cette plateforme à la fin octobre 2013. De plus, l arrêt du support ne signifie pas pour autant l obsolescence des applicatifs. En effet, ceux-ci font bien et pour longtemps ce qu on leur demande de faire. Cependant, de plus en plus de machines sont devenues «interconnectées» voire «cyber-connectées», s exposant aux attaques éventuelles, externes ou internes. Le sujet reste donc d actualité : comment sécuriser son outil de production pour des systèmes qui vont devenir de plus en plus vulnérables? Que reste-il aux industriels comme alternative pour migrer vers une solution sécurisée? PHOENIX CONTACT NV - MINERVASTRAAT 10-12 - 1930 ZAVENTEM 1
On peut considérer 3 possibilités réalistes 1) Ne rien faire : Cela reste une option possible mais très risquée sachant que l on découvre environ 8 failles par mois sur Windows XP et que cette situation risque de s accroître après le 8 avril. C est donc prendre le risque que l outil industriel ne soit plus pérenne, voire se retrouver avec un arrêt de production potentiellement irréversible. 2) Migration du parc PC industriels et des applicatifs : Cela engendre des coûts qui peuvent devenir prohibitifs et un temps de migration souvent très long. De plus dans ce genre de migration une période de test est nécessaire, souvent incompatible avec un outil de production opérationnel. Il faut considérer aussi que certains applicatifs ne pourront pas migrer vers ces nouveaux OS. 3) Utilisation de firewalls Industriels mguard : Un firewall industriel tel que le mguard doit être inséré pour protéger des cellules sensibles aussi bien des attaques externes que des attaques internes. Ce firewall industriel, conçu pour bloquer les flux indésirables dans les deux sens, intègre aussi un système de surveillance, le CIM (CIFS Integrity Monitoring) Bien sûr, ces possibilités seront étudiées au cas par cas, en fonction des impératifs de chaque industriel. Cependant, l utilisation d un firewall industriel reste la solution la plus transparente possible. Comment protéger vos systèmes Industriels? L insertion de firewalls dans un système industriel permet de cloisonner les zones sensibles, assurant un filtrage amont et aval afin d éviter une propagation des attaques sur l ensemble du site. Plusieurs modes de fonctionnements sont envisageables : Le stealth mode : mode transparent qui offre une transparence sur le réseau en régulant les flux d informations. Le mode routeur : mode nécessitant une adresse IP mais qui offre de multiples configurations possibles. De plus, le mguard offre le CIM (CIFS Integrity Monitoring). Ce concept permet au firewall de scanner les différents répertoires qui lui ont été configurés afin de surveiller un changement sur les fichiers. Il peut donc ensuite alerter l utilisateur via une trap SNMP pour qu une action puisse être déclenchée (scan des PC concernés, analyse des fichiers changés, etc..). Les «anciens PC» qui n offrent pas assez de puissance pour gérer ce genre de tâche, profitent de cette fonction incluse dans les firewalls Phoenix Contact. PHOENIX CONTACT NV - MINERVASTRAAT 10-12 - 1930 ZAVENTEM 2
L utilisation des Firewalls Phoenix Contact peut donc vous prémunir contre les failles de sécurité de Windows XP qui ne vont pas manquer d augmenter dans les prochains mois. En y ajoutant la fonction CIM (CIFS Integrity Monitoring), vous serez capable de surveiller plusieurs répertoires de plusieurs PC, sans pénaliser votre process habituel. Fonctionnement du CIM (CIFS Integrity Monitoring) Firewall Fonction CIM Régule le trafic de données à l aide des protocoles, des adresses, etc. Aucun effet sur la communication. Utilise un ensemble de règles statiques. Utilise des valeurs de hachage (empreintes digitales numériques) de fichiers pour détecter la manipulation. Les fausses alarmes ne sont pas possibles. Les fausses alarmes ne sont pas possibles. Ne détecte pas les changements sur les fichiers. Détecte les changements sur les fichiers. Fonctionne de manière autonome et statique. Fonctionne dynamiquement et interagit avec d autres systèmes. Cliquez ici! PHOENIX CONTACT NV - MINERVASTRAAT 10-12 - 1930 ZAVENTEM 3
FIREWALL avec fonction CIM TYPE Ref FONCTIONS FL MGUARD SMART2 FL MGUARD SMART2 VPN Pas de fonction CIM 2700640 2700639 Firewall avec alimentation par port USB, destiné aux opérateurs mobiles ou pour la maintenance. Possibilité de gérer les tunnels FL MGUARD RS2000 TX/TX VPN 2700642 Confi guration simplifi ée en 2 clics. Possibilité de gérer les 2 tunnels FL MGUARD RS4000 TX/TX FL MGUARD RS4000 TX/TX VPN 2700634 2700515 FL MGUARD GT/GT FL MGUARD GT/GT VPN 2700197 2700198 Travaille jusqu au Gigabit. FL MGUARD PCI4000 FL MGUARD PCI4000 VPN 2701274 2701275 Firewall avec alimentation par le port PCI Info Produits Cliquez ici PHOENIX CONTACT NV - MINERVASTRAAT 10-12 - 1930 ZAVENTEM 4
Conclusion Phoenix Contact est un acteur majeur dans la protection et la sécurisation des réseaux et des systèmes industriels. L étroite collaboration avec des sociétés du secteur de la sécurité informatique vous permet d avoir l assurance des compétences et du soutien dans la recherche et la mise en place de protection indispensable pour vos architectures. Grâce aux différents facteurs de forme des produits mguard, une solution est disponible pour tous les besoins, que ce soit une protection rapide basique ou une protection ciblée paramétrée. Fort de plus de 10 ans d expérience dans ce domaine, les produits mguard sont dimensionnés pour garantir une protection industrielle adéquate. A PROPOS DE PHOENIX CONTACT Véritable constructeur d innovations, Phoenix Contact est un groupe mondial qui conçoit, fabrique et commercialise des solutions d automatismes et de communication pour l industrie. Leader sur les technologies du Wireless, des réseaux Ethernet Industriels et de la protection antisurtension, nous proposons une large gamme de produits et solutions de qualité répondant à différentes problématiques. Nos atouts : une large gamme, des produits de qualité et innovants, des solutions globales pour répondre aux besoins des marchés porteurs de demain. Avec 90 ans d expérience, 12000 personnes, nous sommes forts de notre expertise et de notre savoir-faire et vous garantissons productivité et réussite de vos projets. Pour plus d informations sur Phoenix Contact et ses produits, rendez-vous sur notre site www.phoenixcontact.be, ou contactez-nous au 02 723 98 11 PHOENIX CONTACT NV - MINERVASTRAAT 10-12 - 1930 ZAVENTEM 5