Glossaire

Vocabulaire utilisé dans la documentation IIA. Les définitions sont normatives pour l’architecture et s’alignent sur l’usage de chaque terme dans /fr/architecture/, /fr/architecture/docs/internal-architecture/ et /fr/architecture/docs/sample-contracts/.

Les normes et protocoles sont listés lorsqu’ils portent un poids architectural dans l’IIA. Les définitions provenant de normes externes sont des résumés, pas des substituts aux normes sources.

4Rs. Response, Resolution, Reliability, Resilience. Les critères de PERA+ pour placer les applications au bon niveau d’une entreprise industrielle. Les tolérances de temps de réponse se relâchent et les exigences de résolution se grossissent à mesure que les données montent dans les niveaux ; les 4Rs expliquent pourquoi la boîte tamponne localement des données haute fidélité et agrège en central des données sous-échantillonnées.

ACS. Automation and Control Systems. Le domaine où les données agissent sur ou contrôlent un procédé physique. Gouverné par SRP. La ligne entre ACS et IT est tracée par la criticité de la donnée, sa sensibilité temporelle et sa relation au procédé physique, pas par la topologie réseau, l’organigramme ou l’étiquette fournisseur.

Active poll. Méthode par laquelle la secure edge gateway acquiert des données depuis les équipements à l’intérieur de la zone : la gateway ouvre une session avec l’équipement, généralement via un protocole de réseau de contrôle que cet équipement parle (Modbus, EtherNet/IP, OPC UA, S7, etc.), et lit tags, registres ou états à une cadence configurée. L’active poll suppose que l’équipement l’autorise et que l’exploitant l’ait explicitement autorisée (identifiants, périmètres permis). Lorsque l’active poll est indisponible, witness (observation passive) est le plancher minimal. Les deux alimentent l’historien décentralisé.

Adherence telemetry. Les reçus qu’une boîte émet pour prouver à quel point un contrat est tenu, par la boîte et par le consommateur amont. Enregistre la connectivité, la livraison, l’authentification, le schéma, les quotas, la réconciliation, la vérification d’audit, les violations de SLA et les violations de contrat. Émis sous contract.*. L’architecture spécifie la forme ; l’exploitant publie les valeurs.

Approval artifact. Autorisation signée qui permet à des boîtes précises d’appliquer des mises à jour stagées précises dans des fenêtres de temps précises. Prend en charge le par-boîte, par-flotte, l’intégrité à deux personnes (FR2 SR 2.4) et les déploiements conditionnés à une fenêtre de maintenance. La stratégie de rollout — canari, pourcentage, par-zone, par-site — est une politique opérateur exprimée par les artefacts d’approbation émis à quelles boîtes et quand.

Attestation. Observation indépendante qui vérifie si la prévention fonctionne réellement. Trois couches : attestation de politique SDN (là où le SDN est déployé), IDS comme observateur des fuites de politique, et l’IO master observant le substrat physique. Les constats sont émis sous attestation.* et vont vers la chaîne d’audit avec la même sévérité que les événements de sécurité. La réponse permanente à la question « comment savez-vous que la prévention fonctionne vraiment ? »

Boundary contract. Spécialisation du data contract à chaque connexion qui sort de l’ACS. Bilatéral : le côté ACS s’engage sur l’inventaire des données, la fraîcheur, la résolution, la rétention, l’ordonnancement, la livraison, la reconnexion, l’évolution de version, l’authentification et la liaison à l’audit. Le côté amont s’engage sur la connectivité, l’authentification, l’accusé de réception, le temps de réponse aux requêtes, l’accommodation de schéma, la capacité et la réponse à incident. Une RACI matrix nomme les parties responsables et redevables pour chaque mode de défaillance.

Secure edge gateway. L’élément architectural canonique. Une unité autonome déployée à la tête de chaque zone, servant de frontière sécurisée entre les données de contrôle à l’intérieur (gouvernées par SRP) et l’information publiée vers l’extérieur (gouvernée par CIA). Observe le trafic sur le substrat ACS, interroge activement les équipements qui le permettent, héberge l’historien décentralisé de la zone et publie de façon sécurisée vers tout consommateur de la zone. Les équipements à l’intérieur de la zone peuvent être de n’importe quel niveau de sécurité ; la frontière de sécurité vit à la gateway, pas dans chaque équipement. La publication sortante sécurisée est le seul accès à la zone depuis l’extérieur. Identique à chaque zone ; seule la portée change. Partitionnée en entrant, DMZ interne et sortant, plus une interface de management. Logique, pas physique : réalisable comme appliance sur matériel standard, cluster multi-hôte, pile virtualisée ou déploiement hyperscale. Les invariants de l’architecture voyagent dans toutes ces réalisations. Deux configurations physiques : single-box (SL3, le plancher) et two-box + diode (SL4, l’idéal). Voir Two-Box Method.

The box / The unit. Raccourci familier pour secure edge gateway. Utilisé dans un registre narratif ou informel ; dans les contextes architecturaux formels, secure edge gateway est le terme canonique.

Inside box. Dans la réalisation two-box de la secure edge gateway, l’unité du côté ACS. Observe le trafic, interroge activement les équipements qui le permettent, héberge l’historien décentralisé de la zone et publie vers l’extérieur à travers la diode de données matérielle. L’inside box n’est jamais joignable directement depuis l’extérieur de la zone.

Outside box / outside subscriber. Dans la réalisation two-box de la secure edge gateway, l’unité du côté IT. Reçoit les données publiées par l’inside box au travers de la diode et constitue le point auquel les consommateurs se connectent. La compromission de l’outside subscriber ne peut pas atteindre l’inside box : c’est la physique, pas la politique, qui bloque le chemin retour. Outside subscriber est le nom précis du rôle ; outside box est le raccourci familier.

Data diode. Liaison optique unidirectionnelle matérielle sans chemin de retour. Placée entre l’inside box et l’outside subscriber dans la réalisation two-box. Achète du SL4 par la physique : rien de ce que reçoit l’outside box ne peut voyager en retour vers l’inside.

CESMII i3X. Interface de requête standardisée préférée à la frontière L2↔L3. OpenAPI sous le capot. La v1 couvre les requêtes séries temporelles et états statiques ; les sémantiques transactionnelles et de méthode sont renvoyées à la v2. Utiliser un canal transactionnel séparé pour les flux de type MES/MOM. Source : CESMII. Déploiement typique en modèle soft-launch / alpha-with-vendors. L’IIA traite i3X comme porteur au même titre que MQTT, OPC UA et Sparkplug B.

Choreograph. Verbe pour les flux de télémétrie : fire-and-forget sur le profil edge, sans accusé de réception attendu du côté éditeur. Les séries temporelles, événements et changements d’état d’actifs sont chorégraphiés. L’edge publisher de la boîte les prend en charge. Va par paire avec orchestrate ; mélanger les deux dans une même pipeline est un mode d’échec récurrent.

CIA. Confidentiality, Integrity, Availability. Le vocabulaire de l’information : des enregistrements, historiques par nature. Gouverne les systèmes IT et les données ACS une fois qu’elles ont franchi la frontière de domaine et sont devenues de l’information. Ce n’est pas le bon substrat pour l’ACS lui-même ; l’ACS est en amont de CIA et est gouverné par SRP. Voir SAIC pour l’extension de CIA avec Safety en préfixe utilisée côté IT pour des magasins d’information liés à la sécurité.

CIAD. Control and Information Architecture Diagram. Schéma bloc conceptuel de PERA+ produit pendant l’ingénierie conceptuelle. Les déploiements de référence IIA utilisent les CIAD pour communiquer l’architecture au niveau conceptuel.

CIND. Control and Information Network Diagram. Schéma détaillé réseau de PERA+ produit pendant l’ingénierie préliminaire, avec annotations SL1-SL4. Les déploiements de référence IIA utilisent les CIND pour communiquer les détails réseau.

Consumer. Le destinataire de l’information publiée par une secure edge gateway. Deux types, et seulement deux : (1) une autre gateway à une portée plus large — cas fractal, où une gateway de zone publie vers une gateway d’usine, une gateway d’usine vers une gateway de site, etc. ; (2) un système externe autorisé — application d’entreprise, lake BI/analytics, plateforme IA/ML, tableau de bord régulateur, intégration partenaire. Les deux se connectent à l’interface sortante de la gateway. Aucun ne rejoint la zone en retour ; la gateway est le seul chemin d’entrée et de sortie. L’exploitant autorise explicitement chaque consumer via le catalogue de contrats ; les consumers non contractuels n’existent pas sur le fil.

Configuration as signed artifact. La boîte n’accepte la configuration que comme document texte signé à grammaire contrainte consommé par un parseur, jamais comme API live. Même motif que l’admission d’images et les mises à jour d’OS. L’interface de management est un générateur de texte sans accès privilégié. Le parseur est la frontière de confiance. L’applier est un ensemble d’appels internes gouvernés qui ne s’exécute que lorsqu’un artefact vérifié et validé est stagé, puis s’arrête. La boîte n’a aucun canal de mutation live : image, OS et configuration sont tous des flux artefact-entrant. C’est du GitOps pour une appliance industrielle air-gap.

Contract catalog. L’ensemble complet des contrats du déploiement. Versionné. Découvrable via l’API de requête structurée. Une communication sans entrée de catalogue est un défaut de déploiement : elle est empêchée là où l’architecture peut l’imposer et signalée là où la prévention n’est pas possible.

Data contract. Description explicite d’une communication sur la boîte ou à travers ses frontières. Universel : inter-conteneurs, inter-zones, inter-côtés, externe et au niveau équipement. Une communication sans contrat est empêchée ou signalée. L’ensemble complet est le catalogue de contrats. Les boundary contracts en sont la spécialisation bilatérale pour chaque connexion qui sort de l’ACS. Synonymes rencontrés : bilateral data contract (cas frontière), SLA, consumer contract (quand un sens unique suffit).

Distributed (not federated). L’IIA est un maillage distribué d’unités identiques sous un seul opérateur. Ce n’est pas une fédération de parties indépendantes échangeant des données par traité. Distributed décrit à la fois la topologie et le modèle opérateur.

Edge profile. Le protocole de publication sortante parlé par la boîte dans un déploiement donné. Choisi par l’exploitant. L’architecture est agnostique au profil et n’en nomme aucun par défaut. MQTT + Sparkplug B convient au contrôleur↔broker de zone (PERA L1/L2). Au-dessus de L2, OPC UA pub/sub, API de requête structurée sur mTLS ou écriture batch vers un lake BI sont généralement mieux adaptés.

Fractal. Propriété de déploiement de l’IIA : une boîte à la tête de chaque zone. À l’intérieur, des données de contrôle gouvernées par SRP ; à la boîte, elles deviennent de l’information gouvernée par CIA et sont publiées de façon sécurisée vers tout consommateur de la zone. Les équipements à l’intérieur peuvent avoir n’importe quel niveau de sécurité ; la frontière de sécurité vit à la gateway. La boîte observe le trafic sur le substrat ACS et interroge activement les équipements qui le permettent ; les deux alimentent l’historien décentralisé. La publication sortante sécurisée est le seul accès à la zone depuis l’extérieur. L’unité est identique à chaque zone ; c’est l’exploitant qui définit ce qu’est une zone, et aucune tour PERA L1-L5 n’est imposée. La collecte centralisée n’est pas une autre architecture ; c’est la même unité à portée plus large. Le fractal ne s’effondre pas au sommet. L’orchestration des mises à jour est elle aussi fractale : chaque boîte de portée supérieure gère les mises à jour de ses enfants.

IEC 62443. Norme de cybersécurité industrielle. Définit les niveaux de sécurité (SL1-SL4) et les exigences fondamentales (FR1-FR7). L’IIA cible un plancher SL3 en mode logiciel seul et SL4 via le mode two-box avec diode de données matérielle.

Inter-box mesh substrate. Rôle architectural distinct du bus intra-boîte et de l’edge publisher. Permet à une boîte d’une portée de requêter ou s’abonner à une boîte d’une autre portée, à travers le fractal. Optionnel : des motifs explicites de pull amont fonctionnent sans lui. Les routeurs fédérés Eclipse Zenoh remplissent naturellement ce rôle ; les cascades de brokers MQTT et les overlays mTLS custom sont des alternatives.

IO master. Un rôle : observateur indépendant du substrat d’E/S, exécuté dans sa propre zone avec sa propre identité SPIFFE et sa propre clé d’attestation. Recoupe les lectures issues de la capture primaire de la boîte contre un canal d’observation indépendant couvrant E/S analogiques, fieldbus et Ethernet industriel. L’indépendance du chemin d’observation est la propriété porteuse ; partager une NIC, un port de switch ou une pile logicielle avec la capture primaire annule la valeur d’attestation. Les constats sont émis sous attestation.io.

ISA-95. Modèle canonique d’interface IT↔ACS, surtout pour les industries de procédé. Décrit le modèle de données qu’un consumer de portée supérieure attend lorsque des données ACS franchissent la frontière et deviennent de l’information. L’IIA n’impose pas ISA-95 à l’edge ; la modélisation de schéma vit à une portée plus large ; mais la boîte est pensée pour alimenter sans friction des consumers modélisés ISA-95.

Managed Trust. Cadre PERA pour le côté ACS de la frontière de domaine. Chaque équipement et chaque procédé est connu, identifié et imputable au responsable opérationnel. La boîte termine le Zero Trust côté IT et commence le Managed Trust côté ACS.

MCP (Model Context Protocol). Protocole ouvert développé par Anthropic pour donner aux agents IA accès à des outils et ressources. Dans l’IIA, les serveurs MCP tournent hors boîte à une portée plus large ; la boîte expose i3X sur mTLS, et un serveur MCP encapsule i3X pour les agents IA. Le transport canonique Streamable HTTP de MCP est incompatible avec la règle « pas de HTTP à la frontière », donc le serveur MCP est toujours hors boîte. C’est le motif connect-first -> model-second -> AI-third rendu concret.

MQTT. Protocole léger de publication / abonnement. Adapté au contrôleur↔broker de zone (PERA L1/L2) lorsqu’il est couplé à Sparkplug B pour la couche schéma. Au-dessus de L2, préférer OPC UA pub/sub, API de requête structurée sur mTLS ou écriture batch vers un lake BI.

OPC UA. Protocole industriel pub/sub et request/response. Choix fréquent de profil edge au-dessus de L2. Utilisé par la boîte à la fois pour l’observation passive côté ACS et pour la publication sortante selon le déploiement.

Orchestrate. Verbe pour les flux transactionnels : synchrones, accusés, traçables bout en bout. Les opérations MES/MOM, accusés d’ordres de travail et téléchargements de recettes sont orchestrés. Ils passent par l’API de requête structurée ou un canal transactionnel dédié, jamais par l’edge publisher. Va par paire avec choreograph.

Parser as trust boundary. Le parseur à grammaire contrainte, non Turing-complete, qui admet la configuration dans la boîte. Le même rôle architectural pour la configuration que l’admission runtime joue pour les workloads, et que la vérification cosign joue pour les images. Format choisi par l’exploitant : CUE, KCL, Dhall, JSON validé par schéma, etc. Suffisamment petit pour être auditable ; une grammaire Turing-complete fait perdre la propriété de sécurité.

PERA+. Architecture de référence maintenue par Gary Rathwell chez Entercon (pera.net), sous licence CC BY-SA 4.0. Définit les niveaux hiérarchiques, les frontières de zone et les 4Rs. L’IIA s’aligne sur PERA+ et adopte : les 4Rs, les conventions de diagrammes CIAD/CIND, le cadrage Zero Trust ↔ Managed Trust, et le principe de « secure interfaces, not integration ».

RACI matrix. Dans un boundary contract, les parties désignées comme responsables et redevables pour chaque mode de défaillance : Responsible, Accountable, Consulted, Informed. Le mécanisme par lequel « l’ACS n’est jamais le côté sans reçus » devient opérationnel.

SAIC. Safety, Availability, Integrity, Confidentiality. Extension de CIA utilisée dans PERA, avec Safety en préfixe. Le bon cadre pour les systèmes IT qui touchent une information critique pour la sécurité : historiens, magasins d’audit, tableaux de bord destinés au régulateur. Ne gouverne pas l’ACS lui-même. SRP et SAIC ne sont pas des variantes d’un même ordre ; ils décrivent des substrats différents.

SDN policy plane. Couche de prévention optionnelle mais recommandée lorsqu’elle est disponible : politique réseau programmable compilée à partir du catalogue de contrats et appliquée au fabric. Là où elle est déployée, les conduits n’existent sur le fil que là où le catalogue les autorise. Cilium/eBPF à l’échelle appliance ; OVN à l’échelle multi-hôte. Les déploiements sans SDN restent valides ; ils s’appuient sur le triptyque de prévention hôte (pare-feu noyau + SPIFFE + admission), plus mTLS, plus l’observateur d’attestation IDS capable d’alerter. L’exigence dure de l’architecture est qu’une attestation réseau puisse alerter ; le SDN renforce la prévention sans remplacer l’attestation.

Security Level (SL1-SL4). Gradation par l’IEC 62443 des capacités de cybersécurité. Le mode logiciel seul de l’IIA cible SL3 (segmentation + authentification + audit + sortie push-only sur le profil edge choisi par l’exploitant). Le mode two-box de l’IIA atteint SL4 via la diode matérielle et la séparation physique. SL1 et SL2 sont du SL3 avec des contrôles relâchés par politique de déploiement, pas des produits séparés. SL3 ne force pas l’unidirectionnalité ; c’est la promesse de SL4.

Sovereignty. L’unité est le système complet pour sa zone et fonctionne sans connectivité amont. La souveraineté n’est pas l’isolement : les historiens sur des boîtes adjacentes peuvent se connaître sans devenir dépendants les uns des autres. La conscience est mutuelle ; la dépendance ne l’est pas. La contrainte est « pas de dépendance », pas « pas de connaissance ».

Sparkplug B. Couche schéma et état de session au-dessus de MQTT. Adaptée au contrôleur↔broker de zone (PERA L1/L2). Transporte variables de procédé et sémantiques de rebirth pour des publishers connus. Mauvais profil edge au-dessus de L2 ; les tempêtes de rebirth et le comportement de QoS dégradant l’intégrité sortent de son enveloppe de conception.

SRP. Safety, Reliability, Performance. Le vocabulaire de l’action physique et de la physique. Gouverne le substrat ACS. Reliability et Performance sont des propriétés du système physique ; Safety est ce que le système protège. Le bon ordre de priorité pour l’ACS, tel qu’articulé par Robert Radvanovsky chez Infracritical. Un outil de sécurité qui compromet l’un des trois n’est pas un outil de sécurité.

Structured query API. Interface pull-mode de la boîte. Authentifiée en mTLS, non HTTP. Candidats selon le déploiement : CESMII i3X, gRPC, NATS req/reply, OPC UA req/reply, Zenoh queryables, MCP-over-mTLS. Le catalogue de contrats fait partie des ressources découvrables via cette API.

Two-Box Method. Formulation canonique de la segmentation ACS/IT physiquement imposée : deux boîtes et une diode de données matérielle. Documentée par John Rinaldi et Gary Workman dans The Everyman’s Guide to EtherNet/IP Network Design (Real Time Automation, 2022, ISBN 9798839986152), à partir de l’expérience de Workman sur les réseaux EtherNet/IP de General Motors. L’IIA généralise ce motif en logiciel au SL3 et le déploie nativement au SL4.

Update orchestration (fractal). Chaque boîte de portée supérieure gère les mises à jour de ses enfants : publie un manifeste d’état désiré (hash d’image OS, hash de config, hashes de jeux de règles, artefacts d’approbation), reçoit l’état rapporté (hashes en cours, attestation, audit). Aucun serveur global de mise à jour ; la source de vérité de la flotte vit à la portée que l’exploitant administre. Les enfants récupèrent les manifestes à cadence définie, convergent vers l’état déclaré et rapportent en retour. Pull-only, mTLS, aucun listener entrant, aucun HTTP sortant. Les boîtes déconnectées convergent vers l’état désiré lorsqu’elles se reconnectent, au rythme de l’exploitant via des approbations encore valides.

Role addressing. Convention de nommage pour les rôles architecturaux de la secure edge gateway. Forme de spécification : une étiquette courte, minuscule et avec tirets (witness, lake, io-master, diode-in, bus, audit, attest, publish, api, tunnel, ui, cfg). Forme de déploiement : un nom hiérarchique leaf-first qui s’étend vers la droite à travers l’identité de la gateway et la hiérarchie ISA-95 de l’exploitant — <role>.<gateway>.<work-unit>.<work-center>.<area>.<site>.local. La convention est leaf-first pour correspondre au fonctionnement de la résolution DNS et à l’écriture habituelle des hiérarchies ISA-95. L’architecture impose la convention, pas une implémentation DNS. Les opérateurs peuvent la réaliser sur une zone DNS sémantique, un arbre LDAP, une hiérarchie UNS ou leur propre registre d’actifs. La partition (acs / dmz / it / mgmt) est un attribut documenté du rôle, pas une partie du FQDN. Les topics d’événements (attestation.*, contract.*, security.*) utilisent un ordre root-first pour correspondre aux conventions de brokers et constituent un axe séparé du role addressing.

Witness. Rôle d’observation passive de la secure edge gateway sur le substrat ACS. La NIC tournée vers l’ACS est RX-only, sans transmission de pile IP ni listeners ; elle observe le trafic via port miroir, tap réseau ou équivalent. Witness produit des enregistrements à partir de ce qu’il voit sur le fil : entêtes de protocoles, flux de paquets, conversations de réseaux de contrôle, trafic broadcast. Contrairement à active poll, witness ne requiert aucune coopération des équipements de la zone et ne peut pas être refusé. Witness est le plancher : il est toujours disponible et c’est ce qui rend viable le brownfield lorsque l’active poll est impossible ou dangereuse. L’active poll s’ajoute par-dessus quand l’équipement le permet et que l’exploitant l’autorise. Les deux alimentent l’historien décentralisé. Identifiant de rôle : witness (partition : acs).

Zenoh. Protocole open source Eclipse combinant pub/sub, queryable et routeurs fédérés. Particulièrement intéressant dans l’IIA parce qu’il peut remplir plusieurs rôles sur un seul protocole : edge publisher, API de requête structurée, bus in-flight et maillage inter-boîtes. Pas de tempête de rebirth ni de pathologie QoS-1/2 dégradant l’intégrité. Licence Apache 2.0.

Zero Trust. Cadre PERA pour le côté IT de la frontière de domaine. Chaque action est considérée non digne de confiance tant qu’elle n’a pas été authentifiée. La boîte termine le Zero Trust côté IT et commence le Managed Trust côté ACS.

Zone. L’unité d’exploitation industrielle au sens de l’IEC 62443. L’unité de déploiement de l’IIA : une boîte par zone.