Tests d’intrusion sur automates : méthodes, outils et retours d’expérience

Magazine
Marque
MISC
Numéro
74
Mois de parution
juillet 2014
Domaines


Résumé

Bien que la sécurité fasse petit à petit son entrée dans les SI industriels, le test d’intrusion en est bien souvent exclu. Et pourtant, il y a de quoi faire…Des équipements peu sécurisés, interconnectés sans précautions particulières, administrés par des personnes n’ayant pas forcément des compétences en sécurité : voici un cocktail détonnant pour le résultat d’un pentest. Cependant, la méthodologie et la boîte à outils de l’auditeur doivent s’adapter pour être efficaces.


1. Les Automates Programmables Industriels (API), une cible de choix ?

Les automates industriels programmables peuvent être assimilés à des ordinateurs qui ont été conçus pour fonctionner dans des environnements ayant de fortes contraintes physiques (poussière, température, humidité, vibrations, électromagnétisme, corrosion, etc.) et qui permettent de commander des équipements physiques à partir de données analogiques ou numériques issues de capteurs, d’un PC ou d’un serveur ayant un logiciel de contrôle commande et permettant d’envoyer des consignes numériques.

siemens1
schneider1

 

 

En fonction des mesures ou consignes reçues des systèmes de contrôle commande, ils vont envoyer un signal électrique à un pré-actionneur ou actionneur, par exemple une électro-vanne qui s'ouvrira ou se fermera selon la tension électrique reçue. Ce signal engendrera une action mécanique ayant une influence physique sur le procédé de production comme augmenter la...

Cet article est réservé aux abonnés. Il vous reste 95% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Introduction au dossier : Réalisez votre premier pentest pour sécuriser votre système

Magazine
Marque
Linux Pratique
HS n°
Numéro
50
Mois de parution
février 2021
Domaines
Résumé

Dans cette série d’articles, je vais vous faire une introduction au pentesting. Non, je ne ferai pas de vous des pirates informatiques. Nous resterons dans la légalité, et vous découvrirez ce qu’est un Ethical Hacker, quelqu’un qui teste le système informatique d’un client, avec son approbation et son consentement, pour l’aider à renforcer sa sécurité informatique.

Mise en pratique du pentesting

Magazine
Marque
Linux Pratique
HS n°
Numéro
50
Mois de parution
février 2021
Domaines
Résumé

La lecture des articles précédents vous a donné envie de vous essayer au pentesting, envie que vous aviez même peut-être déjà. Nous allons désormais passer à la pratique, en mettant en application les concepts théoriques abordés dans le premier article.

Introduction au pentesting

Magazine
Marque
Linux Pratique
HS n°
Numéro
50
Mois de parution
février 2021
Domaines
Résumé

Il n’y a plus une semaine sans qu’une grande entreprise ne révèle publiquement qu’elle a été victime d’un piratage informatique. Entreprises privées, institutions publiques, et même sociétés de services spécialisées dans la cybersécurité, aucun secteur n’est épargné. Des technologies en évolution et en augmentation perpétuelles, et la prolifération incessante d’équipements connectés (IoT) ne vont pas inverser la tendance, mais bien au contraire élargir la surface d’attaque et donc augmenter les piratages.

Attaques en environnement Docker : compromission et évasion

Magazine
Marque
MISC
Numéro
113
Mois de parution
janvier 2021
Domaines
Résumé

Ces dernières années, on a pu observer une évolution croissante des environnements conteneurisés et notamment de l’usage de Docker. Les arguments mis en avant lors de son utilisation sont multiples : scalabilité, flexibilité, adaptabilité, gestion des ressources... En tant que consultants sécurité, nous sommes donc de plus en plus confrontés à cet outil. Au travers de cet article, nous souhaitons partager notre expérience et démystifier ce que nous entendons bien trop régulièrement chez les DevOps, à savoir que Docker est sécurisé par défaut.