Les principaux services de sécurité founis par le produit sont :

• le chiffrement des paquets ethernet au niveau de la couche l;
• l’identification et l’authentification des utilisatews ;
• la joumalisation des logs ;
• la redondance.

Vue d’ensemble

• Système modulaire et universel avec indice de protection IP20
• La solution système pour une multitude d’applications d’automatisation dans l’automatisation discrète.
• Performances maximales combinées à une excellente opérabilité
• Configurable exclusivement dans le portail Totally Integrated Automation avec STEP 7 Professional à partir de V14

Performances

Augmentation des performances grâce à

• une exécution plus rapide des instructions,
• des extensions linguistiques,
• de nouveaux types de données,
• un bus interne plus rapide,
• une génération de codes optimisée.
• Communication performante : – PROFINET IO (commutateur 2 ports) en tant qu’interface standard ; à partir de la CPU 1515-2 PN, une ou plusieurs interfaces PROFINET supplémentaires intégrées, par exemple pour la séparation de réseaux – Extensible par des modules de communication pour systèmes de bus et liaison point-à-point

Caractéristiques de sécurité

La Certification de Sécurité de Premier Niveau (CSPN) prononcée par l’ANSSI le 9 octobre 2017 (certificat ANSSI-CSPN-2017-26) atteste du niveau de sécurité offert à ce jour par l’ensemble de la gamme d’automates Simatic S7-1500 de Siemens (standard et failsafe).

Technologie intégrée

Fonctions Motion Control intégrées sans modules additionnels :

• Modules standardisés (PLCopen) pour la connexion d’entraînements analogiques et compatibles PROFIdrive
• La fonctionnalité Motion Control est compatible avec des axes de vitesse et de positionnement ainsi qu’avec des codeurs externes
• Synchronisme précis entre axes par réducteur électronique
• Nombreuses fonctions de traçage pour toutes les variables CPU pour un diagnostic en temps réel et pour la localisation de pannes sporadique ; pour la mise en service efficace et l’optimisation rapide d’entraînements et de régulations
• Vaste éventail de fonctionnalités de régulation : p. ex. modules facilement configurables pour l’optimisation automatique des paramètres de régulation, pour une qualité de régulation optimale
• Fonctions supplémentaires grâce à des modules technologiques : p. ex. comptage rapide, saisie de position ou fonctions de mesure pour signaux jusqu’à 1 MHz.

Domaine d’application

Le SIMATIC S7-1500 est le système de commande modulaire pour une multitude d’applications dans le secteur de l’automatisation discrète.

La conception modulaire et sans ventilateur, la simplicité de réalisation de structures décentralisées et le maniement convivial font du SIMATIC S7-1500 la solution économique et confortable pour les tâches les plus diverses.

Safety Integrated

Protection des personnes et des machines – dans le cadre d’un système global cohérent

• Les automates de sécurité SIMATIC S7-1500F permettent l’exécution du programme standard et de sécurité sur le même appareil.
• Les programmes utilisateur standard et de sécurité sont élaborés dans TIA-Portal avec le même éditeur, ce qui permet d’évaluer par exemple les données de sécurité comme les données standard dans le programme utilisateur standard. Grâce à cette intégration, les avantages du système et les fonctionnalités étendues de SIMATIC sont donc également disponibles pour des applications de sécurité.

Security Integrated (sécurité intégrée)

• Protection du savoir-faire par mot de passe contre la lecture et la modification de blocs de programme par des personnes non autorisées
• Protection contre la copie (Copy Protection) pour une protection plus élevée contre la duplication non autorisée de blocs de programme : la protection contre la copie permet de lier certains blocs sur la SIMATIC Memory Card à son numéro de série, de sorte que le bloc n’est exécutable que si la carte mémoire configurée est enfichée dans la CPU.
• Concept de droits avec quatre niveaux d’autorisation : différents droits d’accès peuvent être affectés à différents groupes d’utilisateurs. Le nouveau niveau de protection 4 permet de restreindre aussi la communication vers des appareils IHM.
• Meilleure protection contre la manipulation : des transmissions modifiées ou non autorisées des données d’ingénierie sont détectées par l’automate.
• En cas d’utilisation d’un CP Ethernet (CP 1543-1) : – protection d’accès supplémentaire par un pare-feu – établissement de liaisons VPN sécurisées (à partir de V14)

Domaines d’emploi du SIMATIC S7-1500

• Machines spéciales
• Machines textiles
• Machines d’emballage
• Construction mécanique générale
• Construction de commandes
• Machines-outils
• Technique d’installation
• Industrie électronique
• Industrie automobile
• Approvisionnement en eau/eaux résiduelles
• Agroalimentaire et boissons

Plusieurs CPU de puissance échelonnée et une large palette de modules offrant de nombreuses fonctions conviviales sont disponibles. Des CPU de sécurité permettent une utilisation dans des applications de sécurité. La structure modulaire permet à l’utilisateur de n’utiliser que des modules qui sont nécessaires à son application. Selon les tâches à accomplir, l’automate peut à tout moment faire l’objet d’extensions par l’ajout de modules supplémentaires.

Une aptitude industrielle élevée grâce à une compatibilité CEM élevée et une bonne tenue aux chocs et aux vibrations font du SIMATIC S7-1500 un appareil universel.

Plus d’informations sur le Simatic S7-1500

Contacts :

Jean-Christophe Mathieu
Products and Solutions Security Officer
+33 6 6402-6252
jean-christophe.mathieu[at]siemens.com

Isabelle Stoltz
Chef de produit S7-1500
+33 6 6402-3938
isabelle.stoltz[at]siemens.com

Le produit certifié est la carte à puce « ID-One ePass Full EAC v2 MRTD en configuration EAC et PACE avec AA masqué sur le composant P60x144PVA/PVE  », pouvant être en mode contact ou sans contact. Le produit est développé par OBERTHUR TECHNOLOGIES sur un composant NXP SEMICONDUCTORS.

Le produit implémente les fonctions de document de voyage électronique conformément aux spécifications de l’organisation de l’aviation civile internationale (ICAO) et européenne. Ce produit permet la vérification de l’authenticité du document de voyage et l’identification de son porteur lors du contrôle frontalier, à l’aide d’un système d’inspection.

La cible d’évaluation est composée de l’application ID-One ePass Full EAC v2 MRTD, en configuration PACE (Password Authenticated Connection Establishment) avec AA (Active Authentication), CA (Chip Authentication) et PACE CAM (Password Authenticated Connection Establishment with Authentication Mapping), qui réalise les fonctions du document électronique de voyage.

Ce microcontrôleur et son logiciel embarqué ont notamment vocation à être insérés dans la couverture des passeports traditionnels. Ils peuvent être intégrés sous forme de module ou d’inlay. Le produit final peut être un passeport, une carte plastique, etc.

Le produit certifié est la carte à puce « ID-One ePass Full EAC v2 MRTD en configuration EAC et PACE avec AA masqué sur le composant P60x080PVC/PVG », pouvant être en mode contact ou sans contact. Le produit est développé par OBERTHUR TECHNOLOGIES sur un composant NXP SEMICONDUCTORS.

Le produit implémente les fonctions de document de voyage électronique conformément aux  spécifications de l’organisation de l’aviation civile internationale (ICAO) et européenne. Ce produit permet la vérification de l’authenticité du document de voyage et l’identification de son porteur lors du contrôle frontalier, à l’aide d’un système d’inspection.

La cible d’évaluation est composée de l’application ID-One ePass Full EAC v2 MRTD, en configuration EAC (Extended Access Control) sur PACE (Password Authentificated Connection Establishment) avec AA (Active Authentication) et PACE CAM (Password Authenticated Connection Establishment with Authentication Mapping), qui réalise les fonctions du document électronique de voyage.

Ce microcontrôleur et son logiciel embarqué ont notamment vocation à être insérés dans la  couverture des passeports traditionnels. Ils peuvent être intégrés sous forme de module ou d’inlay. Le produit final peut être un passeport, une carte plastique, etc.

Le produit certifié est la carte à puce fermée « IDeal PASS, version 2.0.1 – Application EAC with PACE ». Le produit est développé par la société SAFRAN IDENTITY & SECURITY et embarqué sur le microcontrôleur M7892 B11 d’INFINEON TECHNOLOGIES.

Le produit évalué est de type « carte à puce » avec et sans contact. Il implémente les fonctions de document de voyage électronique conformément aux spécifications de l’organisation de l’aviation civile internationale (OACI1). Ce produit est destiné à permettre la vérification de l’authenticité du document de voyage et à identifier son porteur lors d’un contrôle frontalier, à l’aide d’un système d’inspection.

Ce microcontrôleur et son logiciel embarqué ont vocation à être insérés dans la couverture des passeports traditionnels. Ils peuvent être intégrés sous forme de module ou d’inlay. Le produit final peut être un passeport, une carte plastique, etc.

Le produit certifié est « eTravel Essential 1.1, PACE, EAC and AA activated » développé par GEMALTO sur un microcontrôleur de SAMSUNG.

Le produit certifié est de type « carte à puce » avec et sans contact. Il implémente les fonctions de document de voyage électronique conformément aux spécifications de l’organisation de l’aviation civile internationale (OACI1). Ce produit est destiné à permettre la vérification de l’authenticité du document de voyage et à identifier son porteur lors d’un contrôle frontalier, à l’aide d’un système d’inspection.

Ce microcontrôleur et son logiciel embarqué ont vocation à être insérés dans la couverture des passeports traditionnels. Ils peuvent être livrés sous forme de module, d’inlay, de couverture de passeport ou de passeport. Le produit final peut également être au format carte plastique.

La solution TixeoServer est un système de vidéo conférence à installer en interne chez le client. Il propose en plus de la communication voix, vidéo en multipoints, des fonctions de partage d’écran. Le système est conçu pour offrir un fort niveau de confidentialité des communications.

Il se compose de 3 éléments :

• Le serveur TMMS (Tixeo Meeting Management Server) : Gestion des utilisateurs, des réunions et de l’authentification
• Le serveur TCS (Tixeo Communication Server) : Gestion des communications temps réels, flux audio, vidéo et data pendant les réunions
• Le client TCC (Tixeo Communication Client) : Logiciel coté utilisateur qui permet d’organiser, rejoindre et participer à des réunions en lignes.

Utilisation du produit

Lorsqu’un utilisateur est invité pour la première fois, il reçoit un email de validation de compte contenant un lien vers le server TMMS.
En cliquant sur ce lien, il valide son identité, confirme son nom et prénom, et choisi un mot de passe personnel.

Il est ensuite invité à installer le client Tixeo TCC. L’installation du client TCC se fait dans le profil local de l’utilisateur. Il n’a donc pas besoin de droit administrateur. Notez qu’il est possible de définir au travers de GPO (Stratégies de groupe) un emplacement d’installation différent.

A partir du TCC, l’utilisateur pourra rejoindre une réunion à laquelle il est invité. S’il en a les droits (définis par l’administrateur sur le serveur TMMS), il pourra également organiser des réunions.

Une fois connecté dans une réunion (hébergée par le serveur TCS), l’utilisateur peut communiquer en voix et vidéo. Si l’organisateur (modérateur) de la réunion l’y autorise, il pourra également partager des documents en faisant un partage d’écran.

Environnement

Le client TCC fonctionne dans les environnements Windows XP SP3, Vista, 7, 8, 8.1, 10 ainsi que sous MAC OSX 10.11.

Afin de pouvoir communiquer en voix et vidéo, le client TCC nécessite une webcam et un microphone.

Les serveurs TMMS et TCS sont installés dans des environnements Windows Server 2008 r2, 2012.

• un lecteur de badges RFID, permettant la récupération des informations d’identification et éventuellement d’authentification ;
• un contrôleur d’accès, commandant les mécanismes d’accès du site en fonction des données reçues des lecteurs ;
• un concentrateur d’accès, servant de passerelle de communication entre les contrôleurs et le serveur de gestion, situé dans le réseau client.

Pour initialiser et configurer le produit, l’utilisateur s’appuie sur une solution logicielle développée par GUNNEBO ELECTRONIC SECURITY appelée SMI Serveur. Cette dernière, déployée dans un environnement physique à protéger, est en charge de générer, stocker et envoyer les données de configuration aux équipements. Elle sert également à gérer les alarmes remontées par les équipements.

Stormshield Data Security offre les fonctions de sécurité suivantes :

• Le chiffrement transparent et en temps réel des fichiers.
• Le chiffrement et la signature des courriers électroniques,
• Le chiffrement à la demande des fichiers, en vue d’un transfert par mail ou d’une sauvegarde sécurisée.
• L’effacement sécurisé et irréversible des données.
• La signature électronique de fichiers et de dossiers.
• Le chiffrement de disques virtuels.

La solution intègre un outil permettant le paramétrage des fonctions de sécurité et l’administration des utilisateurs et de leurs clés cryptographiques.

L’évaluation porte sur la fonction de chiffrement transparent des fichiers : les fichiers sont chiffrés là où ils se trouvent, en temps réel et de façon transparente pour l’utilisateur et ses applications bureautiques ou métier.

La protection est assurée selon des règles définies par dossier : tout fichier créé ou déposé dans un « dossier sécurisé » est automatiquement chiffré sans la moindre interaction utilisateur. L’emplacement, le nom et l’extension du fichier restent inchangés.

Stormshield Data Security permet également le partage de données confidentielles entre plusieurs collaborateurs. La « règle de sécurité » spécifiée sur le dossier définit alors les utilisateurs autorisés à lire et modifier les fichiers stockés dans le dossier.

Stormshield Data Security peut sécuriser :

• Un dossier local à l’ordinateur personnel de l’utilisateur ;
• Un support amovible (une clé USB) en totalité ou partiellement (un ou plusieurs sous-dossiers).
• Un dossier partagé sur un serveur de fichiers.

Une fois chiffré, un fichier ne peut être lu, modifié voire effacé que par l’un des utilisateurs autorisés par la règle de sécurité. Toutes les lectures/écritures et chiffrements/déchiffrements de donnée s’effectuent au « fil de l’eau » et en mémoire : aucune copie en clair du fichier n’est créée.Stormshield Data Security assure également le chiffrement du fichier d’échange du système (le swap) dans lequel peuvent persister des résidus de données confidentielles.

Techniquement, chaque fichier est chiffré à l’aide d’une clé de chiffrement symétrique (AES) qui est propre au fichier. Cette clé est elle-même chiffrée avec la clé publique de chiffrement (RSA) de chaque collaborateur autorisé.

Quand une règle de sécurité est définie sur un dossier, elle est appliquée de façon récursive à tous ses éventuels sous-dossiers. Il est néanmoins possible de définir une règle différente sur un sous-dossier bien déterminé.

Caractéristique de sécurité

Version évaluée

Stormshield Data Security Entreprise 9.1.2

Niveau d’évaluation

Le produit a été certifié selon les critères communs le 23 septembre 2016 (certificat 2016/62) et a reçu une qualification au niveau standard le 3 janvier 2017 (n°18/ANSSI/SDE).

Services de sécurité

Les principaux objectifs de sécurité couverts sont les suivants :

• Le produit doit protéger les fichiers des dossiers sécurisés et ne permettre leur chiffrement et leur déchiffrement qu’aux utilisateurs explicitement autorisés.
• Le produit doit chiffrer le contenu du fichier d’échange du système (swap).
• Dans le cas d’une authentification par mot de passe, le produit doit protéger les clés privées de l’utilisateur.
• Le produit doit également protéger :
  • La politique de sécurité définie par l’administrateur de la sécurité (ensemble des paramètres de fonctionnement, liste des certificats d’autorité de confiance, etc).
  • Les règles de protection définies sur les dossiers confidentiels.
• Le produit doit générer des journaux d’évènements en rapport avec son fonctionnement.
• Il doit implémenter des mécanismes cryptographiques et gérer les clés cryptographiques conformément aux exigences de l’ANSSI.

Génération et distribution des clés

Le produit assure la génération

• Des clés de chiffrement des fichiers.
• Des clés de protection des différents objets qu’il gère : politique de sécurité, comptes utilisateur, règles de sécurité.

Les clés privées des utilisateurs sont quant à elles fournies par une IGC externe (hors périmètre de l’évaluation). Ces clés peuvent être délivrées :

• Soit dans une carte à puce
• Soit dans un compte prêt à l’emploi généré par l’outil d’administration Stormshield Data Authority Manager.

Conditions d’emploi

Afin de garantir un niveau de sécurité approprié; les conditions d’emploi suivantes doivent être respectées :

• Le poste de l’utilisateur doit être sain. Notamment, les logiciels installés doivent être régulièrement mis à jour et le système doit être protégé contre les virus et autres logiciels espions.
• L’administrateur système en charge de l’installation et l’administrateur de la sécurité en charge de la définition de la politique de sécurité sont considérés de confiance.
• Les bi-clés et les certificats utilisés sont générés par une autorité de certification de confiance.

Caractéristiques techniques

Environnement d’utilisation

• Systèmes Windows Seven et 8.1 tous services packs
• Systèmes de fichier opérant sous Windows : FAT, FAT32, NTFS, Netware, CIFS, DFS

Standards implémentés

• Algorithmes cryptographiques : AES, RSA, SHA-256
• Mécanismes et Formats : X.509, PKCS#1, PKCS#5, PKCS#7, PKCS#11, PKCS#12.

Informations technico-commerciales

Pour tout renseignement complémentaire, veuillez contacter :

Eric HOHBAUER
VP Sales
Stormshield – 22, rue du Gouverneur Général Eboué
FR 92130 Issy Les Moulineaux
eric.hohbauer[at]stormshield.eu
+33 (0) 6 16 40 31 90

Afin d’offrir aux entreprises de toute taille une protection optimale et proactive de leurs infrastructures industrielles et informatiques contre les menaces les plus évoluées, STORMSHIELD développe et commercialise une solution de sécurité unifiée (Industrial Firewall, Next-Generation Firewall et UTM). Elle est disponible en format appliance ou virtuel, associe toutes les fonctions de pare-feu réseau et industriel, de VPN IPSEC ou SSL et de filtrage de contenu (anti-virus, anti-spam, filtrage URL) à une technologie unique de prévention d’intrusion en temps réel : le moteur ASQ.
Les produits SNS peuvent être administrés par une console locale d’administration en mode WEB, ou par un serveur d’administration centralisée «Stormshield Management Center».

Caractéristiques de sécurité

Le modèle SNi40, équipé de son firmware version 2.3.4, a été qualifié au niveau élémentaire le 25/10/2016 (4427/ANSSI/SDE) après avoir obtenu la Certification de Sécurité de Premier Niveau le 27/07/2016 (ANSSI-CSPN-2016/11).
Ce pare-feu industriel permet de protéger l’interconnexion entre un réseau industriel à protéger et un autre réseau de moindre confiance.
La principale particularité d’un pare-feu industriel, vis-à-vis d’un pare-feu classique est qu’il doit fonctionner dans des conditions ambiantes hostiles. En particulier, il peut fonctionner en présence d’humidité ou de poussière, ou à des températures inhabituelles.

Caractéristiques techniques

Fonctionnalités

Interopérabilité avec d’autres systèmes

• Conformité aux normes : VLANs (802.1q), IPSEC, PPTP, PPPoE, ISAKMP, IKE, X509, LDAP, SNMP…
• Conformité aux protocoles industriels MODBUS, S7 , UMAS et OPC UA.
• Compatibilité des logs avec WebTrends, Splunk, Alien VAULT, etc.
• Envoi des logs au format Syslog.
• Interopérable avec annuaire LDAP externe, RADIUS externe et compatible avec les bases d’authentification LDAP, Active Directory et Novell.

Contacts
Eric HOHBAUER
Vice President Sales
eric.hohbauer[at]stormshield.eu
+33 1 57 63 67 14