Bien que la sécurité fasse petit à petit son entrée dans les SI industriels, le test d’intrusion en est bien souvent exclu. Et pourtant, il y a de quoi faire…Des équipements peu sécurisés, interconnectés sans précautions particulières, administrés par des personnes n’ayant pas forcément des compétences en sécurité : voici un cocktail détonnant pour le résultat d’un pentest. Cependant, la méthodologie et la boîte à outils de l’auditeur doivent s’adapter pour être efficaces.
1. Les Automates Programmables Industriels (API), une cible de choix ?
Les automates industriels programmables peuvent être assimilés à des ordinateurs qui ont été conçus pour fonctionner dans des environnements ayant de fortes contraintes physiques (poussière, température, humidité, vibrations, électromagnétisme, corrosion, etc.) et qui permettent de commander des équipements physiques à partir de données analogiques ou numériques issues de capteurs, d’un PC ou d’un serveur ayant un logiciel de contrôle commande et permettant d’envoyer des consignes numériques.
En fonction des mesures ou consignes reçues des systèmes de contrôle commande, ils vont envoyer un signal électrique à un pré-actionneur ou actionneur, par exemple une électro-vanne qui s'ouvrira ou se fermera selon la tension électrique reçue. Ce signal engendrera une action mécanique ayant une influence physique sur le procédé de production comme augmenter la...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première