Automatisation et IoT : Connexion sécurisée à tous les niveaux
L’Industrie 4.0 utilise massivement la connectivité pour accroitre la productivité et exploiter un nouveau potentiel de création de valeur. Une évolution non sans conséquence pour les solutions d’automatisme existantes, car l’Internet des objets Industriel (IoT) impose de nouvelles contraintes en matière de sécurité. Les fonctionnalités de sécurité devant être incluses de manière individuelle dans chaque produit, il devient difficile de mettre en œuvre un concept intégré. C’est pourquoi Bosch Rexroth a entièrement repensé l’automatisme pour créer un concept de sécurité intégrée. Ce concept est certifié conforme à la norme IEC 62443 et fait partie intégrante de la plateforme ctrlX AUTOMATION.
Bosch Rexroth est parvenu à réunir le monde de l’automatisation et celui de l’Internet des objets pour créer l’Usine du futur. ctrlX AUTOMATION associe en toute sécurité les technologies d’automatisme, l’informatique et l’IoT au sein d’un système ouvert et évolutif. La sécurité est mise en œuvre de manière rigoureuse à tous les niveaux.
Secure by design : la sécurité intégrée dès la conception
Avec ctrlX AUTOMATION, Bosch Rexroth s’est focalisé sur la sécurité informatique en prenant en compte les composants hardware autant que les logiciels. Les produits sont « sécurisés par conception » à tous les niveaux. Pour les utilisateurs – en particulier dans les environnements de l’Industrie 4.0 – il est crucial que les dispositifs de connectivité offrent des mécanismes de sécurité appropriés. Ces exigences de sécurité dictent la démarche suivie par Bosch Rexroth pour développer les solutions ctrlX AUTOMATION et poser les bases de ctrlX IOT .
En application du principe « secure by design », Bosch Rexroth s’appuie sur le système d’exploitation Linux : Ubuntu Core. Chaque application est exécutée dans une « sandbox » qui la restreint par défaut (conteneur de logiciel au format Snap). Chaque solution est donc isolée et seules quelques interfaces (définies pour chaque application) permettent l’accès aux autres applications ou périphériques. Bosch Rexroth prévient ainsi les failles inhérentes à tout système ouvert. Si un morceau de logiciel tiers contient du code malveillant, le reste du système est protégé puisque ce code est isolé dans sa « sandbox ».
Les applications natives, telles que ctrlX MOTION et ctrlX PLC sont également insensibles à la manipulation et protégées contre la corruption. Des paquets impossibles à modifier et des signatures numériques permettent de contrôler chaque application pour s’assurer, au moment de l’installation, que le logiciel a été vérifié et publié par Bosch Rexroth. Les formats snaps offrent également la possibilité de mettre à jour chaque application de manière ciblée. Si une mise à jour entraîne des problèmes, il est facile de rétablir la version antérieure par un mécanisme de rollback.
Avec le système de commande ctrlX CORE, Bosch Rexroth propose également un équipement doté de ports de communication natifs offrant une sécurité maximale, pouvant intégrer les fonctions par le software : routeurs, passerelles IoT, pare-feu ou VPN. Le logiciel d’IoT repose sur les standards de cybersécurité entièrement intégrée, conformément à la norme IEC 62443, pour le contrôle d’accès et la maintenance à distance.
Secure Boot est une fonction de sécurité, qui vérifie si le chargeur d’amorçage (boot loader) ou le système d’exploitation a été manipulé. En association avec la signature des applications, cette fonction garantit l’intégrité du système à tout moment.
Une puce TPM 2.0 est également incluse. La puce Trusted Platform Module étend les fonctions de sécurité, de manière à sauvegarder des éléments cryptographiques sur l’appareil, par exemple. Un éventuel attaquant est alors dans l’incapacité de dérober les éléments cryptographiques et donc de déchiffrer les communications ou d’usurper l’identité d’un appareil. Les clés et les certificats matériels garantissent également l’authenticité de l’identification.
Le gestionnaire d’accès de ctrlX CORE est un dispositif de sécurité essentiel du système. Il gère les identifiants et contrôle les accès à l’échelle du système pour toutes les applications et la couche de données ctrlX Data Layer. La gestion configurable des utilisateurs empêche par conséquent l’accès non autorisé aux données et aux fonctionnalités.
Il existe également un « Secure Production Mode ». Comme son nom l’indique, il assure une production en mode sécurisé. Dans ce mode, l’utilisateur définit toutes les applications et fonctions inutiles qui seront désactivées, ce qui ferme la porte à d’éventuels vecteurs d’attaque et réduit la charge du réseau.
Secure by default ou « sécurisé par défaut »
Le système de commande ctrlX CORE n’est pas seulement « sécurisé par conception », il est aussi « sécurisé par défaut » ce qui garantit sécurité et souplesse lors de l’échange de données avec les systèmes informatiques de production existants. Les utilisateurs disposent d’une utilisation sécurisée dès la prise en main et peuvent le connecter à d’autres systèmes et à l’IoT en toute confiance, sans configuration préalable.
Pare-feu et application VPN pour une sécurité supplémentaire
Le système peut être complété à l’aide d’applications développées par le client. Une extension VPN ou l’installation d’un pare-feu par une application sont possibles pour d’autres cas d’utilisation.
Le pare-feu permet une configuration facile des flux et des accès par le réseau. Bosch Rexroth a mis au point un pare-feu basé sur nftables, qui inclut un front-end Internet convivial pour l’opérateur. Ce pare-feu vérifie tout le trafic du réseau en continu, afin d’arrêter les rançongiciels (ransomwares), par exemple. Les utilisateurs finaux sont libres dans le degré de complexité de la configuration pour une adaptation optimale à leurs besoins. La segmentation du réseau associée à la protection accrue du système mettent la production à l’abri de tout blocage et préservent le savoir-faire de l’entreprise en cas d’attaque virale.
L’application de VPN prend en charge les deux protocoles VPN les plus courants que sont OpenVPN et IPSec. Ces deux services sont chiffrés de manière sécurisée et offrent une sécurité maximale. Ils peuvent facilement être connectés au serveur de l’entreprise, le cas échéant, par exemple pour une maintenance à distance sécurisée, ce qui évite l’utilisation de matériel supplémentaire.
Avec ctrlX AUTOMATION, l’efficacité et la sécurité requises dans les environnements de l’Industrie 4.0 sont accessibles de manière intégrée. Bâtie sur ces fondations solides, l’Usine du futur entièrement connectée est à portée de main.