IIA Industrial Independence Alliance

Pilier V · artefact

L'
architecture.

La specification technique qui operationalise Notre position et Notre philosophie. Une unite autonome dans chaque zone. Identique a tous les niveaux. Seule l'echelle change.

L'unite fonctionne sans connectivite amont. Pas de cloud. Pas de reseau corporate. Pas d'internet. Si la connectivite existe, elle se compose vers le haut. Si elle tombe, rien ne change sur site.

Lire le principe Commencer par l'introduction

La these

IIA fournit le motif architectural qui fait de la souverainete l'etat par defaut plutot que l'aspiration.

Souverainete ≠ isolement

Les unites sont autonomes, mais les historiens des boites adjacentes se connaissent. La conscience est mutuelle. La dependance ne l’est pas.

Application de frontiere

L'ACS est gouverne par SRP. L'information est gouvernee par CIA. La frontiere est appliquee par l'architecture, pas par la politique.

§ Le fractal

Une boite a la tete de chaque zone — la passerelle de bordure securisee. A l’interieur de la zone se trouvent les donnees du systeme de controle ; a la boite, elles deviennent de l’information pour les consommateurs. Les dispositifs internes peuvent etre a n’importe quel niveau de securite. La publication sortante securisee est le seul acces externe dans la zone. Le fractal ne se collapse pas au sommet — un historien central n’est qu’une unite a portee plus large.

The Fractal — a box at the head of every zone, the secure edge gateway Two-pane diagram. Left pane shows the internal anatomy of one secure edge gateway: inbound, internal DMZ, outbound, and management partitions, with a local lake — the decentralized historian — as source of truth. Right pane shows the deployment rule: every zone has a gateway at its head. Inside the zone are pools of data (process, device telemetry, network, asset inventory, event streams, topology) fed by the gateway's witness (passive) and active poll. Devices contributing to those pools can be any security level; the security boundary lives at the gateway, not at every device. The gateway publishes information governed by CIA outbound through a secure conduit (with a hardware data diode in the SL4 ideal realization) to whatever the zone's consumers are. The gateway is identical at every zone; the operator defines what counts as a zone. The Fractal the unit is the same · scope varies · a gateway at the head of every zone The Unit · anatomy identical at every scope INBOUND · ACS-facing witness (passive) · active poll · classify no IP TX · no external listeners INTERNAL DMZ in-flight bus · transient no durable state here OUTBOUND · IT-facing secure publish · structured query API the only external access into the zone MANAGEMENT local ops UI · signed-artifact ingress only LOCAL LAKE · HISTORIAN source of truth on the box · decentralized historian The Deployment · where a box at the head of every zone · the secure edge gateway CONSUMERS internet · plant · partner · regulator · whoever secure conduit SL4: hw diode, one-way box secure edge gateway witness · historian · publish ACS data (SRP) witness · active poll ZONE · OPERATOR-DEFINED production · plant · site · corp · any boundary POOLS OF DATA process data device telemetry network data asset inventory event streams topology any SL device contributes · gateway is the security boundary witness (passive) + active poll feed every pool into the historian FRACTAL same pattern at every zone · operator decides what counts as a zone
The Fractal — a secure edge gateway at the head of every zone. Inside the zone are pools of data fed by the gateway's witness (passive) and active poll; devices contributing can be any security level. The gateway publishes information securely outbound through a conduit (with a hardware data diode in the SL4 ideal realization) to whatever the zone's consumers are. The gateway is identical at every zone; the operator defines what counts as a zone.

§ La boite (CIAD)

Partitionnement interne de la boite IIA. Zones entrante (cote ACS), DMZ et sortante (cote IT). Tout trafic entre les cotes transite par la DMZ. La NIC ACS est passive, RX-only.

The Box — CIAD internal partitioning Control and Information Architecture Diagram of the IIA box. Bottom: ACS domain (Managed Trust, SRP). Above that: the inbound zone with collectors, witness/IDS, IO master, and local data lake. Center: internal DMZ with in-flight bus, audit chain, and attestation aggregator. Right: outbound zone with edge publisher, structured query API, and mTLS tunnel. Top: IT domain (Zero Trust, CIA). Management interface on its own NIC, local-network only. All cross-side traffic transits the DMZ. ACS NIC is passive, RX-only. ACS DOMAIN  ·  Managed Trust  ·  SRP Wired control & sensing PLC · SCADA · sensors · OPC UA · Modbus · EtherNet/IP Wireless IO sensing LoRaWAN · LPWAN  ·  IO-class only, never control THE BOX INBOUND  (ACS-facing) ot.acs.collect protocol-aware collectors ot.acs.witness IDS · scan · enrichment ot.acs.io_master independent IO observation (attestation) ot.acs.lake local data lake  ·  source of truth on the box INTERNAL DMZ ot.dmz.bus in-flight bus (transient) ot.dmz.audit audit chain head ot.dmz.attest attestation aggregator all cross-side traffic transits here OUTBOUND  (IT-facing) ot.it.publish edge publisher operator-selected profile ot.it.api structured query mTLS · non-HTTP ot.it.tunnel outbound mTLS dial-out  ·  no listener  ·  no HTTP MANAGEMENT  (mgmt NIC · local-net only) ot.mgmt.ui text generator no privileged access ot.mgmt.cfg parser · validator signed artifact (GitOps) Operator HTTPS · local-net only Last-resort console serial · TPM-bound · never networked IT DOMAIN  ·  Zero Trust  ·  CIA (records · information) passive · RX-only push / mTLS · no HTTP
The Box — CIAD internal partitioning · inbound · DMZ · outbound · management

§ La methode deux-boites

SL3 : une boite, segmentation logicielle. SL4 : deux boites avec diode materielle. Meme architecture logicielle dans les deux modes. Seule la topologie physique change. Attribution : Rinaldi & Workman, The Everyman’s Guide to EtherNet/IP Network Design (RTA, 2022).

The Two-Box Method — SL3 vs SL4 Side-by-side comparison of SL3 and SL4 deployment modes. SL3 (left): a single IIA box at the boundary, software-only segmentation, passive ACS NIC, bidirectional channels firewalled and authenticated. SL4 (right): two IIA boxes with a hardware data diode between them — fiber TX-only in one direction, fiber RX-only in the other, physically enforced unidirectional flow. The software architecture is identical in both modes; only the physical topology changes. SL3 — software-only segmentation ACS PLC · SCADA · sensors Managed Trust · SRP IIA box inbound · DMZ · outbound · mgmt inbound DMZ outbound · mTLS · no HTTP IT next box Zero Trust · CIA passive · RX-only push pull query segmentation + authentication + audit bidirectional channels  ·  firewalled + authenticated passive ACS NIC  ·  no HTTP at boundary IEC 62443 SL3 floor SL4 — two boxes + hardware diode ACS PLC · SCADA Managed Trust ACS-side box passive collection capture · witness · lake audit chain diode HW IT-side box diode receiver publish · query API tunnel IT Zero Trust · CIA passive TX only RX only no return path physically enforced unidirectional flow fiber TX-only out · RX-only path impossible in hardware same software architecture in both boxes IEC 62443 SL4 via diode Same software architecture in both modes. Only the physical topology changes.
The Two-Box Method — SL3 (software segmentation) vs SL4 (hardware diode) · credited: Rinaldi & Workman, RTA 2022

§ A quoi cela ressemble dans du logiciel livre

MarlinSpike Le GrassMarlin moderne. Etabli de topologie OT/ICS passive — les captures entrent, zero paquet ne sort. grassmarlin.com → Conversational Factory Plateforme OT en lecture seule. DPI temoin sur le fil sur 34 protocoles, surface de requete i3X v1 · MCP pour operateurs et clients IA. conversationalfactory.com →

Industrial Independence Architecture (IIA)

Un principe architectural pour les infrastructures industrielles.

Publie par l’Industrial Independence Alliance. L’Architecture (ce depot) est la consequence de la Philosophie — lisez-la d’abord si vous cherchez le pourquoi.

Vous decouvrez l’automatisation industrielle, les ICS ou les technologies operationnelles ? Commencez par docs/introduction.md — ce document construit le vocabulaire utilise ici.

IIA est l’abstraction deliberee d’un motif de convergence qui existe deja dans des domaines adjacents, nomme et applique pour la premiere fois aux systemes d’automatisation et de controle. Ce n’est pas un produit. Ce n’est pas un framework. C’est le principe architectural, revendique par son nom.

Sommaire

Le principe

Deployer une unite autonome unique a la tete de chaque zone d’un reseau industriel. L’unite est identique a tous les niveaux. La seule chose qui change est l’echelle.

L’unite fonctionne sans connectivite amont. Pas de cloud. Pas de reseau corporate. Pas d’internet. C’est le systeme complet pour sa zone. Si de la connectivite existe, elle se compose vers le haut. Si elle tombe, rien ne change sur site.

Le cloud n’est qu’une fenetre sur la maille des unites. Ce n’est pas la plateforme. Ce n’est pas le cerveau. C’est une vue optionnelle sur quelque chose de deja complet sans lui.

L’unite

L’unite est la passerelle de bordure securisee. Familierement : la boite.

Une passerelle de bordure securisee par zone. Elle fait tourner la pile complete d’infrastructure ACS de cette zone : services IP de zone (DHCP, DNS, NTP, partages de fichiers/configuration, PKI optionnelle dans la cellule), collecte de donnees, historien decentralise de la zone, supervision securite, inventaire d’actifs, detection d’intrusion, visualisation, API, acces distant, VPN, messagerie, traduction de protocoles. Tout ce qu’il faut pour exploiter, superviser et securiser la zone.

La passerelle a deux realisations physiques. La realisation mono-boite est une unite autonome unique a la frontiere (SL3, le plancher). La realisation deux-boites + diode separe la passerelle en une boite interieure du cote ACS et un abonne exterieur du cote IT, avec une diode materielle entre les deux — la boite interieure publie vers l’abonne exterieur, et les consommateurs accedent a l’abonne exterieur (SL4, l’ideal). Les deux realisations executent le meme logiciel, le meme modele de configuration et la meme experience operateur. L’element architectural est la passerelle ; la topologie physique determine le niveau de securite obtenu.

L’architecture est independante du materiel et invariante a l’echelle. La passerelle de bordure securisee est une unite logique, realisable comme appliance, serveur, cluster ou pile virtualisee. Le dimensionnement depend de l’application et de l’echelle.

Chaque choix de composant, de protocole ou de flux de donnees remonte a une seule question : cette passerelle fonctionne-t-elle completement seule, sans lien ? Si oui, elle appartient a la passerelle. Sinon, elle n’y a pas sa place.

Le fractal

Une passerelle de bordure securisee a la tete de chaque zone.

A l’interieur de la zone se trouvent les donnees du systeme de controle — le substrat de l’action physique — gouvernees par SRP. A la passerelle, ces donnees traversent la frontiere et deviennent de l’information, gouvernee par CIA, publiee de maniere securisee vers les consommateurs de la zone : une autre zone, une usine, un partenaire, un regulateur, internet.

Les dispositifs de la zone peuvent etre a n’importe quel niveau de securite. Du SCADA legacy en SL0, des PLC modernes en SL3, des E/S grand public, des capteurs IoT — tout cela vit dans la zone. La frontiere de securite se trouve a la passerelle, pas sur chaque appareil. Avec la bonne ingenierie, la passerelle est la seule chose qui doive interfacer le monde exterieur de maniere securisee.

La passerelle observe passivement le trafic sur le substrat ACS et interroge activement les equipements qui le permettent. Les deux alimentent l’historien decentralise — le lac de donnees local de la passerelle, source de verite de la zone. L’historien ne publie vers le nord que sur l’interface sortante securisee. Cette publication securisee est le seul acces depuis l’exterieur vers la zone.

La passerelle est identique dans chaque zone. C’est l’operateur qui decide ce qui constitue une zone — cellule, usine, site, region, fonction corporate, partout ou des donnees traversent une frontiere.

Le cloud n’est pas une architecture speciale. Un historien central n’est qu’une passerelle de portee plus large. Un agregateur regional aussi. Le fractal ne s’effondre pas en haut.

Le Fractal : une passerelle de bordure securisee a la tete de chaque zone, avec dispositifs de niveaux varies a l'interieur et publication sortante securisee

Chaque passerelle fonctionne sans connectivite amont. Pas de cloud, pas de reseau corporate, pas d’internet. Si la connectivite existe, elle se compose vers le haut. Si elle tombe, rien ne change sur site.

La souverainete ne signifie pas l’isolement. L’historien de chaque passerelle est l’historien decentralise de sa zone — les donnees de l’operateur, sur le substrat de l’operateur, complet sans cloud. Les historiens de passerelles adjacentes peuvent se connaitre sans devenir dependants les uns des autres. La conscience est mutuelle. La dependance ne l’est pas.

La frontiere de domaine

La ligne entre ACS et IT n’est pas tracee par la topologie reseau, l’organigramme ou l’etiquette fournisseur. Elle est tracee par la criticite de la donnee, elle-meme determinee par sa sensibilite temporelle et sa relation au processus physique.

Si la finalite de la donnee est d’agir sur le procede ou de le piloter, c’est une donnee ACS. SRP la gouverne. Le systeme qui la transporte doit satisfaire les exigences de securite, fiabilite et performance du procede qu’il sert.

Si la finalite de la donnee est de rendre compte du procede, c’est de l’information. CIA la gouverne. Les regles, infrastructures et gouvernances IT s’appliquent.

Cette distinction est absolue. Une consigne est ACS. L’enregistrement historien de cette consigne est information. Une boucle de controle qui se ferme en 10 ms est ACS. Un tableau de bord montrant sa tendance sur la derniere heure est information. La meme valeur physique traverse la frontiere au moment exact ou elle cesse d’exiger une action temps reel et devient l’enregistrement de ce qui s’est passe.

La passerelle de bordure securisee se tient a cette frontiere. Dans la cellule d’automatisation, elle observe et protege les donnees ACS selon SRP. A la frontiere, elle transforme les donnees ACS en information et les publie vers le nord selon les regles IT. Elle n’autorise pas la gouvernance IT a remonter dans la cellule. La frontiere est appliquee par l’architecture, pas par la politique.

La methode deux-boites

L’articulation canonique d’une segmentation ACS/IT imposee physiquement precede IIA. John Rinaldi et Gary Workman l’ont documentee dans The Everyman’s Guide to EtherNet/IP Network Design.

Le motif est compose de deux boites et d’une diode materielle. La boite interieure se trouve dans la zone ACS — observe le trafic, interroge les equipements et heberge l’historien decentralise. Une diode materielle — lien optique unidirectionnel sans chemin retour — se tient entre les deux. La boite exterieure, ou abonne exterieur, se trouve cote IT ; elle recoit les donnees publiees au travers de la diode et c’est elle que les consommateurs interrogent.

Mono-boite (SL3, le plancher). Une unite a la frontiere. L’interface cote ACS est passive — pas d’emission de pile IP, pas d’ecouteurs. L’unite est partitionnee en entree, DMZ interne et sortie ; pare-feu noyau en deny-by-default entre les zones, authentification mTLS a chaque saut interne. La sortie est push-only sur un profil de bordure choisi par l’operateur, plus une API de requete structuree sur mTLS pour le pull. Aucun ecouteur HTTP a la frontiere externe.

Deux-boites + diode (SL4, l’ideal). La boite interieure cote ACS. Une diode materielle entre les deux. L’abonne exterieur cote IT. La boite interieure publie vers l’abonne exterieur ; les consommateurs accedent a l’abonne exterieur, jamais a l’interieure. Meme logiciel, meme modele de configuration, meme experience operateur. Seule la topologie physique change.

Methode deux-boites : realisation mono-boite SL3 et realisation deux-boites-plus-diode SL4 avec boite interieure, diode et abonne exterieur

Contraintes de conception

IIA est faconne par la realite des environnements d’automatisation et de controle, pas par les hypotheses du calcul d’entreprise.

Architecture de donnees

La boite est partitionnee en trois faces plus une interface de gestion.

La « DMZ interne » ici est une partition dans la boite. Elle n’est pas la DMZ IT-OT conventionnelle de PERA L3.5. Celle-ci separe l’IT-touching-control de l’IT-not-touching-control. La DMZ d’IIA est la frontiere entre capture entrante gouvernee par SRP et publication sortante gouvernee par CIA, dans une unite unique possedee par l’operateur.

La Boite : diagramme conceptuel de type CIAD du partitionnement interne, des zones et des surfaces externes

Chaque communication est gouvernee par un contrat de donnees explicite. Interne comme externe. L’ensemble forme le catalogue de contrats — versionne, decouvrable. La communication sans contrat est empechee la ou l’architecture peut l’imposer et signalee la ou elle ne le peut pas.

L’attestation observe la prevention. Chaque mecanisme de prevention peut fuir ; l’architecture le presume. L’IDS reseau double comme observateur d’attestation des contrats. Un IO master observe independamment le substrat physique des E/S et recoupe avec la capture primaire de la boite. Les findings d’attestation sont emis sous ot.attestation.*.

Antecedents

Le motif existe ailleurs. Il n’avait simplement jamais ete nomme et applique deliberement aux systemes d’automatisation et de controle.

Toutes ces formes expriment le meme motif : unite souveraine auto-contenue, identique a chaque point de deploiement, qui monte en echelle par composition et fonctionne sans dependance amont. IIA herite de ce motif et l’etend a la frontiere ou les modeles de gouvernance changent entre SRP et CIA.

Normes

IIA ne derive d’aucune norme unique. C’est l’instanciation physique de ce que plusieurs normes decrivent abstraitement, parce qu’elles partagent les memes premiers principes : operation souveraine, independante, autonome.

IIA utilise aussi les conventions CIAD et CIND de PERA+ pour rendre ses deploiements lisibles pour tout ingenieur de controle travaillant dans ce cadre.

Pour qui c’est fait

Le triangle sous-desservi. Chaque industriel en dessous du sommet de la courbe de demande. Ceux qui frappent des toasters, traitent le lait, exploitent des feed lots, usinent en discret. Ils ne peuvent pas financer des projets securite a six chiffres ni des abonnements de supervision annuels eleves. Ils sont souvent ruraux, isoles, avec internet instable.

Leur « personne reseau », quand il y en a une, connait l’IP, peut-etre le subnetting. Pas les paquets. Pas les CVE. Et elle a raison de ne pas faire des CVE sa responsabilite centrale. Ce dont l’OT a besoin, c’est d’un inventaire exact, d’un reseau visible, d’une trace d’audit et d’un procede qui tourne de facon fiable. Les outils pour faire cela comme outils operationnels OT possedes et operes par l’OT n’existent pas vraiment aujourd’hui.

IIA est cette chose.

La these

L’independance industrielle n’est pas une position technologique. C’est une position de souverainete operationnelle. L’entite qui controle l’infrastructure d’automatisation controle l’operation. L’installation qui depend d’une connectivite externe pour la visibilite de base du procede, l’acces a l’historien ou la supervision de securite n’est pas souveraine.

La frontiere de domaine entre ACS et IT n’est pas une negociation. Les donnees qui agissent sur le procede sont gouvernees par SRP. Les donnees qui rendent compte du procede sont gouvernees par CIA. La boite fait respecter cette frontiere par l’architecture, pas par la politique, et garantit que la gouvernance IT ne remonte jamais dans la cellule d’automatisation.

IIA fournit le motif architectural qui fait de la souverainete l’etat par defaut plutot que l’aspiration.

Pour aller plus loin

L’Alliance publie sa position en cinq piliers. Ce README est le cinquieme — L’Architecture. Les quatre premiers la fondent :

Documentation de support :

Marques

Industrial Independence Architecture et IIA sont des marques. La licence ci-dessous couvre le texte de ce document. Elle n’accorde aucun droit d’usage de ces marques.

Licence

Cette oeuvre est publiee sous Creative Commons Attribution-ShareAlike 4.0 International License (CC BY-SA 4.0).