Skip to main content

Comment procéder : Mesures de sécurité dans le CODESYS environnement

Appliquer le CODESYS Des mesures de sécurité cohérentes pour protéger progressivement tous les aspects de votre environnement d'automatisation.

  1. En général, une installation CODESYS Development System L'intégrité de l'environnement de développement peut être compromise par la manipulation ou le remplacement d'installations ou de bibliothèques supplémentaires. Différents mécanismes de signature sont pris en charge afin de garantir son intégrité.

    • Inscrivez-vous aux forfaits complémentaires dans CODESYS Package Designer.

    • Bibliothèques de signature lors de l'enregistrement dans CODESYS Development System.

    • Contrôles HTML5 de signature dans le référentiel d'éléments de visualisation.

  2. Créez un projet pour programmer votre/vos application (s) dans CODESYS.

    Créer un gestion des utilisateurs du projet Configurez les identifiants des utilisateurs et leurs autorisations. Vous pouvez configurer individuellement les Contrôle d'accès dans le Propriétés de chaque objet.

    Chiffrez le projet dans Sûreté catégorie des Paramètres du projet avec au moins un mot de passe, ou mieux encore avec un certificat.

    Pour plus d'informations, voir : Procédure : Protéger le développement et le code source

  3. Si vous créez une bibliothèque qui doit être installée pour être utilisée dans d'autres projets, protégez-la par une signature. Chaque composant pouvant être installé en plus offre aux pirates la possibilité d'attaquer le système de programmation.

    Pour plus d'informations, voir : Protection et signature des bibliothèques compilées

  4. En tant que développeur de bibliothèques, vous pouvez utiliser le CmpX509Cert.library bibliothèque pour créer des certificats pour des blocs de fonctions spécifiques sur l'automate.

    Pour plus d'informations, voir : Comment utiliser CmpX509Cert pour la génération de certificats

  5. Gérez le projet dans un système de contrôle de version tel que CODESYS Git, à des fins de sécurité des données et d'échange sécurisé avec des tiers.

    Pour plus d'informations, voir : Connecter un projet au contrôle de version

  6. Avant de télécharger l'application créée :

    Chiffrez et/ou signez l'application à l'aide d'un certificat. Il est préférable de commencer les actions nécessaires dans Propriétés boîte de dialogue de l'application sur Sûreté onglet.

    Pour plus d'informations, voir : Comment chiffrer ou signer une application de démarrage

    Vous pouvez utiliser le CmpX509Cert.library Bibliothèque permettant de générer des certificats X.509 directement depuis votre application IEC. Ces certificats peuvent être attribués à une application ou à une unité spécifique au sein de l'application.

    Pour plus d'informations, voir : Comment utiliser CmpX509Cert pour la génération de certificats

  7. Configurez la connexion à l'automate et protégez-le :

    Assurez-vous que Communication cryptée paramètre de sécurité est activé dans l'éditeur de périphériques. Scannez le réseau à la recherche de l'automate.

    Après avoir sélectionné l'automate, vous serez invité à créer et à installer un certificat pour une communication cryptée qui est valide pendant au moins une période limitée.

    Lorsque vous y êtes invité, activez la gestion des utilisateurs de l'appareil. À l'invite suivante, configurez l'utilisateur de l'appareil. Connectez-vous à l'automate à l'aide des informations d'identification attribuées à cet effet.

    Pour plus d'informations, voir : Procédure : Chiffrer les communications avec un certificat et modifier la politique de sécurité

  8. Vous pouvez maintenant exécuter l'application sur l'automate.

    Déterminez si vous souhaitez installer une installation à long terme certificat pour les communications cryptées en ce moment. Vérifiez la politique de sécurité du système d'exécution et ajustez-la si nécessaire.

    Pour plus d'informations, voir : Procédure : Chiffrer les communications avec un certificat et modifier la politique de sécurité

  9. L'application est en cours d'exécution sur le contrôleur. Pour améliorer la sécurité, vous pouvez procéder comme suit : Journal d'audit, Exclure les actions critiques spécifiques des utilisateurs via l'application, Utiliser les modes de fonctionnement du PLC, Configuration de la connexion interactive.

  10. Utilisez-vous un serveur OPC UA et des jeux de symboles pour l'échange avec l'automate ?

    Chiffrez la communication entre le serveur OPC UA et le client à l'aide d'un certificat qui peut être configuré à l'aide de l'écran de sécurité lors de l'établissement de la connexion. Configurez le CODESYS gestion des utilisateurs et des droits, également pour les actions sur le serveur OPC UA. Restreignez l'accès aux symboles pour des groupes d'utilisateurs d'appareils spécifiques.

    Pour plus d'informations, voir : Procédure : Utiliser le serveur OPC UA en toute sécurité, Procédure : Configurer les jeux de symboles

  11. Utilisez-vous un WebVisu ou un TargetVisu ?

    Pour les visualisations, vous devez utiliser la « gestion des utilisateurs basée sur l'exécution », qui est liée à la gestion des utilisateurs sur le contrôleur. Pour un WebVisu, la communication avec le serveur Web doit être cryptée par certificat. Vous devez également toujours signer les contrôles HTML5 utilisés, car ils peuvent également être installés et constituent donc une cible pour les pirates informatiques

    Vous devez également crypter la communication avec l'automate approprié pour un TargetVisu distant.

    Pour plus d'informations, voir : Comment signer les contrôles HTML5, Comment protéger les communications avec WebVisu, et Procédure : Protéger la communication avec la cible distante TargetVisu

  12. Utilisez-vous le Automation Server?

    Vous avez déjà attribué un mot de passe de serveur au moment de l'achat. Utilisez l'authentification multifactorielle (MFA) lors de la connexion. Configurez la gestion des utilisateurs sur le CAS et attribuez des autorisations d'accès spécifiques pour les actions sur le serveur et sur les objets du serveur. Configurez la connexion cryptée par certificat entre le serveur d'automatisation et la passerelle Edge. Une « configuration rapide » vous facilite la tâche. Utilisez la fonction « Audit Trail » pour rendre les actions et les accès traçables.

    Pour plus d'informations, voir : Comment faire : Sécurité pour CODESYS Automation Server

  13. Utiliser CODESYS Git

    Si possible, utilisez des mots de passe SecureString lorsque vous utilisez l'interface de script.

    Pour plus d'informations, voir : Connecter un projet au contrôle de version

  14. Pensez à mettre en place des solutions de sauvegarde en temps voulu. La récupération éventuelle des données perdues fait également partie des mesures de sécurité.

    Pour plus d'informations, voir : Procédure : Sauvegarde et restauration

Dans cette section​: