OPC UA et cybersécurité industrielle

L’OPC UA est un standard de communication industrielle conçu pour répondre aux exigences croissantes de cybersécurité liées au déploiement de l’industrie 4.0.

Systerel, acteur clé de l’écosystème OPC UA

Systerel a développé une réelle expertise sur la norme OPC UA, à travers plusieurs implémentations de la technologie OPC UA dans un contexte industriel.

Nous sommes notamment :

S2OPC : une implémentation open-source sécurisée d’OPC UA

Systerel a développé S2OPC, une bibliothèque open‑source conforme au standard OPC UA, qui détient une double certification : la conformité à la version 1.04 du standard, validée par la Fondation OPC UA, ainsi que le visa de sécurité CSPN délivré par l’ANSSI, également reconnu par le BSZ en Allemagne.

Conçue pour les environnements industriels critiques (énergie, transport, défense), cette implémentation associe une empreinte mémoire réduite, des performances en temps réel et une forte capacité de montée en charge.

Industrie 4.0 : OPC UA et cybersécurité de l’IIoT

Avec le déploiement de l’industrie 4.0 s’est accompagné d’une numérisation usines ont connu une forte numérisation. Les frontières entre les mondes IT et OT ont progressivement disparu et le pilotage des systèmes industriels s’est centralisé.

Dans ce contexte, les cyberattaques sont devenues une menace majeure. La tendance est donc à la migration des infrastructures existantes vers des protocoles ouverts et aptes à répondre aux nouvelles contraintes de cybersécurité (cf Loi de Programmation Militaire de 2013).

L’OPC UA (norme IEC 62541) répond à ces nouveaux besoins. Il est :

• Identifié comme le protocole de référence pour l’industrie 4.0
• Ouvert, standardisé et multi-plateformes
• Géré par la Fondation OPC

Ainsi, ce standard de communication est particulièrement adapté aux contraintes de cybersécurité du monde industriel. Il est notamment déployé dans les transports (automobile, ferroviaire, aéronautique) et l’énergie.

La Fondation OPC publie des recommandations pour la mise en œuvre de la sécurité lors du développement d’applications basées sur l’OPC UA.

La sécurité est nativement incluse dans le standard. Elle repose sur des fonctions qui ont fait l’objet d’une analyse approfondie par le BSI (Office Fédéral Allemand de la Sécurité des Technologies de l’Information).

En France, l’ANSSI a soutenu le projet INGOPCS, visant à développer une version open source et certifiable d’OPC UA.

Déploiement de l’OPC UA dans le monde industriel

L’OPC UA s’est d’abord imposé dans les systèmes de supervision, avec une architecture client/serveur. Il a et s’adapte désormais à de nombreux cas d’usage grâce à ses différents paradigmes de communication (client/serveur, PubSub) et à la diversité de ses protocoles de transport. (TCP, UDP, MQTT, HTTPS…)

• La communication client/serveur est de type connectée point à point. Le serveur expose un modèle de données sur lequel le client peut appeler des services.
• La communication PubSub est de type déconnecté et permet à des Publishers d’envoyer des données à un ou plusieurs Subscribers.

Le PubSub permet également de déployer OPC UA au plus bas niveau de la production industrielle. Il s’adapte pour les contrôleurs, les capteurs et les systèmes embarqués, qui nécessitent une communication optimisée et de faibles latences dans les réseaux locaux. Ainsi, il permet de déployer l’OPC UA sur les réseaux avec contraintes de déterminisme. Il offre aussi une connectivité directe aux infrastructures Cloud.

La sécurisation de l’OPC UA client-serveur repose sur l’échange de certificats X.509 signés. Ce mécanisme assure le contrôle d’intégrité, le chiffrement, l’authentification, l’autorisation et l’audit des opérations.

La sécurisation de l’OPC UA PubSub utilise le chiffrement et la signature des communications à l’aide de clés symétriques. Des serveurs dédiés, appelés SKS (Security Key Services), assurent la gestion de ces clés.

En savoir plus sur S2OPC LinkedIn S2OPC