Glossaire

Vocabulaire utilisé dans la documentation IIA.

4Rs. Response, Resolution, Reliability, Resilience. Les critères de PERA+ pour placer les applications au bon niveau. Les tolérances de temps de réponse se relâchent et les exigences de résolution se grossissent à mesure que les données montent.

ACS. Automation and Control Systems. Le domaine où les données agissent sur ou contrôlent un procédé physique. Gouverné par SRP. La ligne entre ACS et IT est tracée par la criticité de la donnée, sa sensibilité temporelle et sa relation au procédé physique, pas par la topologie réseau, l’organigramme ou l’étiquette fournisseur.

Attestation. Observation indépendante qui vérifie si la prévention fonctionne réellement. L’architecture s’engage sur la propriété ; comment c’est réalisé est l’affaire de l’exploitant.

Boundary contract. Un data contract à chaque connexion qui sort de l’ACS. Bilatéral : le côté ACS s’engage sur ce qu’il produit ; le côté amont s’engage sur la connectivité, l’authentification, l’accusé de réception, le temps de réponse, la capacité et la réponse à incident. Une matrice RACI nomme les parties responsables pour chaque mode de défaillance.

The box / The unit. Raccourci pour secure edge gateway. Utilisé en contexte informel ; secure edge gateway est le terme formel.

CIA. Confidentiality, Integrity, Availability. Le modèle de l’information : des enregistrements, historiques par nature. Gouverne les systèmes IT et les données ACS une fois qu’elles ont franchi la frontière et sont devenues de l’information. Pas le bon modèle pour l’ACS lui-même ; l’ACS est gouverné par SRP.

CIAD. Control and Information Architecture Diagram. Schéma bloc conceptuel de PERA+. L’IIA utilise les CIAD pour les déploiements de référence.

CIND. Control and Information Network Diagram. Schéma détaillé réseau de PERA+ avec annotations SL1-SL4.

Consumer. Le destinataire de l’information publiée par une secure edge gateway. Soit une autre gateway à portée plus large (cas fractal), soit un système externe autorisé. Les deux se connectent à l’interface sortante de la gateway ; aucun ne revient dans la zone.

Data contract. Description explicite d’une communication sur la boîte ou à travers ses frontières : quelle donnée, dans quel sens, sous quelles conditions, avec quelle authentification. Une communication sans contrat est empêchée ou signalée. Les boundary contracts en sont le cas bilatéral à chaque connexion qui sort de l’ACS.

Data diode. Liaison optique unidirectionnelle matérielle sans chemin de retour. Placée entre l’inside box et l’outside subscriber. Achète du SL4 par la physique : rien de ce que reçoit l’outside box ne peut revenir vers l’inside.

Distributed (not federated). L’IIA est un maillage distribué d’unités identiques sous un seul opérateur. Pas une fédération de parties indépendantes échangeant des données par traité.

Fractal. Une boîte à la tête de chaque zone. À l’intérieur : données de contrôle gouvernées par SRP ; à la boîte, elles deviennent de l’information gouvernée par CIA et sortent. Les équipements à l’intérieur peuvent être à n’importe quel niveau de sécurité ; la frontière de sécurité vit à la gateway, pas dans chaque équipement. Même unité à chaque zone ; seule la portée change. Un historien central est une gateway à portée plus large, pas un autre système.

IEC 62443 / ISA-99. Norme de cybersécurité industrielle. ISA-99 est le comité ISA qui produit ce qui paraît internationalement sous IEC 62443. Définit les niveaux de sécurité SL1-SL4 et les exigences fondamentales FR1-FR7. L’IIA s’aligne sur ISA-99 / IEC 62443 et cible un plancher SL3 en mode logiciel seul, SL4 en mode two-box avec diode de données matérielle.

Inside box. En mode two-box, l’unité du côté ACS. Publie vers l’extérieur à travers la diode vers l’outside subscriber. Jamais joignable directement depuis l’extérieur de la zone.

ISA-95. La norme de modèle de données IT↔ACS, surtout pour les industries de procédé. L’IIA s’aligne sur ISA-95 : Entreprise → Site → Aire → Centre de travail → Unité de travail est la hiérarchie de zones IIA, inversée en feuille-d’abord pour le DNS. L’IIA n’impose pas le schéma ISA-95 à l’edge ; la modélisation vit en amont.

Managed Trust. Le cadre PERA pour le côté ACS de la frontière. Chaque équipement et chaque procédé est connu, identifié et imputable aux opérations. La boîte termine le Zero Trust côté IT et commence le Managed Trust côté ACS.

Outside box / outside subscriber. En mode two-box, l’unité du côté IT. Reçoit les données de l’inside box à travers la diode et constitue le point auquel les consumers se connectent. La compromission de l’outside box ne peut pas atteindre l’inside box : c’est la physique, pas la politique. Outside subscriber est le nom précis du rôle ; outside box est le raccourci.

PERA+. Architecture de référence maintenue par Gary Rathwell chez Entercon (pera.net), CC BY-SA 4.0. Définit les niveaux hiérarchiques, les frontières de zone, les 4Rs. L’IIA s’aligne sur PERA+ et adopte : les 4Rs, les schémas CIAD/CIND, Zero Trust ↔ Managed Trust, et « secure interfaces, not integration ».

RACI matrix. Dans un boundary contract, les parties désignées pour chaque mode de défaillance. Responsible, Accountable, Consulted, Informed.

SAIC. Safety, Availability, Integrity, Confidentiality. Extension de CIA dans PERA, avec Safety en préfixe. Bonne pour les systèmes IT qui touchent une information critique pour la sécurité : historiens, magasins d’audit, tableaux de bord destinés au régulateur. Ne gouverne pas l’ACS lui-même.

Secure edge gateway. L’unité à la tête de chaque zone. Données de contrôle à l’intérieur (SRP), information vers l’extérieur (CIA). Le seul chemin vers la zone depuis l’extérieur. Identique à chaque zone ; seule la portée change. Deux réalisations physiques : single-box (SL3, le plancher) et two-box + diode (SL4, l’idéal). Voir Two-Box Method.

Security Level (SL1-SL4). Gradation par l’IEC 62443 des capacités de cybersécurité. Le mode logiciel seul cible SL3 (segmentation + authentification + audit). Le mode two-box atteint SL4 via diode matérielle et séparation physique. SL3 ne force pas l’unidirectionnalité ; c’est la promesse de SL4.

Sovereignty. L’unité est le système complet pour sa zone et fonctionne sans lien amont. La souveraineté n’est pas l’isolement : les gateways adjacentes peuvent se connaître sans devenir dépendantes. La conscience est OK ; la dépendance non.

SRP. Safety, Reliability, Performance. Le modèle de l’action physique et de la physique. Gouverne le substrat ACS. Reliability et Performance sont des propriétés du système physique ; Safety est ce que le système protège. D’après Robert Radvanovsky chez Infracritical (srpmodel.infracritical.com).

Two-Box Method. Segmentation ACS/IT physique avec deux boîtes et une diode de données matérielle. John Rinaldi et Gary Workman, The Everyman’s Guide to EtherNet/IP Network Design (Real Time Automation, 2022, ISBN 9798839986152). L’IIA généralise le motif en logiciel au SL3 et le déploie nativement au SL4.

Zero Trust. Le cadre PERA pour le côté IT de la frontière. Chaque action est non authentifiée tant qu’elle n’est pas prouvée. La boîte termine le Zero Trust côté IT et commence le Managed Trust côté ACS.

Zone. L’unité d’exploitation industrielle au sens de l’IEC 62443. L’unité de déploiement de l’IIA : une boîte par zone.

Les cinq principes

Auto-suffisance. Chaque zone contient ses propres services essentiels : DNS, DHCP, SMB, FTP, NTP, collecte, stockage, surveillance, visualisation, sécurité. Pas fournis par l’IT. Pas loués, délégués ou partagés. Aucune zone ne dépend de la connectivité amont pour fonctionner. La connectivité est additive, jamais structurelle. Si le lien tombe, rien ne change sur site.

Admission sélective. Par défaut, fermé. La surface d’attaque externe est réduite à aussi peu de points définis et durcis que possible. L’accès est accordé délibérément, spécifiquement, de façon révocable. Si vous pouvez éviter de laisser quelqu’un entrer, vous le faites.

Contrôle du récit. La zone est l’autorité sur ce qu’elle partage, si elle partage quoi que ce soit. Si la donnée sort, elle est poussée vers l’extérieur. Rien ne revient. La zone décide ce qui sort, sous quelle forme, à quel rythme, vers qui. L’Exploitation Manufacturière contrôle la frontière. Si vous fournir la donnée compromettrait le contrôle, vous ne recevez pas la donnée.

Application de la frontière. Les fonctions sont séparées par des zones cloisonnées. Les seuls chemins entre elles sont des conduits contrôlés. Les frontières sont appliquées - logiciel ou matériel - et surveillées comme on surveille une frontière de procédé : en continu, avec alarme à la déviation.

Liaison contractuelle. Chaque conduit entre zones est gouverné par un contrat explicite : quelle donnée, dans quel sens, sous quelles conditions, avec quelle authentification. Pas de confiance implicite. Pas d’accès ambiant. Le contrat est la consigne. Le trafic hors du contrat est une déviation, et les déviations sont rejetées.

Les trois contraintes dures

Ne jamais interférer avec le procédé. Observer et rapporter. Pas agir sur le procédé. Pas injecter, modifier, commander. La cellule d’automatisation est souveraine. Surveiller la frontière, ne pas la traverser.

La priorité du signal de contrôle est absolue. Le trafic de contrôle temps-réel passe toujours avant le trafic d’information. IA, historien, reporting, analytique : tous information-domain, tous secondaires. Pas une préférence. Une exigence d’ingénierie du trafic. Si le trafic d’information entre en contention avec le contrôle, c’est l’information qu’on laisse tomber.

Observer, jamais intercepter. La collecte est passive. Copier, jamais intercepter. Mirroir, jamais en ligne. Jamais dans le chemin du trafic de contrôle. Voir ce qui passe, en prendre une copie. Pas s’insérer dans le flux, pas modifier les paquets en transit, pas ajouter de latence aux communications de contrôle.