IIA Industrial Independence Alliance

Pilier IV · position

Notre philosophie.

Les systemes de controle agissent sur la physique, pas sur l'information. L'architecture suit de cette distinction.

La facon dont nous pensons le substrat dans lequel Le terrain travaille, le chemin autour de Le probleme, et l'ancrage de Notre position. L'architecture en est la consequence.

§ La distinction de substrat

L’erreur de la derniere decennie.

Les modeles du domaine de l'information — CIA et ses derives — ont ete importes de l'IT d'entreprise et appliques a des systemes qui operent sur des processus physiques. L'architecture est devenue fragile. La securite est devenue performative. Le modele pousse par les editeurs promettait une integration sans couture ; ce qu'il a livre, c'est une complexite extractive et une surface d'attaque inutile.

La correction est en amont de l'architecture : posez correctement le substrat, et le reste suit.

The domain boundary — ACS versus IT Horizontal diagram showing two domains separated by the IIA box. Left: ACS domain — physics, action, real-time. Governed by SRP: Safety, Reliability, Performance. Security model: Managed Trust. Center: the IIA box — the boundary. The moment a value stops requiring real-time action and becomes a record, it crosses this boundary. Right: IT domain — records, information, historical. Governed by CIA: Confidentiality, Integrity, Availability. Security model: Zero Trust. ACS Automation & Control Systems SRP Triad S Safety R Reliability P Performance Acts on physics Valves · interlocks · loops Real-time determinism required Managed Trust The box the boundary inbound (ACS-facing) passive · RX-only · ACS NIC internal DMZ bus · audit · attestation outbound (IT-facing) push · query · mTLS · no HTTP value becomes a record at this crossing ACS → IT boundary IT Information Technology CIA Triad C Confidentiality I Integrity Availability Operates on records Historical · information · reports Best-effort latency acceptable Zero Trust data out record Zero Trust ⇆ Managed Trust
The domain boundary — SRP governs the ACS substrate · CIA governs information · PERA+ framing: Zero Trust ↔ Managed Trust

§ Pourquoi SAIC echoue comme modele OT

La securite n’est pas un addendum.

SAIC prend la triade du domaine de l'information — Disponibilite, Integrite, Confidentialite — et y prepend la securite. La structure trahit le geste : la securite est ajoutee, pas fondatrice. Le modele est juste pour des systemes IT qui touchent une information critique pour la securite — historiens, magasins d'audit, tableaux de bord destines au regulateur. Pour eux, SAIC est le bon cadre.

Etendu vers le bas pour gouverner l'ACS lui-meme, il echoue. L'ACS n'opere pas sur des enregistrements. Il opere sur l'action et la physique — une vanne qui bouge, un verrouillage qui s'enclenche, une boucle qui se ferme dans son temps requis. La fiabilite et la performance sont des proprietes du systeme physique. La securite est ce que le systeme physique protege. C'est un substrat different de l'information. Il lui faut un modele different.

« La securite vient en premier. Toujours. »

— La triade SRP,
Robert Radvanovsky, Infracritical

Lire la source →

§ Les principes

Sept principes. Non negociables.

Derives des realites du controle des processus physiques. Le principe 00 nomme le substrat. Les principes 01–06 en decoulent.

  1. 00

    La physique l'emporte sur l'information

    Les systemes de controle agissent sur la physique. L'information est l'enregistrement qui suit. Traiter l'ACS comme de l'information est un mauvais point de depart — chaque decision architecturale en aval herite de cette erreur.

  2. 01

    Securite. Fiabilite. Performance. Dans cet ordre.

    SRP gouverne le substrat ACS. La securite n'est pas un addendum ; c'est ce que le systeme physique protege. La fiabilite et la performance sont des proprietes de ce systeme. Les modeles centres sur l'information — CIA, AIC, SAIC — sont les mauvais outils pour ce qui agit sur la physique. D'apres Robert Radvanovsky, Infracritical.

    srpmodel.infracritical.com

  3. 02

    La realite operationnelle dicte la conception

    Les environnements industriels ne sont pas des datacenters. Il n'existe pas de reseau OT unique — un site industriel possede de nombreux reseaux de controle, chacun avec sa propre entite de gestion. Il n'existe pas de directeur executif unique de l'OT. Les 4R de PERA+ — Response, Resolution, Reliability, Resilience — determinent ou les applications doivent vivre. Les conceptions reseau, le materiel, le logiciel, les historiens et les services IP de zone (DHCP, DNS, NTP, fichiers) doivent etre decentralises pour correspondre au substrat qu'ils servent. D'apres Gary Workman, Two-Box Method (RTA, 2022).

    pera.net

  4. 03

    La complexite est l'ennemie de la fiabilite

    Un OT robuste est simple, previsible, deterministe. Chaque dependance, fonctionnalite ou chemin de communication supplementaire introduit de la fragilite et augmente la surface d'attaque. L'objectif est de concevoir des systemes faciles a comprendre, a maintenir et a securiser — justement parce qu'il y a moins a comprendre, maintenir et securiser.

  5. 04

    La securite est une propriete architecturale

    La posture la plus efficace pour l'OT est une separation deliberée et maitrisee des reseaux non fiables, en particulier de l'environnement IT de l'entreprise. PERA+ formule cela par « secure interfaces, not integration ». IIA rejette entierement le cadre de la « convergence IT/OT » — il n'y a pas de fusion a concevoir, seulement une interface a faire respecter. La rupture culturelle s'est aggravee lorsque les reseaux ont ete relies par des infrastructures partagees au lieu de passer par des passerelles ; une passerelle est un terminal avec un seul proprietaire. La vraie securite est integree, jamais boulonnee apres coup, et ne s'achete pas.

  6. 05

    Chaque frontiere est formalisee

    Les flux de donnees qui sortent de l'ACS sont documentes, limites et gouvernes par des contrats bilateraux avec des matrices RACI explicites pour chaque mode de defaillance. Ces conduits sont des perimetres de securite qui exigent la meme rigueur que des interfaces externes. Les demandes informelles de « visibilite » qui contournent ce processus sont des attaques contre l'architecture, intentionnelles ou non.

  7. 06

    Donner du pouvoir au praticien

    L'actif le plus precieux est la connaissance des praticiens qui conçoivent, implementent et maintiennent ces systemes. Les normes doivent etre adaptables au terrain. L'experience pratique avant les certifications editeur. L'Alliance existe pour rendre accessibles des normes comme IEC 62443 — pour les rendre a ceux qui exploitent reellement l'usine.

§ La these

L'independance industrielle n'est pas une position technologique. C'est une position de souverainete operationnelle. L'entite qui controle l'infrastructure d'automatisation controle l'operation.

L'installation qui depend d'une connectivite externe pour la visibilite de base du procede, l'acces a l'historien, la surveillance de securite ou l'infrastructure IP du reseau de cellule lui-meme (DHCP, DNS, NTP, fichiers) n'est pas souveraine. L'historien est le cas porteur : un historien centralise — possede par un editeur, hors site, joignable seulement quand le WAN tient — est un echec de souverainete par conception. IIA place un historien decentralise dans chaque zone : les donnees de l'operateur, le substrat de l'operateur, l'audit de l'operateur, completement operants sans cloud. IIA fournit le motif architectural qui fait de la souverainete l'etat par defaut plutot que l'aspiration.

Centralized vs decentralized historian Side-by-side comparison. Left panel: centralized historian — one server upstream, every plant zone a thin client, WAN-dependent, single point of failure, vendor lock-in. Right panel: decentralized historian — one historian per zone on each IIA box, sovereign and complete, awareness without dependency. Centralized historian Vendor-hosted historian off-site · WAN-dependent WAN Zone A thin client Zone B thin client Zone C thin client WAN down → no historian Vendor removed → data held hostage Single point of failure by design Vendor wedge between operator and own data × Decentralized historian box zone A historian box zone B historian box zone C historian optional awareness · no dependency Operator owns substrate WAN down → historian still runs Vendor removed → data stays Sovereignty at every zone, by default The historian is the load-bearing case for operational sovereignty.
Centralized vs decentralized historian — sovereignty by architecture, not by policy
Lire L'architecture →

§ Antecedents cites

Travaux independants que l'Alliance credite comme substrat de la position qu'elle construit. Infracritical, Entercon, ISA et IEC sont des organisations independantes. Aucune n'est affiliee a l'Alliance ni aux autres.

  • SRP Triad — Robert Radvanovsky / Infracritical. Le fondement du modele de substrat ACS. srpmodel.infracritical.com
  • PERA+ — Gary Rathwell / Entercon. L’architecture de reference pour l’organisation de l’entreprise industrielle ; source des 4R, des conventions de diagrammes CIAD/CIND et de la position « secure interfaces, not integration ». pera.net
  • La methode deux-boites — John Rinaldi & Gary Workman. L’articulation canonique de la segmentation ACS/IT imposee physiquement. The Everyman's Guide to EtherNet/IP Network Design (RTA, 2022).
  • IEC 62443 — cybersecurite pour l’automatisation industrielle. SL1–SL4, FR1–FR7. L’Architecture vise un plancher SL3 / SL4 via diode.
  • ISA-95 — la charpente canonique de modelisation des donnees IT↔ACS.

§ Implementations de reference

  • MarlinSpike — le successeur maintenu et multi-utilisateur du GrassMarlin de la NSA. Atelier open source de topologie OT/ICS passive. Les captures entrent, zero paquet ne sort. grassmarlin.com →
  • Conversational Factory — plateforme OT en lecture seule. DPI temoin sur le fil sur 34 protocoles, lac de donnees medallion, surface de requete i3X v1 + MCP pour operateurs et clients IA, chaque reponse liee a une chaine d’audit append-only. conversationalfactory.com →