Sécurité

EYE+ est doté de fonctionnalités de sécurité intégrées : une connexion sécurisée à l’aide d’un certificat SSL/TLS et un contrôle d’accès utilisateur pour restreindre l’accès à EYE+ Studio aux seuls utilisateurs authentifiés.

La page relative à la sécurité se compose de deux chapitres distincts :

../../_images/configuration_security.png

Fig. 225 SÉCURITÉ - Page principale

Connexion sécurisée

EYE+ vous permet d’établir une connexion cryptée entre EYE+ Studio et l’EYE+ Controller. Ainsi, toutes les données échangées ne peuvent être décryptées par personne d’autre, ce qui garantit que vos données restent à l’abri de tout acteur malveillant essayant de pirater la connexion.

Avertissement

Nous vous recommandons de créer une Sauvegarde du système avant d’activer cette fonctionnalité. Cette précaution permet de s’assurer vous pourrez facilement restaurer votre système en cas de problème inattendu. Dans le cas improbable où une réinitialisation d’usine serait nécessaire pour rétablir l’accès, votre sauvegarde vous aidera à restaurer rapidement votre système.

Pour établir une telle connexion, EYE+ a besoin d’un certificat SSL/TLS que vous devez générer en même temps que la clé privée utilisée pour le générer. La clé privée sera stockée en toute sécurité dans EYE+, tandis que le certificat sera utilisé pour fournir à EYE+ Studio une clé publique correspondante, leur permettant à tous deux de générer des messages cryptés qu’ils seront seules à pouvoir décrypter.

Pour plus d’informations sur les certificats SSL/TLS, veuillez vous référer au chapitre Certificat SSL/TLS de la base de connaissances.

Vous pouvez importer un fichier de certificat au format .pem. Le fichier doit contenir à la fois le certificat et la clé privée. Si vous avez ces deux éléments dans des fichiers séparés, vous pouvez facilement les fusionner en un seul .pem, à condition de conserver les en-têtes de chaque section (les « -----BEGIN XXXXX----- » et « -----END XXXXX----- »).

../../_images/configuration_security_no_certificate.png

Fig. 226 CONNEXION SÉCURISÉE - Importation du certificat

Une fois le certificat importé, certaines informations s’affichent, telles que l’émetteur, la date d’expiration, l’empreinte digitale, etc. Le certificat peut être modifié à tout moment.

../../_images/configuration_security_with_certificate.png

Fig. 227 CONNEXION SÉCURISÉE - Importation du certificat

Important

Une fois que vous avez téléchargé le certificat et que vous l’avez sauvegardé avec le bouton dédié, EYE+ Studio sera redirigé vers une route sécurisée sur le port 443. Assurez-vous qu’il n’est pas bloqué par votre pare-feu ou il ne sera pas possible d’accéder à EYE+ Studio.

Si vous êtes sûr que le port n’est pas bloqué et que vous ne pouvez malgré tout pas accéder à EYE+ Studio, essayez d’actualiser la page et/ou d’éteindre et de rallumer l’EYE+ Controller. À ce stade, le redémarrage d’EYE+ supprimera le certificat afin que vous puissiez en télécharger un nouveau.

Remarque

Si vous essayez de vous connecter à EYE+ Studio mais que le certificat a expiré, votre navigateur affichera un message d’avertissement et vous devrez soit accepter d’utiliser une connexion non sécurisée afin de mettre à jour le certificat, soit effectuer une réinitialisation d’usine à l’aide du bouton dédié sur l’EYE+ Controller.

Important

Lorsque la connexion sécurisée est activée, l’exécution d’une sauvegarde du système permet également de sauvegarder de manière non cryptée le certificat SSL/TLS dans le fichier de sauvegarde.

Contrôle d’accès utilisateur

Le contrôle d’accès utilisateur (User Access Control, UAC) permet d’empêcher les utilisateurs non autorisés d’accéder à EYE+ Studio, de sorte que seules les personnes autorisées puissent apporter des modifications à votre système.

L’UAC définit deux utilisateurs : ADMIN et ANONYMOUS. Le premier a accès à toutes les fonctionnalités d’EYE+ Studio tandis que le second n’a accès à aucune fonctionnalité ou peut être autorisé uniquement à suivre la production sur le tableau de bord.

Pour activer l’UAC, vous devez définir un mot de passe pour l’utilisateur ADMIN et autoriser ou non les utilisateurs ANONYMOUS à voir le tableau de bord lorsqu’ils sont en production.

../../_images/enable_uac.png

Fig. 228 Paramètres du contrôle d’accès utilisateurs

Important

Comme pour la fonctionnalité de connexion sécurisée, nous vous recommandons d’effectuer une sauvegarde de votre système avant d’activer l’UAC. Si vous oubliez votre mot de passe, vos données seront irrécupérables et vous devrez procéder à une réinitialisation d’usine pour rétablir l’accès à votre EYE+.

L’UAC n’a aucun effet sur les protocoles de communication entre EYE+ et l’extérieur, ce qui signifie que toute connexion TCP/IP ou bus de terrain ne sera pas affectée par une quelconque restriction résultant de l’UAC.

Pour renforcer la sécurité, nous vous encourageons à choisir un mot de passe fort. Voici quelques recommandations pour créer un mot de passe fort :

  • Utilisez si possible au moins 12 caractères. Plus le mot de passe est long, plus il est difficile à déchiffrer.

  • Utilisez une combinaison de lettres majuscules et minuscules, de chiffres et de symboles.

  • N’utilisez pas de mots du dictionnaire, d’informations personnelles (anniversaires, adresses), d’expressions courantes ou de suites de touches de clavier.

  • Ne réutilisez jamais vos mots de passe sur différents comptes.

  • Facilitez la mémorisation en utilisant une phrase au hasard et en incorporant des lettres majuscules, des chiffres et des symboles.

Remarque

Nous vous conseillons vivement d’activer la fonction de connexion sécurisée en même temps que l’UAC afin de garantir que votre système est entièrement sécurisé.

Une fois que vous avez choisi un mot de passe et que vous l’avez enregistré, vous serez automatiquement connecté en tant que ADMIN. Une fois connecté, vous le resterez pendant 30 minutes sans aucune action de votre part (p. ex. le fait de visiter une autre page), après quoi vous devrez vous connecter à nouveau. Vous pouvez également choisir de vous déconnecter du système à tout moment en utilisant le bouton prévu à cet effet dans la partie la plus à droite de la barre supérieure.

La connexion à EYE+ Studio se fait par session, ce qui signifie que vous pouvez vous y connecter à partir de plusieurs ordinateurs à la fois avec les mêmes informations d’identification. Toutes les sessions peuvent être déconnectées indépendamment les unes des autres et ont leur propre délai d’inactivité.

Si vous essayez d’accéder à EYE+ Studio avec l’UAC activé mais que vous n’êtes pas connecté, vous serez accueilli par la page de connexion où l’on vous demandera votre mot de passe pour vous authentifier.

../../_images/login_page.png

Fig. 229 Page de connexion

Pour modifier votre mot de passe, vous devez d’abord vous connecter. Naviguez jusqu’à la fenêtre SÉCURITÉ sous CONFIGURATION. La fenêtre Contrôle d’accès utilisateur a été mise à jour pour vous permettre de modifier votre mot de passe. Vous devez d’abord taper votre mot de passe actuel puis insérer deux fois le nouveau avant de pouvoir le sauvegarder. Une fois la vérification effectuée, votre mot de passe sera modifié.

../../_images/change_password_uac.png

Fig. 230 Modification du mot de passe UAC

Important

Lorsque l’option UAC est activée, l’exécution d’une sauvegarde du système permet également de sauvegarder le mot de passe dans le fichier de sauvegarde. Ce dernier est crypté, de sorte qu’il ne peut être lu par personne. Si vous restaurez un fichier de sauvegarde avec l’option UAC activée, il sera également restauré avec le mot de passe défini dans la sauvegarde.