La présente invention concerne un procédé de sécurisation du fonctionnement d’un système industriel. La présente invention se rapporte aussi à un système industriel et un système de sécurisation associé.

Avec le développement croissant des contrôles électroniques, les systèmes d’énergie (production ou stockage) sont de plus en plus complexes. Cette complexité permet de maintenir un niveau de sécurité élevé malgré le fait que les performances des systèmes d’énergies augmentent.

A titre d’illustration, les alimentations utilisant des batteries sont capables de délivrer une puissance électrique de plus en plus élevée et sur des durées de plus en plus grandes, mais ce gain en puissance et en densité d’énergie s’accompagne notamment d’une augmentation du risque de feu ou d’explosion suite à un emballement thermique. De telles alimentations sont donc contrôlées par différents équipements électroniques pour garantir un fonctionnement sécurisé.

Garantir un tel fonctionnement sécurisé implique que les équipements électroniques ne doivent être réglés notamment en maintenance que par des personnes disposant d’une expertise poussée. En effet, un mauvais réglage d’un équipement peut amener à un fonctionnement non sécurisé pouvant conduire à des accidents dramatiques.

Il est donc souhaitable de pouvoir garantir que seules des personnes autorisées puissent accéder aux équipements d’un système d’énergie.

Pour cela, il est connu du document EP 1906586 A1 un protocole d’authentification d’un système industriel. Le protocole repose sur l’emploi d’un composant dédié du système industriel pouvant communiquer des informations sécurisées le long d’un réseau. Le contrôle se fait alors par un échange de clés privées au niveau du système industriel.

Toutefois, un tel protocole ne peut pas être utilisé si le système industriel n’est pas connecté à un réseau.

De plus, l’échange de clés privées est souvent délicat lorsque la personne disposant de l’expertise est une personne extérieure au site utilisant le système industriel. Cette problématique se développe justement du fait que l’expertise requise est d’un niveau de plus en plus élevé de sorte que celle-ci est souvent uniquement disponible du côté de l’entreprise qui a installé le système industriel. Enfin, un tel protocole empêche dans le cas où plusieurs sites industriels comportant des systèmes industriels sont impliqués une gestion centralisée et donc une remontée d’informations efficace. Par exemple, si chaque alimentation d’un certain type présente des pannes récurrentes lors d’une utilisation spécifique, il n’est pas possible d’identifier que l’utilisation spécifique de ce type d’alimentation pose problème.

Ainsi, de ces différents défauts, il en résulte un risque fort que, dans certains cas de figures, le système industriel soit mal paramétré et ceci n’est pas acceptable car le système industriel ne fonctionne alors plus dans des conditions validées. Au mieux, il en résulte une perte de performances du système industriel mais surtout, un mauvais paramétrage du système industriel peut conduire le système industriel à fonctionner dans des régimes dangereux pouvant amener des courts-circuits ou des explosions.

Il existe donc un besoin pour un procédé de sécurisation du fonctionnement d’un système industriel qui soit utilisable efficacement dans tous les cas de figures qui peuvent se présenter en pratique lorsqu’une opération est à effectuer sur le système industriel.

A cet effet, la description décrit un procédé de sécurisation du fonctionnement d’un système industriel comportant un ensemble d’équipements et une unité de contrôle de l’accès aux équipements, le système industriel faisant partie d’un site industriel, le site industriel faisant partie d’un ensemble de sites industriels, l’ensemble de sites industriels comprenant un unique système de contrôle centralisé des droits d’accès, le procédé de sécurisation comportant une phase d’obtention d’un certificat numérique autorisant un opérateur à accéder à au moins un équipement du système industriel pour effectuer une intervention prédéfinie. La phase d’obtention comprend une étape de demande de génération du certificat numérique par le système de contrôle centralisé des droits d’accès, le certificat numérique étant un certificat numérique unique et temporaire et une étape de réception du certificat numérique. Le procédé de sécurisation comprend une phase de tentative d’accès à au moins un équipement du système industriel pour effectuer une intervention sur ledit au moins un équipement, la phase de tentative comprenant une étape de demande d’accès à au moins un équipement du système industriel par entrée d’une pluralité de données relatives à l’intervention à effectuer sur l’unité de contrôle de l’accès aux équipements, au moins une donnée de la pluralité de données étant relative au certificat numérique, une étape de vérification par l’unité de contrôle de l’accès aux équipements de la conformité de la demande d’accès avec au moins une condition de conformité, au moins une condition de conformité étant une condition de conformité relative au certificat numérique, et une étape d’autorisation de l’accès à l’au moins un équipement du système industriel pour effectuer l’intervention lorsque la ou chaque condition de conformité est remplie ou refus de l’accès à l’au moins un équipement du système industriel lorsqu’une condition de conformité n’est pas remplie.

Selon des modes de réalisation particuliers, le procédé de sécurisation présente une ou plusieurs des caractéristiques suivantes, prise(s) isolément ou selon toutes les combinaisons techniquement possibles :

- le système industriel est un système de production d’énergie ou un système de stockage d’énergie.

- le système industriel est une alimentation comportant une batterie et un système de gestion de la batterie et au moins un équipement auxiliaire.

- chaque équipement auxiliaire est choisi parmi un système de détection et d’extinction d’incendie, un système de climatisation et un système de mesure de la puissance électrique.

- l’étape de demande de génération du certificat numérique comporte, en outre, la connexion sur une application web, la préparation d’une requête de génération du certificat numérique par la saisie d’informations sur l’application web, pour obtenir une requête préparée, et l’envoi de la requête préparée vers le système de contrôle centralisé des droits d’accès pour génération du certificat numérique sur la base des informations saisies sur l’application web.

- chaque condition de conformité relative au certificat numérique est choisie parmi la liste de conditions de conformité suivantes : un intervalle de validité étant défini pour le certificat numérique, la demande d’accès à au moins un équipement du système industriel est comprise dans l’intervalle temporel de validité du certificat numérique, la donnée relative à l’intervention à effectuer entrée dans l’unité de contrôle de l’accès aux équipements est la même que l’intervention indiquée dans le certificat numérique, et le certificat numérique est authentique.

La description se rapporte également à un système industriel comportant un ensemble d’équipements et une unité de contrôle de l’accès aux équipements, le système industriel faisant partie d’un site industriel, le site industriel faisant partie d’un ensemble de sites industriels, l’ensemble de sites industriels comprenant un unique système de contrôle centralisé des droits d’accès, l’unité de contrôle de l’accès aux équipements étant propre à recevoir une pluralité de données sur l’unité de contrôle de l’accès aux équipements, au moins une donnée de la pluralité de données étant relative à un certificat numérique autorisant à accéder à au moins un équipement du système industriel, le certificat numérique ayant été généré par le système de contrôle centralisé des droits d’accès, le certificat numérique étant un certificat numérique unique et temporaire, l’ensemble des données formant une demande d’accès à au moins un équipement du système industriel. L’unité de contrôle est propre à vérifier la conformité de la demande d’accès avec au moins une condition de conformité, au moins une condition de conformité étant une condition de conformité relative au certificat numérique, et propre à autoriser l’accès à l’au moins un équipement du système industriel lorsque la ou chaque condition de conformité est remplie ou refuser l’accès à l’au moins un équipement du système industriel lorsqu’une condition de conformité n’est pas remplie.

La description concerne aussi un système de sécurisation du fonctionnement d’un système industriel comportant un ensemble d’équipements et une unité de contrôle de l’accès aux équipements, le système industriel faisant partie d’un site industriel, le site industriel faisant partie d’un ensemble de sites industriels, l’ensemble de sites industriels comprenant un unique système de contrôle centralisé des droits d’accès, le système de sécurisation comportant un terminal permettant d’obtenir un certificat numérique autorisant à accéder à au moins un équipement du système industriel, le terminal étant propre à demander la génération du certificat numérique par le système de contrôle centralisé des droits d’accès, le certificat numérique étant un certificat numérique unique et temporaire, propre à recevoir le certificat numérique. L’unité de contrôle de l’accès aux équipements est propre à recevoir une pluralité de données sur l’unité de contrôle de l’accès aux équipements, au moins une donnée de la pluralité de données étant relative au certificat numérique, l’ensemble des données formant une demande d’accès à au moins un équipement du système industriel, propre à vérifier la conformité de la demande d’accès avec au moins une condition de conformité, au moins une condition de conformité étant une condition de conformité relative au certificat numérique, et propre à autoriser l’accès à l’au moins un équipement du système industriel lorsque la ou chaque condition de conformité est remplie ou refuser l’accès à l’au moins un équipement du système industriel lorsqu’une condition de conformité n’est pas remplie.

La description se rapporte également à un produit programme d’ordinateur comportant des instructions de programme mémorisées sur un support lisible d’informations mettant en œuvre des étapes d’un procédé tel que précédemment décrit lorsque le programme d’ordinateur est mis en œuvre sur une unité de traitement des données.

La description concerne aussi un support lisible d’informations sur lequel est mémorisé des instructions de programme mettant en œuvre des étapes d’un procédé tel que précédemment décrit lorsque le programme d’ordinateur est mis en œuvre sur une unité de traitement de données.

Dans la présente description, l’expression « propre à » signifie indifféremment « adapté pour », « adapté à » ou « configuré pour ». Des caractéristiques et avantages de l’invention apparaîtront à la lecture de la description qui va suivre, donnée uniquement à titre d’exemple non limitatif, et faite en référence aux dessins annexés, sur lesquels :

- la figure 1 est une vue schématique d’un ensemble de sites industriels, et

- la figure 2 est un ordinogramme d’un exemple de mise en œuvre d’un procédé de sécurisation du fonctionnement d’un système industriel faisant partie d’un site de l’ensemble de sites.

Un ensemble de sites industriels 10 est illustré schématiquement sur la figure 1 .

L’ensemble 10 comporte plusieurs sites industriels 12.

Dans la figure 1 , seuls deux sites industriels 12 sont représentés mais le nombre de sites industriels 12 peut être aussi grand que souhaité.

Un site industriel 12 est un site regroupant un ensemble de systèmes industriels en fonctionnement.

Par exemple, le site industriel 12 est une usine de fabrication ou une usine de production, notamment une usine de production d’énergie.

Chaque site industriel 12 comporte un système local de contrôle centralisé des droits d’accès 14, dit système local de contrôle 14, et au moins un système industriel 16.

Dans chacun des sites industriels 12 représentés, à titre d’illustration, seul un système industriel 16 est représenté.

Le système local de contrôle 14 permet notamment de contrôler que les personnes qui accèdent au site sont des personnes autorisées.

Le système industriel 16 comportant un ensemble d’équipements 18 et une unité de contrôle de l’accès aux équipements 20.

Dans l’exemple proposé, le premier site industriel 12 (celui de gauche sur la figure 1 ) comporte un unique système industriel 16 qui est une alimentation 22.

L’alimentation 22 est propre à fournir de l’énergie électrique à d’autres éléments, et par exemple, d’autres systèmes industriels.

Dans le cas proposé, l’alimentation 22 comporte une pluralité d’équipements 24 et une unité de contrôle de l’accès aux équipements 26.

Selon l’exemple décrit, les équipements 24 de l’alimentation 22 sont une batterie 28, des équipements auxiliaires 30 et le système de gestion de la batterie 32.

Une batterie 28 est un terme générique désignant un ensemble d’accumulateurs électriques, appelés éléments, reliés entre eux de façon à créer un générateur électrique de tension, de puissance et de capacité désirée. Une batterie 28 convertit l’énergie électrique accumulée pendant la phase de charge en énergie chimique. L'énergie chimique est constituée par des composés électro-chimiquement actifs disposés dans l'élément. L'énergie électrique est restituée par conversion de l’énergie chimique en énergie électrique pendant la phase de décharge. Les électrodes, disposées dans un contenant, sont connectées électriquement à des bornes de sortie de courant qui assurent une continuité électrique entre les électrodes et un consommateur électrique auquel l'élément est associé. La batterie 28 est formée d’une ou plusieurs branches montées électriquement en parallèle. Chaque branche comprend un ou plusieurs modules montés électriquement en série, et chaque module comprenant un ou plusieurs éléments électrochimiques montés électriquement en série ou en parallèle.

A titre d’exemple particulier, une batterie 28 est un ensemble de plusieurs éléments électrochimiques qui sont connectés en série et disposés ensemble dans une même enceinte pour former un premier module. De manière similaire, chaque module comporte une pluralité d’éléments électrochimiques connectés en série et disposés dans une enceinte respective. Les modules sont connectés en série pour former une batterie 28. Les modules constituent une branche du circuit. Une telle branche de circuit est souvent dénommée ESSU en référence à la dénomination anglaise de « Energy Storage System Unit » qui signifie littéralement système unitaire de stockage d’énergie.

En variante, les éléments sont connectés en parallèle.

Il est également envisageable de connecter certains éléments entre eux en parallèle pour obtenir plusieurs associations d'éléments en parallèle puis de connecter ces associations d'éléments en série.

De même, la batterie 28 peut comprendre un nombre quelconque de modules, dans une configuration non nécessairement limitée à une connexion en série. Par exemple, la batterie peut comprendre des branches parallèles, chaque branche parallèle comprenant au moins un module constitué d’au moins un élément.

Chaque équipement auxiliaire 30 a une fonction spécifique, chaque fonction spécifique est le plus souvent liée à la sûreté, à la sécurité, aux performances ou au fonctionnement de la batterie.

Dans l’exemple décrit, l’alimentation 22 comporte trois équipements auxiliaires 30 qui sont maintenant décrits.

Le premier équipement auxiliaire 36 est un système de détection et d’extinction d’incendie.

Un tel système est configuré pour prévenir la propagation du feu si un ou plusieurs modules électrochimiques prennent feu.

Un deuxième équipement 38 est un système de climatisation.

Un tel système est configuré pour maintenir la batterie dans des conditions de température assurant son fonctionnement optimal. Un troisième équipement 40 est un système de mesure de la puissance électrique.

La puissance électrique mesurée par le troisième équipement est, par exemple, la puissance électrique délivrée et/ou reçue par la batterie.

D’autres équipements auxiliaires 30 sont envisageables comme un système de surveillance des accès physiques à la batterie (par exemple le local dans lequel la batterie est entreposée).

Le système de gestion de la batterie 32 est propre à contrôler la batterie 28 et au moins un équipement auxiliaire 30.

L’unité de contrôle de l’accès aux équipements 26, dite unité de contrôle 26 dans la suite, est propre à contrôler l’accès aux équipements 24 par un opérateur.

Selon l’exemple décrit, l’unité de contrôle 26 comporte une interface 42 et un calculateur 44.

L’interface 42 permet à un opérateur souhaitant accéder à un équipement 24 d’entrer des données pour en faire la demande.

L’opérateur est ici un personnel qualifié pouvant mettre en œuvre tout type d’opérations sur au moins un équipement 24, et en particulier des opérations de maintenance.

Un ensemble d’opérations à mener est parfois désigné sous le terme de mission. Le terme d’intervention sera utilisé dans la suite de la présente description.

L’interface 42 est, par exemple, une interface tactile ou un ensemble écran et clavier.

Le calculateur 44 sert à vérifier les données entrées et à autoriser ou non l’accès en fonction de ces données.

L’ensemble de sites industriels 10 est également pourvu d’un système de contrôle centralisé des droits d’accès 46, dit système de contrôle centralisé 46 dans la suite.

Le système de contrôle centralisé 46 est propre à générer des certificats numériques autorisant un opérateur à accéder à au moins un équipement 24 de l’alimentation 22 pour effectuer une intervention prédéfinie.

Un certificat numérique est, par définition, un ensemble d’informations relatives à l’opération à mener accompagnée d’une signature du système de contrôle centralisé 46.

La présence de la signature est une garantie que l’ensemble des informations contenu dans le certificat numérique est vrai.

En ce sens, le système de contrôle centralisé 46 est une autorité de certification.

Une autorité de certification (aussi désigné par l’acronyme CA pour la dénomination anglaise de « Certificate Authority ») est un tiers de confiance permettant d'authentifier des informations. La signature est générée avec un algorithme de hachage cryptographique sûr avec les paramètres cryptographiques associés (nombre de tours par exemple) nécessaires à l’obtention d’un niveau de sécurité suffisant, comme par exemple SHA-2.

En outre, le certificat numérique utilise pour chiffrer la signature, un système cryptographique asymétrique sûr, avec les paramètres cryptographiques associés (taille de clés par exemple) nécessaires à l’obtention d’un niveau de sécurité suffisant selon l’intervention requise et la durée de vie du matériel cryptographique utilisé, comme par exemple l’algorithme RSA (Rivest-Shamir-Adleman) avec des clés de 4096 bits.

En l’espèce, le certificat numérique comporte une clé publique, l’identité de l’opérateur, l’intervention, la date de début de validité du certificat numérique, la date de fin de validité du certificat numérique et un numéro de série unique.

Ainsi, le certificat numérique est un certificat unique et temporaire.

Cela permet d’augmenter la sécurité et de favoriser une bonne traçabilité.

Il est à noter que l’intervention peut aussi s’exprimer sous forme d’un rôle.

Typiquement, un spécialiste du système de mesure de la puissance électrique 40 n’a pas à accéder à un système de climatisation 38.

Dans l’exemple décrit, le certificat numérique se présente sous forme d’un fichier au format X.509.

Pour une telle génération, le système de contrôle centralisé 46 détient ses informations d’une application web.

Une application web est une application manipulable directement en ligne grâce à un navigateur web ou un intranet et qui ne nécessite donc pas d'installation sur les machines clientes.

Pour accéder à l’application web, l’opérateur est muni d’un terminal 48 qui lui est propre.

Le terminal 48 est, selon l’exemple de la figure 1 , un ordiphone plus souvent dénommé smartphone.

Plus généralement, le terminal 48 peut être vu comme un système informatique pouvant interagir avec un ou plusieurs programmes d’ordinateur.

Un système informatique est un calculateur électronique propre à manipuler et/ou transformer des données représentées comme des quantités électroniques ou physiques dans des registres du calculateur et/ou des mémoires en d’autres données similaires correspondant à des données physiques dans des mémoires, des registres ou d’autres types de dispositifs d’affichage, de transmission ou de mémorisation.

Le système informatique comporte un processeur comprenant une unité de traitement de données, des mémoires et un lecteur de support d’informations. Le calculateur comprend également une interface homme-machine, par exemple un clavier et une unité d’affichage.

Le produit programme d’ordinateur comporte un support lisible d’informations.

Un support lisible d’informations est un support lisible par le système informatique, usuellement par le lecteur. Le support lisible d’informations est un médium adapté à mémoriser des instructions électroniques et capable d’être couplé à un bus d’un système informatique.

A titre d’exemple, le support lisible d’informations est une disquette ou disque souple (de la dénomination anglaise de « floppy disk »), un disque optique, un CD-ROM, un disque magnéto-optique, une mémoire ROM, une mémoire RAM, une mémoire EPROM, une mémoire EEPROM, une carte magnétique ou une carte optique.

Sur le support lisible d’informations est mémorisé un programme d’ordinateur comprenant des instructions de programme.

Le programme d’ordinateur est chargeable sur l’unité de traitement de données et est adapté pour entraîner la mise en œuvre d’un procédé souhaité.

Cette description d’un système informatique est valable pour tous les éléments impliquant des éléments informatiques.

A titre d’exemple particulier, l’unité de contrôle 26 peut être vue comme un système informatique.

Il est enfin à noter que l’ensemble du terminal 48 et de l’unité de contrôle 26 forme un système de sécurisation 50 du fonctionnement de l’alimentation 22.

Le fonctionnement du système de sécurisation 50 est maintenant décrit en référence à la figure 2 qui est un ordinogramme d’un exemple de mise en œuvre d’un procédé de sécurisation de l’alimentation 22.

Le procédé de sécurisation est un procédé visant à sécuriser le fonctionnement de l’alimentation 22 en empêchant la réalisation d’une intervention non autorisée ou réalisée par un personnel non qualifié.

Le procédé de sécurisation comporte deux phases : une phase d’obtention d’un certificat numérique P1 et une phase de tentative d’accès P2 à au moins un équipement 24 de l’alimentation 22.

La phase d’obtention P1 est une phase d’obtention d’un certificat numérique autorisant à accéder à au moins un équipement 24 de l’alimentation 22.

La phase d’obtention P1 comporte deux étapes qui sont une étape de demande de génération E100 et une étape de réception E102. Lors de l’étape de demande de génération E100, il est demandé la génération du certificat numérique par le système de contrôle centralisé 46, le certificat numérique étant un certificat numérique unique et temporaire

Selon l’exemple proposé, l’étape de demande de génération E100 comporte trois opérations : la connexion, la préparation et l’envoi.

Lors de l’opération de connexion, l’opérateur se connecte sur l’application.

Pour cela, l’opérateur saisit sur son terminal un identifiant et un mot de passe.

Une telle connexion implique que l’opérateur a préalablement été déclaré comme opérateur autorisé auprès du système de contrôle centralisé 46.

Pour améliorer la sécurité, l’identification de l’opérateur peut être doublement vérifiée par l’utilisation d’un jeton à usage unique en plus du couple identifiant / mot de passe.

Lors de l’opération de préparation, l’opérateur saisit des informations sur l’application web pour préparer une requête de génération du certificat numérique.

Pour cela, l’opérateur saisit une date de début de validité du certificat numérique.

La date de début correspond souvent à la date prévue de son intervention sur l’alimentation 22.

Selon l’exemple décrit, l’opérateur précise la nature de son intervention.

Lors de l’opération d’envoi, la requête préparée est envoyée vers le système de contrôle centralisé 46.

L’envoi est, par exemple, réalisé par l’application web suite à une sélection sur le terminal 48 d’un bouton envoi par l’utilisateur.

Le système de contrôle centralisé 46 génère alors un certificat numérique sur la base de la requête préparée.

En particulier, comme indiqué précédemment, le certificat numérique comporte une date de fin de validité.

Selon l’exemple décrit, la date de fin de validité est calculée à partir de la date de début en ajoutant un intervalle de temps prédéterminé.

A titre d’illustration, l’intervalle de temps est choisi à 7 jours.

Toutefois, dans un mode de réalisation plus élaboré, l’intervalle de temps dépend de l’équipement 24 sur lequel l’intervention est prévue.

Le certificat numérique comporte également une intervention prédéfinie.

Lors de l’étape de réception E102, le certificat numérique généré est reçu.

Par exemple, à titre d’exemple particulier, l’opérateur télécharge sur son terminal 48 le fichier comprenant le certificat numérique généré par le système de contrôle centralisé 46. A Tissue de la phase d’obtention P1 , l’opérateur dispose donc d’un certificat numérique certifié par le système de contrôle centralisé 46.

Cette phase d’obtention P1 a été réalisée en se connectant sur l’application web. Une telle phase d’obtention P1 est donc une phase mise en œuvre en ligne par une liaison entre le terminal 48 et le système de contrôle centralisé 46 via l’application web. Cette liaison est matérialisée par des traits pointillés 52 sur la figure 1 .

A contrario, la phase de tentative d’accès P2 n’implique pas la présence d’une liaison internet, elle est donc pour l’exemple décrit considérée comme une phase hors-ligne.

La phase de tentative d’accès P2 est une phase durant laquelle il est tenté d’accéder à au moins un équipement 24 de l’alimentation 22 en utilisant le certificat numérique obtenu à Tissue de la phase d’obtention P1 .

Selon l’exemple décrit, la phase de tentative d’accès P2 comporte une étape de demande d’accès E104, une étape de vérification E106 et une étape d’autorisation de l’accès E108.

Lors de l’étape de demande d’accès E104, l’opérateur demande l’accès à l’équipement 24 via l’unité de contrôle 26.

La demande d’accès comprend l’entrée d’une pluralité de données, au moins une donnée de la pluralité de données étant relative au certificat numérique.

Dans le cas illustré, l’opérateur saisit une intervention sur l’unité de contrôle 26 et envoie le fichier vers l’unité de contrôle 26.

Par ailleurs, l’opérateur envoie son certificat à l’unité de contrôle 26 en utilisant son terminal 48 (voir traits pointillés 54 sur la figure 1 ).

L’étape de vérification E106 est une étape de vérification par l’unité de contrôle 26 de la conformité de la demande d’accès avec au moins une condition de conformité, au moins une condition de conformité étant une condition de conformité relative au certificat numérique.

Autrement formulé, lors de l’étape de vérification E106, l’unité de contrôle 26 vérifie si un certain nombre de conditions de conformité portant sur la pluralité de données sont vérifiées ou non.

Selon l’exemple proposé, l’unité de contrôle 26 vérifie cinq conditions de conformité qui sont exposées dans ce qui suit.

Dans un premier temps, l’unité de contrôle 26 vérifie une condition de conformité relative à l’intégrité du certificat numérique.

Il s’agit ici de vérifier si le certificat numérique n’a pas été modifié depuis sa génération, c’est-à-dire qu’il est authentique. Si cette condition de conformité n’est pas validée, les autres conditions ne sont pas vérifiées.

Lorsque la condition de conformité sur l’intégrité est vérifiée, l’unité de contrôle 26 vérifie dans un deuxième temps d’autres conditions de conformité supplémentaires (ici quatre).

L’ordre dans lequel ces conditions de conformité supplémentaires sont vérifiées est indifférent.

Une condition de conformité supplémentaire porte sur l’identité entre l’intervention entrée sur l’unité de contrôle 26 et l’intervention définie par le certificat numérique.

Comme expliqué précédemment, si la nature de l’intervention peut être caractérisée par un rôle, la première condition de conformité porte sur l’identité du rôle entré et du rôle contenu dans le certificat numérique

Une autre condition de conformité supplémentaire est relative à la signature du certificat numérique.

Plus précisément, l’unité de contrôle 26 vérifie si la signature est une signature du système de contrôle centralisé 46.

Encore une autre condition de conformité porte sur la date de début de validité. La quatrième condition de conformité est remplie lorsque la date de début de validité est postérieure à la date actuelle.

La dernière condition de conformité supplémentaire est similaire à la condition de conformité précédente mais porte sur la date de fin de validité. La condition de conformité est remplie lorsque la date de fin de validité est antérieure à la date actuelle.

Ces deux dernières conditions de conformité supplémentaires permettent de vérifier que la demande d’accès à au moins un équipement 24 de l’alimentation 22 est comprise dans l’intervalle temporel de validité du certificat numérique.

A l’issue de l’étape de vérification E106, dans l’exemple proposé, l’unité de contrôle 26 a vérifié que les différentes conditions de conformité sont remplies.

L’étape d’autorisation E108 est alors mise en œuvre.

L’unité de contrôle 26 autorise alors l’accès pour l’opérateur à au moins un équipement 24 de l’alimentation 22.

A contrario, si une ou plusieurs conditions de conformité ne sont pas remplies, l’unité de contrôle 26 refuse l’accès à l’au moins un équipement 24 de l’alimentation 22.

Le procédé décrit permet donc une authentification de l’opérateur permettant d’identifier et d’authentifier nominativement les opérateurs amenés à intervenir dans un site industriel 12 plutôt que d’utiliser des comptes génériques anonymes. Par ailleurs, le procédé est hybride puisqu’il comporte deux phases P1 et P2 dont l’une est en-ligne et l’autre est hors-ligne. Le procédé permet donc de prolonger l’authentification de l’opérateur sans être maître de l’autorité de certification (ici le système de contrôle centralisé 46) initiale et sans avoir accès à cette autorité dans l’environnement hors-ligne.

Autrement formulé, en utilisant les méthodes d’authentification en-ligne du système de contrôle centralisé, il est généré un certificat qui peut être conçu comme un objet cryptographique qui permet d’authentifier l’opérateur dans un autre environnement, cette fois hors-ligne, disposant d’une chaine de certification complètement séparée.

Le caractère centralisé de la génération du certificat permet de garantir une meilleure sécurité car l’ensemble des moyens d’identification d’une intervention est répertorié à un endroit unique. En particulier, la mise à jour des identifiants et des droits se fait de manière centralisée sur le système de contrôle centralisé 46 (et non plus du site industriel 12).

Par exemple, cela empêche un opérateur en possession d’un mot de passe générique d’intervenir sur un site dont il ne dispose pas de l’autorisation.

De plus, l’unicité du certificat numérique permet une bonne traçabilité des interventions effectuées avec la journalisation des informations comme par exemple le nom de l’opérateur, la date de création du certificat, la date de tentative d’utilisation du certificat, le numéro de série du certificat, le type d’intervention.

L’accès aux équipements 24 est donc parfaitement contrôlé, ce qui empêche que l’alimentation 22 et plus généralement le système industriel 16 soit mal paramétré.

Au final, le procédé de sécurisation est utilisable efficacement dans tous les cas de figures qui peuvent se présenter en pratique lorsqu’une opération est à effectuer sur le système industriel 16.

D’autres modes de réalisation sont envisageables.

Des conditions de conformité supplémentaires ou différentes pourraient être envisagées.

Par exemple, l’identité de l’opérateur pourrait être vérifiée.

Similairement, notamment lorsque l’opérateur est d’une autre société, le fabricant du système industriel 16 ou sa société d’origine pourraient être vérifiés.

L’autorisation pourrait être de plusieurs degrés.

Par exemple, certains paramètres d’un équipement pourraient être accessibles à la maintenance et pas d’autres.

En complément, le certificat numérique peut être utilisé pour la traçabilité d’un ou plusieurs fichiers générés dans le cadre de la mission. Par exemple, l’opérateur peut avoir à générer un fichier de paramétrage comportant les nouveaux paramètres de réglage imposés à l’équipement. Le fichier pourrait aussi être un fichier de test in situ d’une nouvelle pièce installée sur l’équipement.

Le fait que de tels fichiers comportent le certificat numérique permet de déterminer aisément qui est l’auteur de ces fichiers et quand celui-ci a généré ces fichiers. Cela permet d’améliorer la traçabilité lors d’une opération de maintenance.