L’OPC UA possède tous les atouts pour garantir les contraintes de cybersécurité des communications liées au déploiement de l’industrie 4.0.

OPC UA

Systerel et OPC UA

A travers plusieurs implémentations de la technologie OPC UA dans un contexte industriel, Systerel a développé une réelle expertise sur la norme OPC UA :

Systerel est :

  • membre de la Fondation OPC OPC UA
  • membre du groupe de travail OPC du GIMELEC
  • membre du club cyber OT du GIMELEC
  • actif dans l’émergence et la diffusion de la technologie via différents groupes de travail
  • l’un de nos ingénieurs répertorié comme expért pour la technologie OPC UA par la Fondation OPC dans toutes les catégories (modélisation de l’information, conception d’applications, conseil en sécurité, formation et soutien à la mise en œuvre)
  • développeur de solutions basées sur OPC UA, notamment Safe & Secure OPC
  • formateur sur la technologie OPC UA

Industrie 4.0 : OPC UA et cybersécurisation de l’IIoT

Le déploiement de l’industrie 4.0 s’est accompagné d’une numérisation des usines (disparition de la frontière entre IT et OT) et une centralisation du pilotage. Parallèlement, une nouvelle menace est apparue via les cyber-attaques des installations industrielles. La tendance est donc à la migration des infrastructures existantes vers des protocoles ouverts et aptes à répondre aux nouvelles contraintes de cybersécurité (cf Loi de Programmation Militaire de 2013).

L’OPC UA est un standard industriel normalisé (IEC 62541) qui est ouvert, multiplateforme, géré par la Fondation OPC (https://opcfoundation.org/). Il est identifié comme étant LE protocole de l’industrie 4.0.

La Fondation OPC publie des recommandations pour la mise en œuvre de la sécurité lors du développement d’applications basées sur l’OPC UA (https://opcfoundation.org/wp-content/uploads/2017/11/OPC-UA-Security-Advise-EN.pdf).

La sécurité est nativement incluse dans le protocole via des fonctions qui ont fait l’objet d’une analyse approfondie par le BSI (https://opcconnect.opcfoundation.org/2017/06/federal-office-for-information-security-bsi-completes-analysis-of-opc-ua/).

Ainsi, ce protocole est particulièrement adapté aux contraintes de cybersécurité du monde industriel. Il est notamment déployé dans les transports (automobile, ferroviaire, aéronautique) et l’énergie.

En France, une initiative de l’ANSSI visant à donner aux industriels les moyens de sécuriser leurs infrastructures a conduit au projet INGOPCS, dont l’objectif est le développement d’une version open-source certifiable du protocole OPC UA.

Déploiement de l’OPC UA dans le monde industriel

Historiquement déployé dans le domaine de la supervision en mode client/serveur, l’OPC UA a étendu son rayon d’action. Ainsi sa déclinaison en différents paradigmes (Client/serveur, PubSub) etprotocoles de transport (TCP, UDP, MQTT, HTTPS, …) lui permet de s’adapter à de nombreux cas d’utilisation :

  • La communication Client/Serveur est de type connectée point à point, dans lequel le serveur expose un modèle de données sur lequel le client peut appeler des services,
  • La communication PubSub est de type déconnectée et permet à des Publishers d’envoyer des données à un ou plusieurs Subscribers.

Le PubSub permet de déployer OPC UA au plus bas niveau de la production industrielle pour les contrôleurs, les capteurs et les systèmes embarqués nécessitant une communication optimisée et de faibles latences dans les réseaux locaux. Ainsi, il permet de déployer l’OPC UA sur les réseaux TSN. Il permet également d’offrir une connectivité directe aux infrastructures Cloud.

La sécurisation de l’OPC UA client-serveur est basée sur l’échange de certificats X.509 signés qui assure le contrôle d’intégrité, le chiffrement, l’authentification, l’autorisation et l’audit des opérations.

La sécurisation de l’OPC UA PubSub est quant à elle basée sur le chiffrement et la signature des communications à l’aide de clés symétriques. Ces clés sont gérées par des serveurs nommés SKS .

Systerel travaille activement avec le laboratoire de Thales R&T pour proposer des compléments aux mécanismes de sécurisation existants, par exemple en mettant en œuvre des TPMs. Plusieurs publications sont en cours de finalisation sur le sujet.

Safe & Secure OPC

Développée sur initiative de l’ANSSI, S2OPC (https://gitlab.com/systerel/S2OPC), est la seule implémentation OPC UA libre conciliant les exigences de cybersécurité et de sûreté de fonctionnement.

Une certification CSPN est en cours.

En savoir plus sur S2OPC