jirikaderabek - Fotolia

L’Anssi délivre sa première certification pour un équipement Scada

L’agence valide ainsi la mise en œuvre d’un automate Simatic de Siemens, par des opérateurs d’importance vitale, dans leurs environnements industriels.

L’agence nationale pour la sécurité des systèmes d’informations (Anssi) vient d’annoncer avoir accordé une certification et une qualification à l’automate Simatic S7-1518-4 de Siemens.

L’Anssi souligne qu’il s’agit d’une première destinée à répondre aux besoins introduits par la loi de programmation militaire (LPM) adoptée fin 2013. Depuis début 2015, l’agence a pour mission de certifier les produits et services de sécurité informatique déployés pour des « besoins de sécurité nationale » ; elle est indispensable pour qui veut vendre ses produits et services aux opérateurs d’importance vitale (OIV).

L’automate industriel de Siemens a ainsi reçu la certification de sécurité de premier niveau (CSPN), ainsi que la qualification complémentaire suivant les exigences de la LPM.

Pour la certification, le centre d’évaluation Amossys a évalué les fonctions de gestion des entrées malformées, d’authentification sur l’interface d’administration, de gestion des politiques de droits, de signature du microcode interne, de garantie de l’intégrité et de la confidentialité de la configuration, de contrôle de l’authenticité et de l’intégrité du programme utilisateur et de protection de sa confidentialité, ou encore de sécurisation des communications.

Le rapport de certification est assorti de recommandations de configuration ainsi que de restrictions d’usage que l’entité utilisatrice devra respecter « pour une utilisation sécurisée ». A charge donc pour elle d’assurer notamment que tous les utilisateurs sont déconnectés « après une modification des droits et permissions ».

En outre, Amossys souligne que « les règles de défense en profondeur doivent être appliquées, et notamment dans le cas d’une administration par le réseau, il est recommandé d’utiliser un réseau séparé physiquement ou, au minimum, logiquement ». Enfin, le centre recommande que la station d’ingénierie utilisée pour le contrôle de l’automate « ne soit pas branchée en permanence mais uniquement en cas de besoin ». 

Pour approfondir sur Cyberdéfense

Close