Sécurisation des actifs d’alimentation et de refroidissement connectés
Vos sites de télécommunications et centres de données sont soumis à une pression croissante pour fournir des opérations commerciales rapides, évolutives, sécurisées et plus efficaces. Ils doivent accueillir un nombre toujours croissant d’éléments réseau, un volume croissant de données et de calculs, des exigences technologiques et de sécurité en constante évolution, tout en maintenant des niveaux de service fiables.
Nous oublions parfois que les actifs critiques d’alimentation et de refroidissement déployés dans ces bâtiments sont la colonne vertébrale de vos opérations commerciales. La prolifération des éléments réseau et des équipements informatiques exerce une pression sur la densité de puissance et de refroidissement, ce qui peut entraîner des problèmes inattendus tels que la surchauffe, les surcharges, le manque de capacité ou même la perte de redondance. La capacité à mesurer, surveiller et contrôler les actifs d’alimentation et de refroidissement, combinée à un logiciel de gestion de capacité, est la meilleure manière de garantir une utilisation optimisée de ces actifs, de prévoir les besoins en énergie et en refroidissement, tout en réduisant votre coût total de possession (TCO).
Une caractéristique commune à tous les actifs d’alimentation et de refroidissement actuels est leur capacité à être connectés au réseau informatique de l’entreprise, ce qui signifie qu’ils peuvent être consultés à distance. Cependant, ce qu’ils n’ont pas tous en commun, c’est leur niveau de conformité aux politiques de sécurité réseau actuelles, en constante évolution. Comme de plus en plus d’utilisateurs ont besoin d’accéder aux données des actifs d’alimentation et de refroidissement, il doit exister un moyen d’identifier et de restreindre les personnes autorisées à accéder au réseau ainsi que les droits d’accès attribués à chaque type d’actif.
Actifs critiques d’alimentation et de refroidissement connectés
Les actifs d’alimentation et de refroidissement se composent de plusieurs éléments, chacun doté d’un contrôleur intelligent, jouant tous un rôle essentiel dans la surveillance et le contrôle des conditions de fonctionnement électrique et environnemental. Par conséquent, sécuriser les actifs critiques d’alimentation et de refroidissement connectés est d’une importance capitale pour la continuité et l’efficacité de vos activités.
Le National Institute of Standards and Technology (NIST) définit la criticité en termes d’impact de la « défaillance d’une fonction ou d’un composant sur la capacité du composant [ou du système] à mener à bien les missions organisationnelles soutenues par le système d’information »[1]
Dispositifs d’alimentation d'énergie connectés typiques
Onduleur (UPS – Uninterruptible Power Supply)
Contrôleur de système d’alimentation CC
Système de surveillance des batteries
Chargeur de batterie intelligent
Onduleurs ou convertisseurs intelligents
Barrettes de distribution électrique intelligentes
Dispositifs de surveillance de circuits dérivés
Contrôleur de générateur
Gestion du système de carburant
Commutateur de transfert automatique
Dispositifs de protection contre les surtensions
Automate programmable (PLC – Programmable Logic Controller)
Compteurs d’énergie ou de puissance
Dispositifs de refroidissement connectés typiques
Systèmes CVC de toit (RTU – Rooftop HVAC Systems)
Pompes à chaleur et pompes à glycol
Systèmes d’automatisation des bâtiments (BAS – Building Automation Systems)
Automates programmables (PLC – Programmable Logic Controllers)
Climatiseur de salle informatique (CRAC – Computer Room Air Conditioner)
Unité de traitement d’air pour salle informatique (CRAH – Computer Room Air Handling)
Unités de traitement d’air (AHU – Air Handling Units)
Unité de télémesure à distance (RTU – Remote Telemetry Unit)
Centrale de production d’eau glacée
Échangeur de chaleur
Thermostat intelligent
Unité terminale d’air
Combien de ces actifs connectés sont conçus pour la sécurité réseau ?
Les dispositifs d’alimentation et de refroidissement connectés ne sont généralement pas conçus avec la sécurité réseau à l’esprit. Si vous exploitez un réseau ferroviaire, un centre de données, un réseau de télécommunications ou si vous êtes dans le secteur de l’énergie électrique, vous avez sans aucun doute des actifs d’alimentation et de refroidissement anciens connectés à votre réseau. Ces dispositifs hérités ont simplement été conçus pour fonctionner et fournissent probablement une connexion TCP/IP à des fins d’accès à distance ; certains peuvent utiliser un protocole standard ouvert comme SNMP pour envoyer des alarmes à votre plateforme de gestion des pannes au centre d’exploitation réseau (NOC). Les dispositifs d’alimentation et de refroidissement plus récents offrent un serveur web intégré, mais avec peu ou pas de protocoles de sécurité réseau ni de mécanismes d’authentification, sauf lorsqu’un identifiant est requis — le plus souvent configuré par défaut avec « ADMIN » et « ADMIN ». Le département informatique assure la sécurité du réseau et la gouvernance des applications, des services et de l’infrastructure réseau informatique.
Jusqu’à récemment, les entreprises étaient raisonnablement protégées en fonction de leur niveau d’exposition, mais cela change très rapidement. Pour beaucoup d’entre vous, le département informatique a commencé à déconnecter les dispositifs d’alimentation et de refroidissement connectés qui ne sont pas conformes aux politiques de sécurité réseau minimales de l’entreprise. Vous êtes donc contraints de remédier à la situation, ce qui peut impliquer les options suivantes :
1.Déploiement d’un commutateur IP géré avec DHCP
Le commutateur va segmenter vos dispositifs d’alimentation et de refroidissement connectés du reste du réseau. Cependant, le déploiement de l’infrastructure informatique ne relève pas de votre mandat, mais de la responsabilité du département informatique, qui n’approuvera pas cette stratégie puisqu’elle n’est qu’une extension du réseau existant.
2. Déconnexion des dispositifs connectés du réseau
Ce n’est clairement pas la solution recherchée, car elle prive vos équipes des données critiques issues des actifs d’alimentation et de refroidissement. Perdre la visibilité à distance de ces actifs critiques est contre-productif pour devenir plus efficace et performant dans votre travail.
3. Remplacement des dispositifs connectés non sécurisés par des dispositifs conformes
En réalité, ce n’est pas aussi simple qu’il n’y paraît. Les actifs d’alimentation et de refroidissement sont des écosystèmes dont tous les sous-composants sont surveillés et contrôlés par le dispositif connecté, qui n’est, dans la plupart des cas, pas agnostique vis-à-vis du fabricant. Autrement dit, le dispositif connecté ne fonctionnera qu’avec ses propres sous-composants de la même marque et du même modèle. Ainsi, le remplacement d’un dispositif connecté non sécurisé devient un projet majeur de remplacement d’actif d’alimentation ou de refroidissement. Par conséquent, si l’actif est obsolète mais encore fonctionnel et efficace, il ne serait peut-être pas judicieux de le remplacer. En revanche, si l’actif est en fin de vie et budgété pour un remplacement, et que le nouvel actif est plus économe en énergie, la justification (retour sur investissement) est généralement suffisante pour procéder.
4. Téléversement d’un nouveau micrologiciel sur les dispositifs non sécurisés
Pour que cela fonctionne, une mise à jour du micrologiciel doit exister et être disponible. Le micrologiciel devra être qualifié pour être conforme aux politiques de sécurité réseau de l’entreprise. Les mises à jour du micrologiciel ne sont pas triviales : elles comportent un risque d’échec pouvant entraîner des interruptions de service. Certaines procédures nécessitent la présence de personnel qualifié sur place, ce qui peut être coûteux. Enfin, les mises à jour elles-mêmes peuvent être onéreuses, allant de 0 $ à 2500 $ par dispositif.
5. Installation de la passerelle sécurisée tout-en-un de Multitel pour les actifs d’alimentation et de refroidissement
Récemment, Multitel a lancé l’iO Gateway avec protocole LDAP (Lightweight Directory Access Protocol) intégré. Ce protocole LDAP permet d’authentifier les utilisateurs souhaitant se connecter aux dispositifs d’alimentation et de refroidissement, en leur attribuant un niveau d’accès basé sur leurs identifiants. L’iO Gateway vous permet ainsi de configurer et de maintenir un accès à distance sécurisé sur un réseau local (LAN) sans avoir à souscrire à un abonnement VPN.
Les dispositifs d’alimentation et de refroidissement connectés sont reliés à un commutateur LAN non géré et reçoivent une adresse IP du sous-réseau LAN. Les utilisateurs authentifiés bénéficient de la même expérience que s’ils étaient directement connectés aux serveurs web des dispositifs, grâce à la fonctionnalité exclusive de transparence (passthrough) de Multitel. Les dispositifs non sécurisés sont alors gérables via des protocoles SNMP v3 sécurisés. En résumé, les fonctionnalités de sécurité réseau suivantes sont rendues possibles uniquement avec la passerelle iO :
Ajout d’une couche SSL à l’interface HTTP des dispositifs connectés (HTTPS passthrough) ;
Authentification centralisée des utilisateurs via l’Active Directory réseau (LDAP) ;
Conversion des dispositifs SNMP v1/v2c en SNMP v3 sécurisé ;
Élimination du besoin de gestion des adresses IP réseau pour tous vos actifs d’alimentation et de refroidissement.
De plus, l’iO Gateway peut accélérer votre transformation axée sur les données grâce à la conversion de protocole pour les dispositifs Modbus d’alimentation et de refroidissement. Cela signifie que vous pouvez convertir Modbus RTU ou Modbus TCP en SNMP v3 sécurisé. Cela ouvre la voie à l’extraction de données provenant de dispositifs Modbus que vous n’auriez jamais cru possible, de manière unifiée, structurée et sécurisée.
L’iO Gateway de Multitel permet non seulement de sécuriser les actifs connectés actuels et hérités en alimentation et refroidissement, mais aussi d’éliminer le besoin de nouvelles adresses IP réseau, qui deviennent une ressource de plus en plus rare. L’iO Gateway est la solution idéale pour répondre aux exigences croissantes en matière de sécurité réseau tout en maintenant la visibilité et l’accès à distance aux données critiques de vos actifs d’alimentation et de refroidissement.
En résumé, la connexion réseau n’est pas triviale — elle doit être protégée à tout prix car elle permet l’accès et la visibilité à distance à une mine d’informations et d’opportunités qui soutiennent :
L’efficacité opérationnelle ;
La prévention des interruptions de service ;
La réduction de la consommation d’énergie ;
L’extension de la durée de vie des actifs ;
La réduction des émissions de gaz à effet de serre et de l’impact environnemental.
