La « diode de données » renforce la sécurité du réseau Industrie 4.0

L'Internet des objets et les réseaux de l'Industrie 4.0 nécessitent des liaisons de données fiables, sûres et sécurisées. Cependant, de nos jours, tout réseau est sujet aux cyberattaques, même s'il est sécurisé par des méthodes de sécurité traditionnelles. Pour résoudre ce problème, la diode de données, un dispositif matériel et logiciel, permet uniquement les téléchargements de données vers le monde extérieur et évite, pour des raisons de sécurité, tout téléchargement de données en arrière.

La cyber-diode étend les capacités des solutions traditionnelles de sécurité réseau. L'importance de réseaux sûrs et sécurisés est prouvée par une étude sur les cyberattaques menée par le Bundesamt für Sicherheit in der Informationstechnik (BSI ou, en anglais, Office fédéral allemand de la sécurité de l'information). Selon l'étude, le nombre de logiciels malveillants, y compris les chevaux de Troie, les ransomwares et les trickbots, a augmenté entre juin 2019 et mai 2020 pour atteindre 117 milliards, les variations et l'intensité des logiciels malveillants continuant d'augmenter. Les exigences de sécurité optimale dans l'industrie interconnectée et dans les infrastructures critiques sont très élevées, et les interfaces des équipements industriels doivent être entièrement protégées pour éviter tout impact négatif. Autre point important, les données transmises doivent être confidentielles et non manipulables.

Steve Schoner de Genua

« Mais même avec les solutions de sécurité existantes, il reste un risque », a déclaré à EE Times Europe Steve Schoner, responsable marketing produit stratégique de Genua GmbH. . "Avec la cyber-diode, nous comblons cet écart." Genua GmbH, fondée en 1992, est une unité commerciale de Bundesdruckerei (Office fédéral allemand de l'imprimerie). Il possède une vaste expérience avec des entités privées manipulant des informations classifiées et est spécialisé dans la protection de tout réseau et des communications numériques.

La faible sécurité des réseaux industriels alors que l'IT et l'OT deviennent de plus en plus interconnectés est la raison pour laquelle de nombreuses entreprises renoncent aux progrès réalisés en connectant leurs usines au monde extérieur via Internet. La mise en réseau permet une fabrication efficace, rentable et flexible jusqu'à la taille du lot 1. Elle permet également de surveiller et d'optimiser les machines et les systèmes (par exemple, pour la maintenance prédictive et l'analyse). Avec la connexion Internet, cependant, les réseaux de l'Industrie 4.0 deviennent la cible de sabotage et d'espionnage par les cybercriminels.

Cybersécurité maximisée

« Parce que les solutions existantes de cybersécurité sont soit propriétaires soit très coûteuses, nous avons développé notre cyber-diode industrielle, qui garantit une communication sécurisée, fiable, indépendante du fabricant et de la plate-forme », a expliqué Schoner. « C'est au monde la seule diode de données basée sur un produit confidentiel certifié. Pour un transfert de données sécurisé dans les environnements industriels, il prend en charge le protocole OPC UA (OPC Unified Architecture), une norme ouverte pour l'échange de données machine. Il permet également la transmission cryptée des données aux applications clientes via IPSec VPN. Si IPSec est activé, les clients externes peuvent communiquer avec la diode uniquement en utilisant une communication cryptée. Ceci est assuré par le pare-feu interne à diodes, et il permet une transmission de données extrêmement sécurisée vers n'importe quel service souhaité dans le cloud ou tout autre emplacement externe.

Cyber-diode en détail

Le matériel de la cyber-diode est sécurisé grâce à l'utilisation d'une unité de gestion de la mémoire E/S (IOMMU) pour la séparation des compartiments. Le compartiment noir (à gauche) dans le schéma fonctionnel illustre l'émetteur, qui est, dans ce cas, un client OPC UA. Au centre, la fonction brevetée One-Way-Task représente la fonction de transfert de données à sens unique. Le compartiment rouge (à droite) est le côté prêt pour le VPN qui transmet les données sécurisées par VPN via l'interface réseau (NIC) au système cible externe. Le compartiment de mise à jour supplémentaire (en haut) permet l'intégration de nouvelles fonctionnalités ou de mises à niveau qui ne sont pas autorisées par le réseau pour des raisons de sécurité. Les mises à jour ne peuvent être téléchargées que sur l'appareil lui-même — via les paramètres réseau, aucune modification de la configuration de base n'est possible. Le matériel est adapté aux rails DIN peu encombrants ou aux boîtiers de rack 19 et offre une prise en charge UEFI et Secure Boot. La cyber-diode peut être étendue pour une connexion via la téléphonie mobile (LTE) et le WLAN, a déclaré la société.

Schéma fonctionnel d'une cyber-diode (Source de l'image :Genua)

Le noyau du logiciel est construit sur un micronoyau durci minimaliste et un système d'exploitation OpenBSD durci. Les deux ne contiennent que quelques lignes de code, ce qui minimise les points d'entrée pour les pirates et les vecteurs d'attaque. "Une telle architecture est extrêmement difficile à attaquer", a déclaré Schoner. Même les vulnérabilités du système d'exploitation n'ont aucun effet sur la fonctionnalité brevetée One-Way. Seul le logiciel fourni par Genua peut être exécuté sur les cyber-diodes. "C'est rentable et disponible sous forme de licence à vie qui comprend le matériel et l'ensemble du logiciel pour un système", a déclaré Schoner. Un service hotline ou un service de gestion de système complet est également garanti. La quantité de cyber-diodes nécessaires dans un réseau dépend des exigences de risque de l'utilisateur et de la structure du réseau.

Amélioration des fonctions de sécurité

Les cyber-diodes permettent un transfert de données sécurisé dans les réseaux de l'Industrie 4.0

Par rapport aux méthodes traditionnelles de cybersécurité telles que les entrefers, les pare-feu et la fibre optique, les cyberdiodes offrent divers avantages, selon Schoner. Un vide sépare par exemple les réseaux IT des réseaux OT évitant tout échange de données automatisé, assurant ainsi la sécurité. Mais dans l'Industrie 4.0, les données d'environnement doivent de toute façon être échangées entre différents réseaux. Dans ce cas, la transmission des données se fait généralement via une clé USB ou d'autres dispositifs de mémoire, ce qui n'est pas efficace et sujet aux pannes. Les clés USB et autres dispositifs de mémoire peuvent éventuellement contenir des logiciels malveillants.

Les alternatives sont les pare-feu, qui peuvent être configurés pour transmettre des données dans une seule direction. Cela pourrait être une solution, mais c'est très complexe car presque tous les pare-feu comportent plus qu'un seul ensemble de règles. Cela signifie également qu'il est possible de modifier ces ensembles de règles par accident ou qu'ils deviennent obsolètes au fil des ans. Cela complique la liaison de nouveaux segments de réseau à celui-ci, ou cela nécessite au moins une grande connaissance pour le faire. Il peut arriver que la fonction unidirectionnelle soit désactivée.

Ces risques sont exclus dans les cyber-diodes. Les diodes à fibre, la troisième option traditionnelle, sont capables de bloquer les données dans le sens inverse mais nécessitent un canal séparé pour savoir si la transmission des données a réussi. Pour augmenter la fiabilité du transfert de données, la cyber-diode confirme la réussite du transfert de données en renvoyant un seul bit. Enfin, les cyber-diodes s'intègrent facilement dans les réseaux industriels existants.

>> Cet article a été initialement publié sur notre site frère, EE Fois Europe.