IIA Industrial Independence Alliance

Pilier III · position

Notre position.

Ce qui est du aux operations. Ce qui doit etre possede, repris, formalise, nomme.

Pas des demandes. Les termes operatoires d'un substrat dont les operations peuvent repondre.

Notre position

Le Terrain decrit les pieces dans lesquelles les operations travaillent. Le Probleme decrit ce qui fait obstacle. Ce document decrit ce que nous revendiquons - ce qui est du aux operations, ce qui doit etre possede, ce qui doit etre repris, ce qui doit etre formalise, ce qui doit etre nomme.

Ce ne sont pas des demandes. Ce sont les termes operatoires d’un substrat dont les operations peuvent repondre. L’architecture est ce qui les rend livrables.

Sommaire

Ce que les operations possedent

Les operations possedent le substrat dont la production depend. Elles ne le consomment pas via un help desk. Elles ne le demandent pas via un ticket de service. Elles le possedent.

  • Le reseau Exploitation Manufacturière. Les commutateurs, les cables, l’infrastructure sans fil a l’interieur de la zone. Configure, maintenu et possede par l’operateur. Pas une branche aval de la fabrique de commutation de l’entreprise.
  • Les services IP de la zone. DHCP, DNS, NTP, partages de fichiers, PKI optionnelle dans la cellule. Decentralises. Par zone, pas par entreprise. Fonctionnels sans WAN.
  • L’historien. Decentralise. Local a la zone. Les donnees de l’operateur, sur le materiel de l’operateur, interrogeables sans dependance externe. Un historien centralise joignable seulement quand le WAN est disponible est un echec de souverainete par conception.
  • La chaine d’audit. Liee par hachage, append-only, interrogeable. La trace de l’operateur sur qui a fait quoi, quand, du cote operateur de la frontiere.
  • La configuration. Un artefact declaratif signe. Versionne. Auditable. Applique via un parseur controle, pas pousse par un agent de gestion distant que l’operateur ne possede pas.
  • La frontiere. Les conduits qui sortent de l’ACS sont a l’operateur : a lui de les declarer, de les formaliser et de les faire respecter.

Ce qui est repris a lIT

Les operations ne sont pas en guerre avec l’IT. Le sujet n’est pas l’opposition. Le sujet est que le substrat de la production a ete donne au mauvais proprietaire, et que le mauvais proprietaire l’a eu assez longtemps pour que le cout devienne visible. Le substrat revient.

  • Le controle du reseau. Les commutateurs de l’Exploitation Manufacturière sous gestion de l’exploitant. Pas une extension de la fabrique de commutation de l’entreprise. Pas des VLAN que l’ingenieur controle ne peut ni voir ni atteindre.
  • Le controle des fenetres de patch. Les mises a jour du materiel se font selon le calendrier des operations, contre leur manifeste d’etat intentionnel, avec leur approbation. Pas sur le cycle trimestriel de conformite de l’IT. Un redemarrage de trente secondes d’un switch est invisible dans un bureau et catastrophique sur un convoyeur.
  • Le controle de l’acces distant fournisseur. Chaque chemin entrant vers l’ACS est un conduit contractuel a travers la boite de l’operateur, identifie, authentifie, audite. Aucun identifiant emis par l’IT ne se termine a l’interieur de l’ACS.
  • Le controle du calcul cote operations. L’historien, les postes d’ingenierie, les IHM, les boites passerelles - possedes par les operations, sur le materiel des operations, sur le substrat des operations. Pas dans un datacenter IT que l’operateur ne peut meme pas penetrer.
  • La frontiere elle-meme. La ligne entre IT et Exploitation Manufacturière a ete tracee par l’IT dans la plupart des usines. Elle est retracee par l’architecture, selon des termes que les operations peuvent articuler et defendre.

Des SLA qui correspondent a la production

L’accord de niveau de service selon lequel fonctionne le help desk a ete concu pour un bureau. L’usine vit selon une autre horloge. Les pertes de production se composent a la minute. Une premiere reponse sous quatre heures lors d’une urgence du vendredi soir n’est pas un niveau de service. C’est un abandon.

Les operations tiennent l’IT a des SLA qui correspondent a la consequence de la defaillance :

  • Reponse par la personne qui peut corriger. Pas un createur de ticket. Pas un analyste de niveau un. L’ingenieur qui peut faire le changement.
  • Des horloges qui correspondent aux delais de production. Des minutes, pas des heures. Des heures, pas des jours. Les week-ends ne sont pas exempts.
  • La reconnaissance que la perte composee est une perte. Dix mille dollars par heure pendant soixante heures, c’est six cent mille dollars. Un SLA qui permet que cela s’accumule est un SLA qui facture aux operations le processus de l’IT.

Ce sont les termes que les operations imposeraient a un fournisseur qu’elles paient pour le service. L’IT interne, lorsqu’il se trouve du cote operations de la frontiere, est tenu aux memes termes.

Des contrats avec lIT

Chaque flux de donnees qui traverse la frontiere est un engagement bilateral entre deux parties. L’architecture le formalise.

  • Le flux est decrit. Schema, rythme, charge utile, destination, identite.
  • Les deux cotes s’engagent. Les operations a produire selon la spec. L’IT a recevoir, authentifier, accuser reception et repondre dans l’enveloppe convenue.
  • Les modes de defaillance sont nommes. Une matrice RACI est publiee pour chaque facon dont le flux peut tomber en panne. Qui est responsable. Qui est comptable. Qui est consulte. Qui est informe.
  • L’adherence est mesuree. La telemetrie enregistre la connectivite, la livraison, l’auth, le schema, les quotas, la reconciliation, la verification d’audit, les violations de SLA et les ecarts. Des recus de qui a tenu sa partie.

Une frontiere sans contrats bilateraux n’est qu’une poignee de main. Les poignees de main ne survivent pas aux changements de personnel.

La separation comme architecture, pas comme politique

La separation n’est pas une posture. C’est une propriete architecturale.

La frontiere entre IT et Exploitation Manufacturière n’est pas appliquee par la politique, par la confiance ou par l’intention. Elle est appliquee par :

  • Zero Trust ↔ Managed Trust. La boite termine Zero Trust du cote IT et commence Managed Trust du cote ACS. Le cadrage de PERA+, rendu concret.
  • Le partitionnement interne a trois cotes. Entrant (cote ACS), DMZ interne, sortant (cote IT). L’entree et la sortie ne peuvent pas conduire directement l’une vers l’autre. Tout trafic traverse la DMZ.
  • Exposition minimale a la frontiere. Aucun service n’expose HTTP - ou toute autre interface - au-dela de ce dont il a besoin, a l’interieur comme a l’exterieur. Les mises a jour et deltas arrivent par bundles signes ou deltas tunnels sur mTLS.
  • Le catalogue de contrats qui fait respecter ce qui peut exister sur le fil. La communication sans contrat est empechee ou signalee. Il n’existe pas de chemin silencieux.
  • L’attestation qui recoupe le trafic observe avec le catalogue et signale toute derive avec la meme severite que les evenements de securite.

Une politique peut etre revisee en reunion. L’architecture est plus difficile a reviser. C’est elle qui rend la frontiere durable.

La reconnaissance de lIT, de lOT et de lACS comme differents

La confusion est la source d’une grande partie des problemes. Trois substrats ont ete traites comme s’ils n’en formaient qu’un. Chacun a une physique differente, un horizon temporel different, un bon modele de securite different.

  • IT est le domaine de l’information. Des enregistrements. De l’historique. Confidentialite, Integrite, Disponibilite. CIA est le bon modele. L’industrie sait fonctionner ici.
  • Exploitation Manufacturière est le domaine des technologies operationnelles. Il inclut l’ACS mais est plus large - systemes de supervision, MES, historiens pour des donnees deja-information, pipelines BI, postes operateur, gestion d’actifs. Une grande partie de l’Exploitation Manufacturière est plus proche de l’IT que de l’ACS, mais avec des exigences de temporalite et de fiabilite differentes. SAIC est parfois le bon modele pour les systemes Exploitation Manufacturière qui manipulent une information critique pour la securite.
  • ACS (Automation and Control Systems) est le substrat qui agit sur la physique. Vannes. Verrouillages. Boucles. SRP - Securite, Fiabilite, Performance - est le bon modele. Les triades du domaine de l’information reposent sur le mauvais substrat, pas dans le mauvais ordre. D’apres Robert Radvanovsky, Infracritical.

Une discipline qui traite ces trois choses comme une seule discipline donne de mauvais conseils dans deux salles sur trois. Les operations s’en tiennent au vocabulaire, aux normes et aux organigrammes qui reconnaissent cette difference.

La reintroduction de lingenierie

L’automatisation industrielle a ete construite par des ingenieurs. Dans la plupart des usines, elle n’est pas maintenue aujourd’hui par des ingenieurs. Elle est maintenue par des integrateurs sous contrat, par des personnels IT qui ne travaillent pas sur des processus physiques, et par une population en diminution de seniors controle epuises et non remplaces.

L’ingenierie revient :

  • Dans la salle au moment ou l’architecture est decidee. Pas apres.
  • Au niveau du board. Un chief operations technology officer, ou l’equivalent, avec un siege la ou siegent le CIO et le CISO.
  • Dans la filiere de formation. Apprentissages, certifications, parcours compagnon qui produisent des personnes capables de configurer un switch, depanner un bus de terrain, ecrire un contrat et lire un schema unifilaire.
  • Comme discipline, pas comme role. Le jugement d’ingenierie est la competence porteuse. Les outils et les normes existent pour le soutenir, pas pour le remplacer.
  • Avec les normes entre les mains. IEC 62443 n’est pas de la PI fournisseur. ISA-95 n’est pas de la PI conseil. PERA+ n’est pas de la PI par abonnement. Les normes pretes pour le terrain appartiennent aux praticiens. L’Alliance existe pour les leur rendre.

Dependre d’un seul ingenieur systeme de controle irremplacable n’est pas de l’heroisme ; c’est un mode de defaillance institutionnel. La reintroduction de l’ingenierie supprime cette dependance.

Les cinq principes, revendiques

La page Architecture les nomme comme regles architecturales. Voici a quoi ressemble leur revendication du cote operateur :

  • Auto-suffisance. La zone fait tourner ses propres services - DHCP, DNS, NTP, partages de fichiers, historien, audit - sur le materiel de la zone. La connectivite est additive, jamais structurelle. Si le lien tombe, rien ne change sur site.
  • Admission selective. La posture par defaut est fermee. La surface d’attaque externe est reduite a aussi peu de points definis et durcis que l’exploitant peut gerer. L’acces est deliberé, specifique, revocable.
  • Controle du recit. La zone est l’autorite sur ce qu’elle partage, si elle partage quoi que ce soit. Si la donnee sort, elle est poussee vers l’exterieur, aux conditions de l’exploitant, sous une forme que l’exploitant controle. Rien ne revient.
  • Application de la frontiere. Les fonctions sont separees par des zones cloisonnees. Les conduits entre elles sont controles et surveilles en continu, avec alarme a la deviation - de la meme facon qu’on surveille une frontiere de procede.
  • Liaison contractuelle. Chaque conduit entre zones est gouverne par un contrat explicite : quelle donnee, dans quel sens, sous quelles conditions, avec quelle authentification. Le contrat est la consigne. Le trafic hors du contrat est une deviation, et les deviations sont rejetees.

Les trois contraintes dures

Les principes ne tiennent pas sans elles :

  • Ne jamais interferer avec le procede. L’architecture observe et rapporte. Elle n’agit pas sur le procede. Elle n’injecte pas, ne modifie pas, ne commande pas. La cellule d’automatisation est souveraine.
  • La priorite du signal de controle est absolue. Le trafic de controle temps-reel a toujours la priorite sur le trafic d’information. IA, historien, reporting, analytique - tous secondaires. Si le trafic d’information entre en contention avec le trafic de controle, c’est le trafic d’information qu’on laisse tomber.
  • Observer, jamais intercepter. La collecte est passive. Copier, jamais en ligne. Mirroir, jamais dans le chemin. L’architecture voit ce qui passe et en prend une copie. Elle n’est jamais dans le flux.

Ce sont les conditions de la souverainete operationnelle. Le Terrain est ce qui est. Le Probleme est ce qui fait obstacle. Notre Position est ce que nous tenons. Notre Philosophie est notre facon d’y penser. L’Architecture est ce que cette position deploie comme reponse.

§ Ensuite

Pilier IV

Notre philosophie.

Notre facon de penser le substrat. SRP gouverne l'ACS, CIA gouverne l'information.

Lire → Pilier V

L'architecture.

La specification technique. Une unite autonome dans chaque zone. Identique a tous les niveaux.

Lire →