IIA Industrial Independence Alliance

Pilier IV · position

Notre philosophie.

Les systemes de controle agissent sur la physique, pas sur l'information. L'architecture suit de cette distinction.

§ Controle n'est pas information

L'erreur de la derniere decennie.

Les modeles de l'information - CIA et ses derives - ont ete importes de l'IT d'entreprise et appliques a des systemes qui agissent sur la physique. L'architecture est devenue fragile. La securite est devenue cosmetique. Le modele vendu promettait une integration sans couture ; il a livre de la complexite et de la surface d'attaque.

La correction est simple : utilisez le bon modele pour ce que vous gouvernez. SRP pour le controle, CIA pour l'information.

The domain boundary - ACS versus IT Horizontal diagram showing two domains separated by the IIA box. Left: ACS domain - physics, action, real-time. Governed by SRP: Safety, Reliability, Performance. Security model: Managed Trust. Center: the IIA box - the boundary. The moment a value stops requiring real-time action and becomes a record, it crosses this boundary. Right: IT domain - records, information, historical. Governed by CIA: Confidentiality, Integrity, Availability. Security model: Zero Trust. ACS Automation & Control Systems SRP Triad S Safety R Reliability P Performance Acts on physics Valves · interlocks · loops Real-time determinism required Managed Trust The box the boundary inbound (ACS-facing) poll · capture · classify internal DMZ bus · audit · attestation outbound (IT-facing) push · query · mTLS value becomes a record at this crossing ACS → IT boundary IT Information Technology CIA Triad C Confidentiality I Integrity Availability Operates on records Historical · information · reports Best-effort latency acceptable Zero Trust data out record Zero Trust ⇆ Managed Trust
The domain boundary - SRP governs the ACS substrate · CIA governs information · PERA+ framing: Zero Trust ↔ Managed Trust

§ Pourquoi SAIC echoue comme modele de controle

La securite n’est pas un addendum.

SAIC prend la triade du domaine de l'information - Disponibilite, Integrite, Confidentialite - et y prepend la securite. La structure trahit le geste : la securite est ajoutee, pas fondatrice. Le modele est juste pour des systemes IT qui touchent une information critique pour la securite - historiens, magasins d'audit, tableaux de bord destines au regulateur. Pour eux, SAIC est le bon cadre.

Etendu vers le bas pour gouverner l'ACS lui-meme, il echoue. L'ACS n'opere pas sur des enregistrements. Il opere sur l'action et la physique - une vanne qui bouge, un verrouillage qui s'enclenche, une boucle qui se ferme dans son temps requis. La fiabilite et la performance sont des proprietes du systeme physique. La securite est ce que le systeme physique protege. C'est un substrat different de l'information. Il lui faut un modele different.

« La securite vient en premier. Toujours. »

- La triade SRP,
Robert Radvanovsky, Infracritical

Lire la source →

§ Les principes

Sept principes. Non negociables.

Tires de la realite du controle de procedes physiques. Le principe 00 fixe le point de depart : la physique l'emporte sur l'information. Les principes 01-06 en decoulent.

  1. 00

    La physique l'emporte sur l'information

    Les systemes de controle agissent sur la physique. L'information est l'enregistrement qui suit. Traiter l'ACS comme de l'information est un mauvais point de depart - chaque decision architecturale en aval herite de cette erreur.

  2. 01

    Securite. Fiabilite. Performance. Dans cet ordre.

    SRP gouverne le substrat ACS. La securite n'est pas un addendum ; c'est ce que le systeme physique protege. La fiabilite et la performance sont des proprietes de ce systeme. Les modeles centres sur l'information - CIA, AIC, SAIC - sont les mauvais outils pour ce qui agit sur la physique. D'apres Robert Radvanovsky, Infracritical.

    srpmodel.infracritical.com

  3. 02

    La realite operationnelle dicte la conception

    Les environnements industriels ne sont pas des datacenters. Il n'existe pas de reseau de controle unique - un site industriel possede de nombreux reseaux de controle distincts, chacun avec sa propre entite de gestion. Il n'existe pas de directeur executif unique de l'Exploitation Manufacturiere. Les 4R de PERA+ - Response, Resolution, Reliability, Resilience - determinent ou les applications doivent vivre. Les conceptions reseau, le materiel, le logiciel, les historiens et les services IP de zone (DHCP, DNS, NTP, fichiers) doivent etre decentralises pour correspondre au substrat qu'ils servent. D'apres Gary Workman, Two-Box Method (RTA, 2022).

    pera.net

  4. 03

    La complexite est l'ennemie de la fiabilite

    Une Exploitation Manufacturiere robuste est simple, previsible, deterministe. Chaque dependance, fonctionnalite ou chemin de communication supplementaire introduit de la fragilite et augmente la surface d'attaque. L'objectif est de concevoir des systemes faciles a comprendre, a maintenir et a securiser - justement parce qu'il y a moins a comprendre, maintenir et securiser.

  5. 04

    La securite est une propriete architecturale

    La posture la plus efficace pour l'Exploitation Manufacturiere est une separation deliberée et maitrisee des reseaux non fiables, en particulier de l'environnement IT de l'entreprise. PERA+ formule cela par « secure interfaces, not integration ». IIA rejette entierement le cadre de la « convergence IT/Operations » - il n'y a pas de fusion a concevoir, seulement une interface a faire respecter. La rupture culturelle s'est aggravee lorsque les reseaux ont ete relies par des infrastructures partagees au lieu de passer par des passerelles ; une passerelle est un terminal avec un seul proprietaire. La vraie securite est integree, jamais boulonnee apres coup, et ne s'achete pas.

  6. 05

    Chaque frontiere est formalisee

    Les flux de donnees qui sortent de l'ACS sont documentes, limites et gouvernes par des contrats bilateraux avec des matrices RACI explicites pour chaque mode de defaillance. Ces conduits sont des perimetres de securite qui exigent la meme rigueur que des interfaces externes. Les demandes informelles de « visibilite » qui contournent ce processus sont des attaques contre l'architecture, intentionnelles ou non.

  7. 06

    Donner du pouvoir au praticien

    L'actif le plus precieux est la connaissance des praticiens qui conçoivent, implementent et maintiennent ces systemes. Les normes doivent etre adaptables au terrain. L'experience pratique avant les certifications editeur. L'Alliance existe pour rendre accessibles des normes comme IEC 62443 - pour les rendre a ceux qui exploitent reellement l'usine.

§ L'essentiel

Qui controle l'infrastructure d'automatisation controle l'usine. Si ce n'est pas vous, c'est quelqu'un d'autre.

Une usine qui depend d'une connexion externe pour voir son procede, atteindre son historien, surveiller sa securite, ou pour les services IP de base de la cellule (DHCP, DNS, NTP, fichiers) n'est pas independante. L'historien en est l'exemple cle : un historien central - possede par un fournisseur, hors site, joignable seulement quand le WAN tient - tombe quand le WAN tombe. IIA place un historien dans chaque zone : les donnees, le reseau et l'audit sont a l'exploitant, fonctionnent sans cloud.

Centralized vs decentralized historian Side-by-side comparison. Left panel: centralized historian - one server upstream, every plant zone a thin client, WAN-dependent, single point of failure, vendor lock-in. Right panel: decentralized historian - one historian per zone on each IIA box, sovereign and complete, awareness without dependency. Centralized historian Vendor-hosted historian off-site · WAN-dependent WAN Zone A thin client Zone B thin client Zone C thin client WAN down → no historian Vendor removed → data held hostage Single point of failure by design Vendor wedge between operator and own data × Decentralized historian box zone A historian box zone B historian box zone C historian optional awareness · no dependency Operator owns substrate WAN down → historian still runs Vendor removed → data stays Sovereignty at every zone, by default The historian is the load-bearing case for operational sovereignty.
Centralized vs decentralized historian - sovereignty by architecture, not by policy
Lire L'architecture →

§ Antecedents cites

Travaux independants que l'Alliance credite comme substrat de la position qu'elle construit. Infracritical, Entercon, ISA et IEC sont des organisations independantes. Aucune n'est affiliee a l'Alliance ni aux autres.

  • SRP Triad - Robert Radvanovsky / Infracritical. Le fondement du modele de substrat ACS. srpmodel.infracritical.com
  • PERA+ - Gary Rathwell / Entercon. L’architecture de reference pour l’organisation de l’entreprise industrielle ; source des 4R, des conventions de diagrammes CIAD/CIND et de la position « secure interfaces, not integration ». pera.net
  • La methode deux-boites - John Rinaldi & Gary Workman. L’articulation canonique de la segmentation ACS/IT imposee physiquement. The Everyman's Guide to EtherNet/IP Network Design (RTA, 2022).
  • IEC 62443 - cybersecurite pour l’automatisation industrielle. SL1–SL4, FR1–FR7. L’Architecture vise un plancher SL3 / SL4 via diode.
  • ISA-95 - la charpente canonique de modelisation des donnees IT↔ACS.

§ Implementations de reference

  • MarlinSpike - le successeur maintenu et multi-utilisateur du GrassMarlin de la NSA. Atelier open source de topologie de controle passive. Les captures entrent, zero paquet ne sort. grassmarlin.com →
  • Conversational Factory - plateforme de controle en lecture seule. Observation passive sur de nombreux protocoles industriels, historien local, surface de requete i3X v1 + MCP pour exploitants et clients IA, chaque reponse liee a une chaine d’audit append-only. conversationalfactory.com →