IIA Industrial Independence Alliance

Pilier V · artefact

L'
architecture.

Industrial Independence Architecture est un patron architectural pour l'autosuffisance industrielle. Exploiter independamment. Ne dependre de rien d'externe. S'il existe des consommateurs externes, les servir en toute securite et sur ses propres conditions.

L'usine se gere elle-meme. Si elle partage quoi que ce soit avec l'exterieur, c'est a ses conditions - et rien ne revient pour interferer.

Lire Glossaire

§ Ce que c'est

Ni un produit. Ni un framework. Ni une surcouche de securite. L'architecture applique a l'information, a la connectivite et aux services le meme raisonnement qu'un systeme de controle de procede applique a la matiere et a l'energie : entrees definies, sorties definies, frontieres controlees, rejet de tout ce qui sort de l'enveloppe d'exploitation.

Les praticiens de l'Exploitation Manufacturiere comprennent deja ce raisonnement. Une variable non controlee est un danger. Un flux non defini est une fuite. Une frontiere ouverte est un mode de defaillance.

§ Pourquoi l'independance

La plupart des architectures de surveillance et de securite pour l'Exploitation Manufacturiere presument la connectivite. Elles presument un plan de gestion central, des tableaux de bord cloud, des canaux de support fournisseur, des serveurs de licences, des depots de mises a jour. Chacune de ces presomptions est une dependance, et chaque dependance est un mode de defaillance.

IIA elimine ces dependances par conception. La zone fait tourner ses propres services, stocke ses propres donnees, surveille ses propres frontieres, et decide elle-meme de ce qu'elle partage. Si toutes les connexions vers l'exterieur sont coupees, la zone continue de fonctionner exactement comme avant. Rien ne se degrade. Rien ne s'eteint. Rien ne telephone a la maison pour demander la permission.

L'independance signifie aussi que l'Exploitation Manufacturiere n'est pas un locataire sur l'infrastructure IT. L'equipe d'automatisation possede ses propres services, ses propres frontieres, son propre recit de donnees. La gouvernance IT s'arrete a la frontiere. La donnee la traverse aux conditions de l'Exploitation Manufacturiere, via des contrats que celle-ci definit et fait respecter. L'entite qui controle l'infrastructure d'automatisation controle l'exploitation. IIA garantit que cette entite est l'exploitant - pas un fournisseur, pas un hebergeur cloud, pas l'IT corporate.

§ Le probleme de la frontiere

La "DMZ" conventionnelle entre IT et Exploitation Manufacturiere, telle qu'on la deploie le plus souvent, n'est pas une vraie frontiere entre les deux domaines. C'est une frontiere IT/IT. Le pare-feu du haut isole l'usine du WAN. Le pare-feu du bas separe les serveurs de support de fabrication du reste du reseau IT. Les deux pare-feux sont geres par l'IT, pour des fins IT, sous gouvernance IT. Rien dans cet agencement ne donne au systeme de controle la moindre autorite sur ce qui traverse.

Une vraie frontiere entre le domaine de l'information et le domaine du controle exige que l'Exploitation Manufacturiere controle un cote et que l'IT controle l'autre. L'Exploitation Manufacturiere dicte quelle donnee quitte le reseau du systeme de controle, sous quelles conditions, et sous quelle forme. Si fournir cette donnee viendrait perturber le systeme de controle, la donnee ne sort pas. Cette autorite n'est pas negociable, parce que les consequences d'une erreur sont physiques, pas informationnelles.

IIA place cette frontiere la ou elle doit etre : a la bordure du reseau du systeme de controle, gouvernee par les personnes responsables du procede.

§ Il n'y a pas un seul reseau de controle

Une usine n'a pas un seul reseau de controle. Elle en a plusieurs, distincts : peinture, conveyance, usinage, salle d'energie, emballage. Chacun a ses propres protocoles, sa propre gestion, ses propres exigences. Ces reseaux peuvent n'avoir rien en commun. La guerre des fieldbus a eu lieu precisement pour cette raison. Quand deux domaines de controle sont en desaccord ou convergent sur une infrastructure partagee, le differend est confie a l'IT, qui ne parle la langue d'aucun des deux. C'est la que les choses se brisent.

Chaque reseau de controle est un domaine souverain. IIA traite chaque reseau de controle comme une zone independante : sa propre frontiere, ses propres services, ses propres contrats gouvernant ce qui traverse.

The Fractal - a box at the head of every zone, the secure edge gateway Two-pane diagram. Left pane shows the internal anatomy of one secure edge gateway: inbound, internal DMZ, outbound, and management partitions, with a local lake - the decentralized historian - as source of truth. Right pane shows the deployment rule: every zone has a gateway at its head. Inside the zone are pools of data (process, device telemetry, network, asset inventory, event streams, topology) fed by the gateway's active poll. Devices contributing to those pools can be any security level; the security boundary lives at the gateway, not at every device. The gateway publishes information governed by CIA outbound through a secure conduit (with a hardware data diode in the SL4 ideal realization) to whatever the zone's consumers are. The gateway is identical at every zone; the operator defines what counts as a zone. The Fractal the unit is the same · scope varies · a gateway at the head of every zone The Unit · anatomy identical at every scope INBOUND · ACS-facing active poll · classify whatever the operator needs on the ACS side INTERNAL DMZ in-flight bus · transient no durable state here OUTBOUND · IT-facing secure publish · structured query API the only external access into the zone MANAGEMENT local ops UI · signed-artifact ingress only LOCAL LAKE · HISTORIAN source of truth on the box · decentralized historian The Deployment · where a box at the head of every zone · the secure edge gateway CONSUMERS internet · plant · partner · regulator · whoever secure conduit SL4: hw diode, one-way box secure edge gateway poll · historian · publish ACS data (SRP) active poll ZONE · OPERATOR-DEFINED production · plant · site · corp · any boundary POOLS OF DATA process data device telemetry network data asset inventory event streams topology any SL device contributes · gateway is the security boundary active poll feeds every pool into the historian FRACTAL same pattern at every zone · operator decides what counts as a zone
The Fractal - a secure edge gateway at the head of every zone. Inside the zone are pools of data fed by the gateway's active poll; devices contributing can be any security level. The gateway publishes information securely outbound through a conduit (with a hardware data diode in the SL4 ideal realization) to whatever the zone's consumers are. The gateway is identical at every zone; the operator defines what counts as a zone.

§ Principes

Auto-suffisance. Chaque zone contient ses propres services essentiels. L'Exploitation Manufacturiere possede tous les services dont la zone a besoin pour fonctionner : DNS, DHCP, SMB, FTP, NTP, collecte de donnees, stockage, surveillance, visualisation, securite. Ces services ne sont pas fournis par l'IT. Ils ne sont ni loues, ni delegues, ni partages. Si l'IT fournit votre DNS, l'IT controle votre resolution de noms, et vous avez une dependance. La zone fait tourner les siens. Aucune zone ne depend de la connectivite amont pour fonctionner. Si le lien tombe, rien ne change sur site. La connectivite est additive. Elle n'est jamais structurelle.

Admission selective. La posture par defaut est fermee. La surface d'attaque externe est reduite a aussi peu de points definis et durcis que possible. L'acces est accorde deliberement, specifiquement, et de facon revocable. Si on peut eviter de laisser quelqu'un entrer, on le fait.

Controle du recit. La zone est l'autorite sur ce qu'elle partage, si elle partage quoi que ce soit. Si la donnee sort, elle est poussee vers l'exterieur. Rien ne revient. La zone decide ce qui sort, sous quelle forme, a quel rythme, vers qui. L'Exploitation Manufacturiere controle la frontiere. Si vous fournir la donnee compromettrait le controle, vous ne recevez pas la donnee.

Application de la frontiere. Les fonctions sont separees par des zones cloisonnees. Les seuls chemins entre elles sont des conduits controles. Ces frontieres ne sont pas indicatives. Elles sont appliquees, par logiciel ou par materiel, et elles sont surveillees comme une frontiere de procede : en continu, avec alarme a la deviation.

Liaison contractuelle. Chaque conduit entre zones est gouverne par un contrat explicite : quelle donnee, dans quel sens, sous quelles conditions, avec quelle authentification. Pas de confiance implicite. Pas d'acces ambiant. Le contrat est la consigne. Le trafic hors du contrat est une deviation, et les deviations sont rejetees.

The Box - CIAD internal partitioning Control and Information Architecture Diagram of the IIA box. Bottom: ACS domain (Managed Trust, SRP). Above that: the inbound zone with collectors, IO master, and local data lake. Center: internal DMZ with in-flight bus, audit chain, and attestation aggregator. Right: outbound zone with edge publisher, structured query API, and mTLS tunnel. Top: IT domain (Zero Trust, CIA). Management interface on its own NIC, local-network only. All cross-side traffic transits the DMZ. ACS DOMAIN  ·  Managed Trust  ·  SRP Wired control & sensing PLC · SCADA · sensors · OPC UA · Modbus · EtherNet/IP Wireless IO sensing LoRaWAN · LPWAN  ·  IO-class only, never control THE BOX INBOUND  (ACS-facing) collectors protocol-aware capture  ·  IDS  ·  scan · enrichment IO master independent IO observation (attestation) local data lake source of truth on the box INTERNAL DMZ in-flight bus transient audit chain head attestation aggregator all cross-side traffic transits here OUTBOUND  (IT-facing) edge publisher operator-selected profile structured query mTLS pull-mode outbound tunnel mTLS dial-out  ·  no listener MANAGEMENT  (mgmt NIC · local-net only) management UI text generator no privileged access config parser parser · validator signed artifact (GitOps) Operator HTTPS · local-net only Last-resort console serial · TPM-bound · never networked IT DOMAIN  ·  Zero Trust  ·  CIA (records · information) push / mTLS
The Box - CIAD internal partitioning · inbound · DMZ · outbound · management

§ Les contraintes dures

Ne jamais interferer avec le procede. L'architecture observe et rapporte. Elle n'agit pas sur le procede. Elle n'injecte pas. Elle ne modifie pas. Elle ne commande pas. La cellule d'automatisation est souveraine. IIA surveille la frontiere. Elle ne la traverse pas.

La priorite du signal de controle est absolue. Le trafic de controle temps-reel a toujours la priorite sur le trafic d'information. Donnees IA, donnees d'historien, donnees de reporting, donnees d'analytique : tout cela est du trafic du domaine de l'information, et tout cela est secondaire. Ce n'est pas une preference. C'est une exigence d'ingenierie du trafic. Si le trafic d'information entre en contention avec le trafic de controle, c'est le trafic d'information qu'on laisse tomber.

Observer, jamais intercepter. La collecte de donnees est passive. Copier, jamais intercepter. Mirroir, jamais en ligne. L'architecture n'est jamais dans le chemin du trafic du systeme de controle. Elle voit ce qui passe et en prend une copie. Elle ne s'insere pas dans le flux de donnees, elle ne modifie pas les paquets en transit, et elle n'ajoute pas de latence aux communications de controle.

§ Mise en oeuvre

Accords de service

L'architecture est mise en oeuvre, du cote organisationnel, par des accords de service geres (MSA) entre l'exploitation manufacturiere et l'IT. Le MSA definit la relation a la frontiere : ce que chaque cote fournit, ce que chaque cote controle, et ce qu'aucun cote ne peut faire sans le consentement de l'autre. Des annexes au MSA definissent les details : allocations d'adresses reseau, specifications d'interlocks, mapping de priorite, et les contrats gouvernant chaque conduit. Le MSA est l'expression organisationnelle des memes principes que l'architecture technique fait respecter. Sans lui, les controles techniques existent dans un vide de gouvernance et seront erodes par la premiere personne munie d'identifiants admin et d'une justification business.

Lire un MSA echantillon et ses cinq annexes (allocations d'adresses, interlocks, runbook de depannage, registre pare-feu, familles de commutateurs) sous Documentation.

Application

Les principes ne changent pas entre les modes de deploiement. Ce qui change, c'est le mecanisme d'application.

L'application logicielle utilise l'identite cryptographique, l'authentification mutuelle, les catalogues de contrats, le pare-feu noyau, et l'attestation pour realiser les zones, les conduits et les contrats. L'assurance vient de la pile logicielle.

L'application materielle ajoute la separation physique : diodes de donnees pour le flux unidirectionnel, interfaces dediees par zone, sas physiques la ou requis. L'assurance vient de la physique.

Les principes gouvernent les deux. Un deploiement virtuel qui viole les principes n'est pas IIA. Un deploiement physique qui les suit l'est. Le mecanisme d'application est une decision de mise en oeuvre, dictee par la tolerance au risque, les exigences reglementaires, et la realite operationnelle de l'environnement specifique.

The Two-Box Method - SL3 vs SL4 Side-by-side comparison of SL3 and SL4 deployment modes. SL3 (left): a single IIA box at the boundary, software-only segmentation, bidirectional channels firewalled and authenticated. SL4 (right): two IIA boxes with a hardware data diode between them - fiber TX-only in one direction, fiber RX-only in the other, physically enforced unidirectional flow. The software architecture is identical in both modes; only the physical topology changes. SL3 - software-only segmentation ACS PLC · SCADA · sensors Managed Trust · SRP IIA box inbound · DMZ · outbound · mgmt inbound DMZ outbound · mTLS IT next box Zero Trust CIA poll · capture push pull query segmentation + authentication + audit bidirectional channels  ·  firewalled + authenticated minimum exposure: nothing exposed beyond its need IEC 62443 SL3 floor SL4 - two boxes + hardware diode ACS PLC · SCADA Managed Trust ACS-side box poll · capture lake · historian audit chain diode HW IT-side box diode receiver publish · query API tunnel IT Zero Trust · CIA poll TX only RX only no return path physically enforced unidirectional flow fiber TX-only out · RX-only path impossible in hardware same software architecture in both boxes IEC 62443 SL4 via diode Same software architecture in both modes. Only the physical topology changes.
The Two-Box Method - SL3 (software segmentation) vs SL4 (hardware diode) · credited: Rinaldi & Workman, RTA 2022

Pas de prescription generale

L'architecture definit des principes, des contraintes, et des recommandations. Elle ne prescrit pas une mise en oeuvre unique. Comment les principes sont realises depend de ce qui est construit, pour quel environnement, sous quelles contraintes operationnelles et reglementaires. Dans une ferme avicole, toute la pile peut etre des services conteneurises sur une seule boite. Dans une centrale nucleaire, ce peut etre plusieurs paires materielles redondantes hautement disponibles. Memes principes. Memes contraintes. Memes contrats. Realisation physique entierement differente. Tout document ou produit qui se reclame conforme a IIA mais qui impose une topologie unique pour tous les environnements a manque l'essentiel.

Materiel commercial sur etagere

IIA vise le materiel commercial sur etagere (COTS). Pas de silicium custom. Pas d'appliance proprietaire. Pas de plateforme specifique a un fournisseur. Du materiel commodite que n'importe qui peut sourcer, n'importe qui peut remplacer, et dont personne ne controle l'approvisionnement. Au moment ou l'architecture depend de la boite d'un fournisseur specifique, elle a une dependance, et tout le but de l'architecture est d'eliminer les dependances. Si elle ne peut pas etre construite a partir de pieces disponibles a tous, elle n'est pas independante.