Atténuation des risques pour la sécurité sur le panneau de commande

Résumé :

L’intégration de la sécurité au sein même des équipements et armoires informatiques est un atout essentiel, car elle permet aux ingénieurs responsables de la conception et du contrôle de protéger les réseaux et
équipements en architecturant la sécurité autour d’une protection multicouche interdépendante, sans avoir à modifier ni à remplacer des composants. Ces solutions de sécurité physiques permettent de gagner du temps et de réduire les coûts associés aux violations de la sécurité, aux interruptions du réseau, aux réparations et aux remplacements de matériel en cas de vol. Le présent article décrit une sélection de solutions de sécurité permettant de contrôler l’accès aux dispositifs d’automatisation, les accessoires qui offrent une solution sécurisée pour les composants, ainsi que des solutions garantissant la mise hors tension des équipements avant toute intervention sur le réseau électrique. Nous passerons également en revue les normes concernées,
dont l’UL 1436 et la NFPA 70E.

Les méthodes de fabrication de produits connaissent aujourd’hui des transformations significatives. Un aspect crucial de la prochaine révolution « Industrie 4.0 », qui est appelée à transformer radicalement le secteur de la fabrication, suppose l’accès à différents types de données et d’analyses tout au long du cycle de vie du produit, depuis la phase de création jusqu’à la gestion des commandes et à la réalisation finale. A la base du modèle conceptuel de l’accès aux données se trouve le réseau physique, ou l’infrastructure de communication. Les vulnérabilités qui caractérisent ces infrastructures sont aisément identifiables au niveau des couches physiques, et elles concernent tous les aspects du système.

Les systèmes d’usine intégrés nous donnent désormais accès à la quasi-totalité des données disponibles et ce, en temps quasi réel. Or, cette disponibilité se révèle à double tranchant. Côté avantages, il devient possible de consulter une grande quantité d’informations et d’enregistrements ‘origine. Mais en contrepartie, cette accessibilité facilitée suppose la mise en œuvre de normes ouvertes et la mise à disposition des données à tous les échelons de l’entreprise, avec toutes les failles qui s’ensuivent, notamment lorsque les réseaux ne sont pas protégés par une sécurité multicouche.

La sécurisation de l’infrastructure de données ne saurait être envisagée comme un objectif destiné à être atteint une fois au cours de la conception, puis relégué au second plan. Il s’agit, au contraire, d’un processus ininterrompu, qui doit commencer par une conception solide et se prolonger tout au long du cycle de fabrication.

Les systèmes d’ancienne génération présentent des risques plus élevés en matière de sécurité, car la conception des contrôles et de l’automatisation ne prenait alors en compte, ni pour le présent ni pour le futur, l’éventualité que la sécurité ou les failles continuent d’évoluer avec les nouvelles applications. Ces anciens systèmes occasionnent des risques supplémentaires pour les ingénieurs de contrôle dont le travail consiste à adapter les nouvelles technologies à des friches industrielles ou des systèmes existants.

Circulation et protection des données de production

Les données de production proviennent de périphériques placés en bordure de réseau, ou « edge ». Le traitement est exécuté au niveau de la couche applicative de l’edge, afin de répondre en temps réel aux changements détectés dans les périphériques et capteurs avoisinants. Le post-traitement et l’hébergement des données sont, pour leur part, pris en charge par la couche applicative de contrôle, qui comprend des fonctions de niveau supérieur, la génération de rapports locaux et la gestion des recettes. Certaines données sont stockées et traitées localement par les serveurs, mais la plupart des
fonctions de niveau supérieur sont exécutées dans la couche de contrôle de l’architecture. Dès lors, la sécurisation des fonctions de l’ensemble du système repose essentiellement sur la protection de la couche réseau périphérique contre les attaques.

L’échange de données entre le réseau du site de fabrication et la couche de niveau entreprise s’appuie sur un processus sélectif et ciblé. Les données envoyées vers les couches de niveau entreprise (issues du cloud ou d’autres centres de données) sont destinées aux fonctions complémentaires de posttraitement, d’analyse historique et de génération de rapports de haut niveau, ainsi qu’à la gestion et au stockage des Big Data.

Il est clair que si les données provenant de l’edge ne sont pas générées proprement au moment opportun, aucune fonction supérieure d’analyse et de gestion des Big Data ne peut intervenir de manière suffisamment ponctuelle et réactive pour améliorer l’ensemble des indicateurs de performance de l’entreprise (OEE, MRP, CRM, etc.). A tous les niveaux de l’infrastructure, les problèmes liés à la sécurité, au cycle de vie des produits, à la protection des données, ainsi qu’à une longue liste de vulnérabilités connexes doivent donner lieu à des analyses et mesures à l’échelle de toute l’entreprise, afin de préserver le subtil équilibre qui est nécessaire entre productivité, rentabilité, satisfaction des clients et sécurité..

La sécurité est une préoccupation majeure qui concerne tous les niveaux du réseau physique ; à cet égard, l’infrastructure et l’ensemble des points d’entrée des systèmes sont considérés comme des menaces pour la sécurité dans le modèle d’agrégation des données. Le niveau de protection du système dépend entièrement de son maillon le plus faible. En clair, il importe d’examiner la vulnérabilité d’un système dès sa phase de conception, en éliminant les points de faiblesse connus à l’aide de strates de protection pensées dès le départ dans ce but. La sécurité est ainsi considérée comme la première ligne de défense devant être reconnue, conçue, construite et surveillée ultérieurement pour garantir une conformité continue à la politique de sécurité. Pour autant, viser une sécurité absolue n’est pas un objectif réaliste, dans la mesure où les menaces ne cessent d’évoluer au fil du temps. Les solutions de sécurité physiques doivent par conséquent être mises en place en bordure de réseau et se retrouver sur l’ensemble des couches qui composent le réseau physique.

Sécurité physique en périphérie de réseau :

Certaines de ces mesures de sécurité physiques peuvent également être incorporées à des systèmes d’automatisation et de contrôle de friches industrielles ou d’environnements existants afin de limiter les vulnérabilités des systèmes de contrôle hérités.

Supports en bordure de réseau :

Le choix du support de réseau approprié (cuivre, fibre, enceintes et chemins de réseau) joue un rôle supplémentaire au niveau de la sécurité fonctionnelle et des données, et il doit également être pris en compte dès la phase initiale de conception du système.

Sécurité en bordure de réseau :

Surveillance de la périphérie du réseau :

La sécurité physique doit être maintenue en permanence, ce qui implique une surveillance et une vérification régulières des réseaux de élécommunications. Même si une planification appropriée de la conception du réseau est au départ un bon atout, les menaces pour la sécurité demeurent une réalité de tous les instants. De même, les dangers liés aux opérateurs humains et aux risques environnementaux M.I.C.E. connus ont une influence majeure sur l’état de santé du réseau au fil du temps. Il existe des plateformes logicielles de surveillance réseau qui sont destinées à superviser les opérations en temps réel et capables de délivrer des rapports d’intégrité 24 heures sur 24, 7 jours sur 7. Dans l’idéal, les opérations système ne doivent subir aucune perturbation, mais les usines fonctionnent à un niveau inférieur à l’optimum. Dans certains cas, des composants réseau supplémentaires ou extérieurs, ainsi que de nombreux périphériques externes, parviennent au bout du compte à s connecter à des ports ouverts ou des canaux Wi-Fi non surveillés sur le réseau. L’ajout de nouveaux périphériques entraîne des menaces pour la sécurité qui doivent être identifiées, surveillées et interceptées au niveau de la bande passante du trafic des opérations système légitimes. Les applications logicielles de surveillance peuvent identifier immédiatement ces menaces et les limiter, voire les éliminer. Les ports affectés sont alors bloqués et les opérateurs sont alertés de la menace imminente qui vise le réseau de communication physique.

En définitive, le réseau de données doit être considéré comme faisant partie intégrante de la stratégie de sécurité globale. Cette approche concerne en premier lieu les composants réseau de la couche physique, mais elle ne s’arrête pas là. L’intégration de la sécurité au réseau de communication est
essentielle, car elle permet aux ingénieurs de conception et de contrôle de créer une sécurité multicouche qui s’étend au-delà de l’automatisation immédiate et dépasse la portée du contrôle des machines et ressources, jusqu’à garantir une protection globale du réseau et de l’équipement. Les
solutions de sécurité physiques permettent aux entreprises de gagner du temps et de réduire les coûts associés aux violations de sécurité, aux indisponibilités du réseau, aux réparations et aux remplacements de matériel. Pour cela, la protection de l’ensemble des opérations du système et des données doit être prise en compte pendant toute la durée du cycle de vie du système de fabrication.

Cette procédure doit prévoir des évaluations périodiques visant à passer en revue l’intégrité des opérations et des systèmes du réseau, avec l’appui de robustes plans de mesures correctives si
nécessaire. La sécurité de l’infrastructure de votre réseau de données doit impérativement être confiée à des concepteurs, ingénieurs et installateurs d’infrastructure réseau agréés. Et pour finir, prémunissezvous au maximum ; nous vivons dans un monde qui met potentiellement en danger l’ensemble des données de fabrication et de production. Adoptez des mesures de sécurité extrêmes, afin de ne jamais avoir à faire face à des pannes de réseau tout aussi extrêmes, qui seraient susceptibles de paralyser
entièrement vos opérations.

Les auteurs :

Michael Jammal, Sr. Business Development Manager of Industrial Automation, Panduit
Marty Kronz, Manager of Business Development, Panduit

Recommander cet article

Nous vous recommandons

Light into Money : le futur de la fibre optique au sein des réseaux de data centers

Light into Money : le futur de la fibre optique au sein des réseaux de data centers

Découvrez les critères auxquels doivent répondre les câbles à fibres optiques dans les réseaux de data centers afin de satisfaire la demande de volume de données et de capacité de transmission à long terme.

Protection de la structure sensible du réseau industriel

Protection de la structure sensible du réseau industriel

Découvrez comment un micro-centre de données peut accroître la sécurité, la flexibilité et la robustesse des réseaux industriels et comment un MDC réglé avec précision protège l’intégrité et la disponibilité des données de contrôle et d’information.

Couche réseau pour les bâtiments connectés du XXIeme siècle

Couche réseau pour les bâtiments connectés du XXIeme siècle

Ce livre blanc présente la stratégie d’utilisation de l’infrastructure de câbles en cuivre Ethernet dans les bâtiments modernes, non seulement pour la communication de données, mais aussi pour l’alimentation électrique.