EP4736370A1 - Procédés de protection d'un équipement et de fourniture de données, dispositifs et ensemble électroniques, produits programmes d'ordinateur et supports d'information correspondants - Google Patents

Abstract

L'invention concerne un procédé mis en œuvre dans un premier dispositif d'un réseau de communication comprenant une première portion comprenant un équipement, et une seconde portion, interconnectées via le premier dispositif et un second dispositif selon une communication unidirectionnelle, le procédé comportant : • transmission au second dispositif d'une adresse de l'équipement sur la première portion; • lors d'une communication entre l'équipement et le premier dispositif, obtention d'une valeur d'une donnée de l'équipement; • transmission au second dispositif de cette valeur. Elle concerne également notamment un procédé de fourniture de données correspondant, ainsi que les dispositifs électroniques, ensemble électronique, produits programme d'ordinateur et supports d'informations correspondants.

Description

DESCRIPTION

Titre de l'invention : Procédés de protection d’un équipement et de fourniture de données, dispositifs et ensemble électroniques, produits programmes d’ordinateur et supports d’information correspondants

Domaine technique

La présente application se rapporte au domaine de la sécurisation d’au moins une portion d’un réseau de communication.

Elle concerne notamment un procédé de protection d’au moins un équipement, mis en œuvre par un premier dispositif électronique d’une première portion d’un réseau de communication, et un procédé de fourniture de donnée(s), mis en œuvre par un second dispositif électronique d’une seconde portion d’un réseau de communication, ainsi que les dispositifs et ensemble électroniques, produits programme d’ordinateur et supports d’informations correspondants.

1. Etat de la technique

La présente invention est relative à la protection d’au moins un équipement accessible via un réseau de communication. Il peut s’agir par exemple d’un équipement manipulant des données sensibles, ou effectuant des traitements sensibles, et pouvant donc être la cible d’attaque de tiers malveillants, soit pour accéder de façon indue à des données sensibles, soit pour perturber, voire empêcher, certains traitements via la propagation à l’équipement d’un virus informatique.

Cet équipement fait par exemple partie d’un réseau privé d’entreprise ou d’un réseau domestique, interconnecté à un réseau public tel qu’intemet.

Des exemples de données sensibles incluent des données à caractère personnel (données médicales, bancaires etc..), des données industrielles (comme des plans d’objet manufacturés, des données relatives à la production de certaines machines industrielles comme des résultats de mesures, un nombre de pièces produites, etc..), des historiques de commandes reçues par des équipements industrielles, des alertes, etc.

Des tiers malveillants peuvent être par exemple être tentés de mettre hors d’état d’usage l’équipement, pour nuire à une entreprise ou obtenir une rançon. Des solutions de sécurisation de réseaux privés ont été développées pour protéger un équipement ou un ensemble d’équipements appartenant un même réseau privé de telles attaques. On peut citer par exemple des solutions à base de pares-feux (« firewalls » selon la terminologie anglaise) et/ou des systèmes de détection d'intrusion. On peut citer également l’utilisation de réseaux privés virtuels (RPV) (ou VPN pour Virtual Private Network selon la terminologie anglaise) isolant par cryptage, au sein d’un réseau étendu, les échanges entre les équipements du réseau étendu appartenant au réseau privé virtuel, De telles solutions permettent de limiter les communications avec les équipements extérieurs au réseau privé aux communications émises depuis le réseau privé vers ces équipements « extérieurs », et empêchent ainsi les accès depuis l’extérieur du réseau à un équipement à protéger. Cependant ces solutions, parfois appelés « diodes réseau », sont parfois inappropriées et très contraignantes pour protéger certains équipements électroniques comme des machines industrielles. En effet, de telles solutions permettent seulement les remontées d’informations à l’initiative de l’équipement protégé. Un logiciel s’exécutant sur un appareil électronique extérieur au réseau privé ne peut donc pas interroger un équipement protégé pour obtenir en retour une donnée. De telles solutions limitent fortement, voire empêchent, l’usage de certains protocoles de communication basés sur de telles requêtes et notamment de certains protocoles très répandus dans le domaine industriel (comme, dans le domaine industriel, les protocoles OPC-UA ou ModBus utilisés par de nombreuses machines-outils du marché). Elles ne sont donc pas adaptées à la protection de certains équipements du marché.

La présente demande a pour objet de proposer des améliorations à au moins certains des inconvénients de l’état de la technique.

2. Exposé de l'invention

La présente demande vise à améliorer la situation à l'aide d'un procédé de protection d’un équipement, dit équipement à protéger, d’un réseau de communication partitionné en une pluralité de portions comprenant au moins une première portion, comprenant ledit équipement, et au moins une seconde portion interconnectée avec ladite première portion via un premier dispositif électronique et un second dispositif électronique en communication unidirectionnelle, de façon à permettre uniquement des communications du premier dispositif vers le second dispositif, ledit procédé comprenant :

• une transmission audit second dispositif d’un identifiant d’adressage dudit équipement sur ladite première portion dudit réseau de communication ;

• lors d’une connexion (ou d’une communication) entre ledit équipement à protéger et ledit premier dispositif, une obtention de la valeur courante d‘au moins une donnée dudit équipement ;

• une transmission audit second dispositif, via ladite communication unidirectionnelle, de la valeur courante obtenue.

La présente demande concerne notamment un procédé de protection d’un équipement d’un réseau de communication partitionné en une pluralité de portions comprenant au moins une première portion, comprenant ledit équipement, et au moins une seconde portion interconnectée avec ladite première portion via un premier dispositif électronique et un second dispositif électronique en communication unidirectionnelle, de façon à permettre uniquement des communications du premier dispositif vers le second dispositif, ledit procédé comprenant :

• une obtention d’un identifiant d’adressage dudit équipement à protéger sur ladite première portion dudit réseau de communication, ledit identifiant d’adressage étant obtenu dynamiquement par scrutation de ladite première portion ;

• une transmission audit second dispositif dudit identifiant d’adressage; • lors d’une communication entre ledit équipement à protéger et ledit premier dispositif, une obtention de la valeur courante d‘au moins une donnée dudit équipement;

• une transmission audit second dispositif, via ladite communication unidirectionnelle, de la valeur courante obtenue.

Selon au moins un mode de réalisation, le procédé de protection comprend une obtention d’un descriptif relatif audit équipement à protéger et comportant au moins :

• ledit identifiant d’adressage dudit équipement à protéger sur ladite première portion dudit réseau de communication ;

• une désignation d’au moins un protocole de communication avec ledit équipement ;

• ladite information d’adressage d’au moins une donnée dudit équipement accessible en lecture via ledit équipement.

Selon au moins un mode de réalisation, le procédé de protection comprend une transmission audit second dispositif d’une information identifiant ledit protocole.

Selon au moins un mode de réalisation, le procédé de protection comprend, sur mise à jour d’au moins une première de ladite au moins une donnée accessible, une transmission audit second dispositif, via ladite communication unidirectionnelle, de ladite valeur mise à jour.

Selon au moins un mode de réalisation, ledit descriptif est obtenu lors du lancement dudit procédé de protection.

Selon au moins un mode de réalisation, ledit descriptif est obtenu dynamiquement par ledit premier dispositif par scrutation de ladite première portion.

Selon au moins un mode de réalisation, ladite valeur courante et/ou mise à jour de ladite première donnée est obtenue par interrogation dudit équipement.

Selon au moins un mode de réalisation, ladite interrogation dudit équipement est effectuée plusieurs fois et un intervalle temporel entre deux interrogations successives dudit équipement tient compte d’une information temporelle comprise dans ledit descriptif.

Selon au moins un mode de réalisation, ledit premier dispositif électronique est en connexion fdaire (directe par exemple) avec ledit équipement à protéger.

La présente demande concerne également un procédé de fourniture de données en provenance d’au moins un équipement d’un réseau de communication partitionné en une pluralité de portions comprenant au moins une première portion, et au moins une seconde portion interconnectée avec ladite première portion via un premier dispositif électronique et un second dispositif électronique en communication unidirectionnelle, de façon à permettre uniquement des communications du premier dispositif vers le second dispositif, ledit procédé comprenant :

• une obtention d’un descriptif relatif à au moins un équipement de ladite première portion dudit réseau de communication comportant au moins un identifiant d’adressage dudit au moins un équipement sur ladite première portion dudit réseau de communication ; • une affectation audit second dispositif dudit au moins un identifiant d’adressage obtenu, comme identifiant d’adressage dudit second dispositif sur ladite seconde portion dudit réseau, sur réception d’une requête ayant comme adresse de destination ledit identifiant d’adressage et relative à au moins une première donnée dudit équipement, une transmission d’une valeur de ladite au moins une première donnée, préalablement obtenue via ladite communication unidirectionnelle, à un émetteur de ladite requête.

Selon au moins un mode de réalisation, ledit descriptif est obtenu via ladite communication unidirectionnelle .

Selon au moins un mode de réalisation, ledit descriptif obtenu via ledit procédé de fourniture comprend :

• une désignation d’au moins un protocole de communication avec ledit équipement ;

• d’une information d’adressage d’au moins une donnée dudit équipement accessible en lecture via ledit équipement de ladite première portion dudit réseau ; et ladite requête est reçue selon ledit protocole et est relative à ladite information d’adressage. Les caractéristiques, présentées isolément dans la présente demande en lien avec certains modes de réalisation de l’un des procédés de la présente demande peuvent être combinées entre elles selon d’autres modes de réalisation de ce procédé.

Selon un autre aspect, la présente demande concerne également un dispositif électronique adapté à mettre en œuvre au moins un des procédés de la présente demande dans l’un quelconque de ses modes de réalisations.

La présente demande concerne ainsi un premier dispositif électronique d’un réseau de communication partitionné en une pluralité de portions comprenant au moins une première portion, comprenant un équipement à protéger, et au moins une seconde portion interconnectée avec ladite première portion via le premier dispositif et un second dispositif en communication unidirectionnelle avec le premier dispositif, de façon à permettre uniquement des communications du premier dispositif vers le second dispositif, ledit premier dispositif comprenant un moins un processeur configuré pour :

• une transmission audit second dispositif d’un identifiant d’adressage dudit équipement sur ladite première portion dudit réseau de communication ;

• lors d’une connexion (ou d’une communication) entre ledit équipement à protéger et ledit premier dispositif, une obtention de la valeur courante d‘au moins une donnée dudit équipement;

• une transmission audit second dispositif, via ladite communication unidirectionnelle, de la valeur courante obtenue.

La présente demande concerne notamment un premier dispositif électronique d’un réseau de communication partitionné en une pluralité de portions comprenant au moins une première portion, comprenant un équipement à protéger, et au moins une seconde portion interconnectée avec ladite première portion via le premier dispositif et un second dispositif en communication unidirectionnelle avec le premier dispositif, de façon à permettre uniquement des communications du premier dispositif vers le second dispositif, ledit premier dispositif comprenant un moins un processeur configuré pour :

• une obtention d’un identifiant d’adressage dudit équipement à protéger sur ladite première portion dudit réseau de communication, ledit identifiant d’adressage étant obtenu dynamiquement par scrutation de ladite première portion ;

• une transmission audit second dispositif dudit identifiant d’adressage;

• lors d’une communication entre ledit équipement à protéger et ledit premier dispositif, une obtention de la valeur courante d‘au moins une donnée dudit équipement;

• une transmission audit second dispositif, via ladite communication unidirectionnelle, de la valeur courante obtenue.

La présente demande concerne aussi un second dispositif électronique d’un réseau de communication partitionné en une pluralité de portions comprenant au moins une première portion, comprenant un équipement à protéger, et au moins une seconde portion interconnectée avec ladite première portion via un premier dispositif électronique et ledit second dispositif électronique en communication unidirectionnelle, de façon à permettre uniquement des communications du premier dispositif vers le second dispositif, ledit second dispositif comprenant un moins un processeur configuré pour :

• une affectation audit second dispositif, comme identifiant d’adressage sur ladite seconde portion dudit réseau, d’au moins un identifiant d’adressage, sur ladite première portion dudit réseau de communication ; d’au moins un équipement sur ladite première portion ;

• sur réception d’une requête ayant comme adresse de destination ledit identifiant d’adressage et relative à au moins une première donnée dudit équipement, transmission d’une valeur de ladite au moins une première donnée, préalablement obtenue via ladite communication unidirectionnelle, à un émetteur de ladite requête.

Selon un autre aspect, la présente demande concerne également un ensemble électronique d’un réseau de communication partitionné en une pluralité de portions comprenant au moins une première portion, comprenant un équipement à protéger, et au moins une seconde portion interconnectée avec ladite première portion via un premier dispositif dudit ensemble électronique et un second dispositif dudit ensemble électronique en communication unidirectionnelle, via des moyens de communication unidirectionnelle dudit ensemble électronique, de façon à permettre uniquement des communications du premier dispositif dudit ensemble électronique vers le second dispositif dudit ensemble électronique, ledit au moins un premier dispositif dudit ensemble électronique comportant au moins un premier processeur configuré pour:

• une transmission audit second dispositif d’un identifiant d’adressage dudit équipement sur ladite première portion dudit réseau de communication ;

• lors d’une connexion (ou d’une communication) entre ledit équipement à protéger et ledit premier dispositif, une obtention de la valeur courante d‘au moins une donnée dudit équipement;

• une transmission audit second dispositif, via ladite communication unidirectionnelle, de la valeur courante obtenue.

Et ledit au moins un second dispositif électronique comprenant un moins un second processeur configuré pour :

• une affectation audit second dispositif, comme identifiant d’adressage sur ladite seconde portion dudit réseau, d’au moins un identifiant d’adressage, sur ladite première portion dudit réseau de communication, d’au moins un équipement sur ladite première portion ;

• sur réception d’une requête ayant comme adresse de destination ledit identifiant d’adressage et relative à au moins une première donnée dudit équipement, une transmission d’une valeur de ladite au moins une première donnée, préalablement obtenue via ladite communication unidirectionnelle, à un émetteur de ladite requête.

La présente demande concerne notamment un ensemble électronique d’un réseau de communication partitionné en une pluralité de portions comprenant au moins une première portion, comprenant un équipement à protéger, et au moins une seconde portion interconnectée avec ladite première portion via un premier dispositif dudit ensemble électronique et un second dispositif dudit ensemble électronique en communication unidirectionnelle avec le premier dispositif dudit ensemble électronique, via des moyens de communication unidirectionnelle dudit ensemble électronique de façon à permettre uniquement des communications du premier dispositif dudit ensemble électronique vers le second dispositif dudit ensemble électronique, ledit au moins un premier dispositif dudit ensemble électronique comportant au moins un premier processeur configuré pour :

• une obtention d’un identifiant d’adressage dudit au moins un équipement à protéger sur ladite première portion dudit réseau de communication, ledit identifiant d’adressage étant obtenu dynamiquement par scrutation de ladite première portion ;

• une transmission audit second dispositif dudit identifiant d’adressage dudit au moins un équipement à protéger ;

• lors d’une connexion (ou d’une communication) entre ledit équipement à protéger et ledit premier dispositif, une obtention de la valeur courante d‘au moins une donnée dudit équipement; • une transmission audit second dispositif, via ladite communication unidirectionnelle, de la valeur courante obtenue.

Et ledit au moins un second dispositif électronique comprenant un moins un second processeur configuré pour :

• une affectation audit second dispositif, comme identifiant d’adressage sur ladite seconde portion dudit réseau, d’au moins un identifiant d’adressage, sur ladite première portion dudit réseau de communication, d’au moins un équipement de ladite première portion ;

• sur réception d’une requête ayant comme adresse de destination ledit identifiant d’adressage et relative à au moins une première donnée dudit équipement, une transmission d’une valeur de ladite au moins une première donnée, préalablement obtenue via ladite communication unidirectionnelle, à un émetteur de ladite requête.

Selon un autre aspect, la présente demande concerne également un système comprenant au moins un équipement à protéger et au moins un ensemble électronique de protection, dans un réseau de communication partitionné en une pluralité de portions comprenant au moins une première portion, comprenant ledit équipement à protéger, et au moins une seconde portion interconnectée avec ladite première portion via un premier dispositif dudit ensemble électronique de protection et un second dispositif dudit ensemble électronique de protection en communication unidirectionnelle avec le premier dispositif dudit ensemble électronique de protection, via des moyens de communication unidirectionnelle dudit ensemble électronique de protection de façon à permettre uniquement des communications du premier dispositif dudit ensemble électronique de protection vers le second dispositif dudit ensemble électronique de protection, ledit au moins un premier dispositif dudit ensemble électronique de protection comportant au moins un premier processeur configuré pour :

• une transmission audit second dispositif d’un identifiant d’adressage dudit équipement sur ladite première portion dudit réseau de communication ;

• lors d’une connexion (ou d’une communication) entre ledit équipement à protéger et ledit premier dispositif, une obtention de la valeur courante d‘au moins une donnée dudit équipement;

• une transmission audit second dispositif, via ladite communication unidirectionnelle, de la valeur courante obtenue.

Et ledit au moins un second dispositif électronique comprenant un moins un second processeur configuré pour :

• une affectation audit second dispositif, comme identifiant d’adressage sur ladite seconde portion dudit réseau, d’au moins un identifiant d’adressage, sur ladite première portion dudit réseau de communication ; d’au moins un équipement sur ladite première portion ; • sur réception d’une requête ayant comme adresse de destination ledit identifiant d’adressage et relative à au moins une première donnée dudit équipement, une transmission d’une valeur de ladite au moins une première donnée, préalablement obtenue via ladite communication unidirectionnelle, à un émetteur de ladite requête.

La présente demande concerne notamment un système comprenant au moins un équipement à protéger et au moins un ensemble électronique de protection, dans un réseau de communication partitionné en une pluralité de portions comprenant au moins une première portion, comprenant ledit équipement à protéger, et au moins une seconde portion interconnectée avec ladite première portion via un premier dispositif dudit ensemble électronique de protection et un second dispositif dudit ensemble électronique de protection en communication unidirectionnelle avec le premier dispositif dudit ensemble électronique de protection, via des moyens de communication unidirectionnelle dudit ensemble électronique de protection de façon à permettre uniquement des communications du premier dispositif dudit ensemble électronique de protection vers le second dispositif dudit ensemble électronique de protection, ledit au moins un premier dispositif dudit ensemble électronique de protection comportant au moins un premier processeur configuré pour :

• une obtention d’un identifiant d’adressage dudit au moins un équipement à protéger sur ladite première portion dudit réseau de communication, ledit identifiant d’adressage étant obtenu dynamiquement par scrutation de ladite première portion ;

• une transmission audit second dispositif dudit identifiant d’adressage dudit au moins un équipement à protéger ;

• lors d’une connexion (ou d’une communication) entre ledit équipement à protéger et ledit premier dispositif, une obtention de la valeur courante d‘au moins une donnée dudit équipement;

• une transmission audit second dispositif, via ladite communication unidirectionnelle, de la valeur courante obtenue.

Et ledit au moins un second dispositif électronique comprenant un moins un second processeur configuré pour :

• une affectation audit second dispositif, comme identifiant d’adressage sur ladite seconde portion dudit réseau, d’au moins un identifiant d’adressage, sur ladite première portion dudit réseau de communication, d’au moins un équipement de ladite première portion ;

• sur réception d’une requête ayant comme adresse de destination ledit identifiant d’adressage et relative à au moins une première donnée dudit équipement, une transmission d’une valeur de ladite au moins une première donnée, préalablement obtenue via ladite communication unidirectionnelle, à un émetteur de ladite requête. La présente demande concerne aussi un programme d'ordinateur comprenant des instructions pour la mise en œuvre des divers modes de réalisation de l’un au moins des procédés ci-dessus, lorsque ledit programme est exécuté par un processeur, et un support d’informations lisible par un dispositif électronique et sur lequel est enregistré le programme d’ordinateur.

La présente demande concerne ainsi un programme d'ordinateur comprenant des instructions pour la mise en œuvre, lorsque le programme est exécuté par un processeur d’un premier dispositif électronique, d’un procédé de protection d’un équipement d’un réseau de communication partitionné en une pluralité de portions comprenant au moins une première portion, comprenant ledit équipement, et au moins une seconde portion interconnectée avec ladite première portion via le premier dispositif et un second dispositif en communication unidirectionnelle avec le premier dispositif, de façon à permettre uniquement des communications du premier dispositif vers le second dispositif, ledit procédé comprenant :

• une transmission audit second dispositif d’un identifiant d’adressage dudit équipement sur ladite première portion dudit réseau de communication ;

• lors d’une connexion (ou d’une communication) entre ledit équipement à protéger et ledit premier dispositif, une obtention de la valeur courante d‘au moins une donnée dudit équipement;

• une transmission audit second dispositif, via ladite communication unidirectionnelle, de la valeur courante obtenue.

La présente demande concerne notamment un programme d'ordinateur comprenant des instructions pour la mise en œuvre des divers modes de réalisation de l’un au moins des procédés ci-dessus, lorsque ledit programme est exécuté par un processeur, et un support d’informations lisible par un dispositif électronique et sur lequel est enregistré le programme d’ordinateur.

La présente demande concerne notamment un programme d'ordinateur comprenant des instructions pour la mise en œuvre, lorsque le programme est exécuté par un processeur d’un premier dispositif électronique, d’un procédé de protection d’un équipement d’un réseau de communication partitionné en une pluralité de portions comprenant au moins une première portion, comprenant ledit équipement, et au moins une seconde portion interconnectée avec ladite première portion via le premier dispositif et un second dispositif en communication unidirectionnelle avec le premier dispositif, de façon à permettre uniquement des communications du premier dispositif vers le second dispositif, ledit procédé comprenant :

• une obtention d’un identifiant d’adressage dudit équipement à protéger sur ladite première portion dudit réseau de communication, ledit identifiant d’adressage étant obtenu dynamiquement par scrutation de ladite première portion ;

• une transmission audit second dispositif dudit identifiant d’adressage; • lors d’une communication entre ledit équipement à protéger et ledit premier dispositif, une obtention de la valeur courante d‘au moins une donnée dudit équipement;

• une transmission audit second dispositif, via ladite communication unidirectionnelle, de la valeur courante obtenue.

Par ailleurs, la présente demande concerne un programme d'ordinateur comprenant des instructions pour la mise en œuvre, lorsque le programme est exécuté par un processeur d’un second dispositif électronique, d’un procédé de fourniture de données en provenance d’au moins un équipement d’un réseau de communication partitionné en une pluralité de portions comprenant au moins une première portion, et au moins une seconde portion interconnectée avec ladite première portion via un premier dispositif électronique et le second dispositif électronique en communication unidirectionnelle, de façon à permettre uniquement des communications du premier dispositif vers le second dispositif, ledit procédé comprenant :

• une affectation audit second dispositif, comme identifiant d’adressage sur ladite seconde portion dudit réseau, d’au moins un identifiant d’adressage, sur ladite première portion dudit réseau de communication ; d’au moins un équipement sur ladite première portion ;

• sur réception d’une requête ayant comme adresse de destination ledit identifiant d’adressage et relative à au moins une première donnée dudit équipement, une transmission d’une valeur de ladite au moins une première donnée, préalablement obtenue via ladite communication unidirectionnelle, à un émetteur de ladite requête.

La présente demande concerne aussi un support d’informations lisible par un processeur d’un premier dispositif électronique et sur lequel est enregistré un programme d’ordinateur comprenant des instructions pour la mise en œuvre, lorsque le programme est exécuté par le processeur, d’un procédé de protection d’un équipement d’un réseau de communication partitionné en une pluralité de portions comprenant au moins une première portion, comprenant ledit équipement, et au moins une seconde portion interconnectée avec ladite première portion via le premier dispositif et un second dispositif en communication unidirectionnelle avec le premier dispositif, de façon à permettre uniquement des communications du premier dispositif vers le second dispositif, ledit procédé comprenant :

• une transmission audit second dispositif d’un identifiant d’adressage dudit équipement sur ladite première portion dudit réseau de communication ;

• lors d’une connexion (ou d’une communication) entre ledit équipement à protéger et ledit premier dispositif, une obtention de la valeur courante d‘au moins une donnée dudit équipement;

• une transmission audit second dispositif, via ladite communication unidirectionnelle, de la valeur courante obtenue. La présente demande concerne notamment un support d’informations lisible par un processeur d’un premier dispositif électronique et sur lequel est enregistré un programme d’ordinateur comprenant des instructions pour la mise en œuvre, lorsque le programme est exécuté par le processeur, d’un procédé de protection d’un équipement d’un réseau de communication partitionné en une pluralité de portions comprenant au moins une première portion, comprenant ledit équipement, et au moins une seconde portion interconnectée avec ladite première portion via le premier dispositif et un second dispositif en communication unidirectionnelle avec le premier dispositif, de façon à permettre uniquement des communications du premier dispositif vers le second dispositif, ledit procédé comprenant :

• une obtention d’un identifiant d’adressage dudit équipement à protéger sur ladite première portion dudit réseau de communication, ledit identifiant d’adressage étant obtenu dynamiquement par scrutation de ladite première portion ;

• une transmission audit second dispositif dudit identifiant d’adressage;

• lors d’une communication entre ledit équipement à protéger et ledit premier dispositif, une obtention de la valeur courante d‘au moins une donnée dudit équipement;

• une transmission audit second dispositif, via ladite communication unidirectionnelle, de la valeur courante obtenue.

La présente demande concerne par ailleurs un support d’informations lisible par un processeur d’un second dispositif électronique et sur lequel est enregistré un programme d’ordinateur comprenant des instructions pour la mise en œuvre, lorsque le programme est exécuté par le processeur, d’un procédé d’un procédé de fourniture de données en provenance d’au moins un équipement d’un réseau de communication partitionné en une pluralité de portions comprenant au moins une première portion, et au moins une seconde portion interconnectée avec ladite première portion via un premier dispositif électronique et le second dispositif électronique en communication unidirectionnelle, de façon à permettre uniquement des communications du premier dispositif vers le second dispositif, ledit procédé comprenant :

• une affectation audit second dispositif, comme identifiant d’adressage sur ladite seconde portion dudit réseau, d’au moins un identifiant d’adressage, sur ladite première portion dudit réseau de communication ; d’au moins un équipement sur ladite première portion ;

• sur réception d’une requête ayant comme adresse de destination ledit identifiant d’adressage et relative à au moins une première donnée dudit équipement, une transmission d’une valeur de ladite au moins une première donnée, préalablement obtenue via ladite communication unidirectionnelle, à un émetteur de ladite requête.

Les programmes mentionnés ci-dessus peuvent utiliser n’importe quel langage de programmation, et être sous la forme de code source, code objet, ou de code intermédiaire entre code source et code objet, tel que dans une forme partiellement compilée, ou dans n’importe quelle autre forme souhaitable.

Les supports d'informations (ou d’enregistrement) mentionnés dans la présente demande peuvent être n'importe quelle entité ou dispositif capable de stocker le programme. Par exemple, un support d’informations peut comporter un moyen de stockage, tel qu'une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore un moyen d'enregistrement magnétique.

Un tel moyen de stockage peut par exemple être un disque dur, une mémoire flash, etc.

D'autre part, un support d'informations peut être un support d'informations transmissible tel qu'un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par radio ou par d'autres moyens. Un programme selon l'invention peut être en particulier téléchargé sur un réseau de type Internet.

Alternativement, un support d'informations peut être un circuit intégré dans lequel un programme est incorporé, le circuit étant adapté pour exécuter ou pour être utilisé dans l'exécution de l’un quelconque des modes de réalisation d’au moins un des procédés objets de la présente demande de brevet.

De façon générale, par obtention d’un élément, on entend dans la présente demande par exemple une réception de cet élément depuis un réseau de communication, une acquisition de cet élément (via par exemple des éléments d’interface utilisateur , des capteurs, etc.), une création de cet élément par divers moyens de traitement tels que par copie, encodage, décodage, transformation etc et/ou un accès de cet élément depuis un support de stockage local ou distant accessible à au moins un appareil (comme le premier et/ou le second dispositif) mettant en œuvre, au moins partiellement, cette obtention.

3. Brève description des dessins

D’autres caractéristiques et avantages de l’invention apparaîtront plus clairement à la lecture de la description suivante de modes de réalisation particuliers, donnés à titre de simples exemples illustratifs et non limitatifs, et des dessins annexés, parmi lesquels :

La [Fig 1] présente une vue simplifiée d’un système, cité à titre d’exemple, dans lequel au moins certains modes de réalisation des procédés de la présente demande peuvent être implémentés,

La [Fig 2] présente une vue simplifiée d’un dispositif adapté à mettre en œuvre au moins certains modes de réalisation d’au moins un des procédés de la présente demande,

La [Fig 3] présente un aperçu du procédé de protection de la présente demande, dans certains de ses modes de réalisation

La [Fig 4] présente un aperçu du procédé de fourniture de données de la présente demande, dans certains de ses modes de réalisation La [Fig 5] présente une vue simplifiée d’un système 500, cité à titre d’exemple, dans lequel au moins certains modes de réalisation du procédé de la présente demande peuvent être implémentés

4. Description des modes de réalisation

La présente demande vise à fournir une solution simple et efficace permettant à la fois de protéger un ou plusieurs équipements d’un réseau de communication contre des attaques informatiques, notamment externes à ce réseau de communication, tout en permettant d’obtenir (par exemple sur demande), notamment depuis l’extérieur du réseau de communication, et de manière sécurisée, des données en provenance de ces équipements à protéger. Pour cela, la demande propose d’équiper le réseau de communication d’au moins deux dispositifs, réalisant une partition du réseau de communication en au moins deux portions.

Par partition, on entend ici un partage du réseau de communication en une pluralité de portions comprenant chacune au moins un appareil électronique, disjointes deux à deux (hormis certains éléments d’interconnexion entre les au moins deux dispositifs comme précisé ci-après) et dont la réunion reconstitue le réseau de communication.

Au moins une première de ces portions est une portion (dite « protégée ») inaccessible depuis un appareil électronique situé à l’extérieur de cette première portion, cette première portion comprenant au moins un équipement à protéger. Au moins une seconde portion dite « exposée » est accessible, directement ou via des équipements d’interconnexion, à des appareils extérieurs à la première portion (comme des appareils situés dans une autre « première » portion protégée que la première portion « protégée » où se situe l’équipement, et/ou des appareils de la seconde portion, et/ou des appareils extérieurs au réseau de communication).

Le réseau de communication peut notamment être un réseau privé ou local. Le ou les équipement s) à protéger peuvent par exemple être des machines industrielles. Selon la présente demande, un premier dispositif appartenant à une portion protégée accède, en lecture, à des données d’un équipement à protéger situé dans cette portion protégée, et les transmet à un second dispositif, situé dans une portion exposée (ie externe à cette portion protégée), où ces données sont accessibles à un appareil tiers (comme un appareil n’appartenant pas au réseau de communication, ou appartenant à la portion exposée du réseau de communication) et/ou susceptibles d’être fournies (systématiquement, sur abonnement et/ou sur demande) à un appareil tiers. Une duplication au moins partielle des données accessibles en lecture de l’équipement à protéger est ainsi mise en œuvre sur le second dispositif. Le premier dispositif et le second dispositif communiquent uniquement via des moyens de communication unidirectionnelle, de façon à ne rendre possible que les communications émises depuis le premier dispositif (depuis la portion protégée) vers le second dispositif (dans la portion exposée).

Ainsi, selon la présente demande, il est possible de recevoir (au niveau du second dispositif) des requêtes d’un appareil tiers souhaitant obtenir des données en provenance de l’équipement à protéger, et de lui fournir en retour ces données (précédemment obtenues via le premier dispositif), en toute sécurité pour l’équipement à protéger.

L’ensemble logique comprenant les au moins un premier et second dispositifs et les moyens de communication unidirectionnelle est également appelé dans la présente demande « ensemble électronique», ou « ensemble électronique de protection », ou encore « Diode intelligente » (ou Smart Diode selon la terminologie anglaise). Selon les modes de réalisation, il peut s’agir d’un ensemble virtuel, encapsulant virtuellement les premier et seconds dispositifs et leurs moyens de communication unidirectionnels ou d’un ensemble physique (comme un élément hardware), ayant par exemple un boîtier dans lequel sont installés les au moins un premier et second dispositifs et leurs moyens de communication unidirectionnels. Cet ensemble peut comprendre selon les modes de réalisation, et la topologie du réseau (par exemple le nombre d’équipements à protéger) un nombre variable de « premier » dispositif et de « second » dispositif.

Un tel ensemble électronique offre l’avantage d’être facile à installer dans un réseau de communication, par exemple en « intermédiaire » entre un équipement (particulier) à protéger et le reste du réseau de communication., ou de façon à limiter les accès à cet équipement à protéger aux seuls accès effectués par le premier dispositif ou simplement pour limiter les accès à l’équipement à protéger aux appareils situés dans une portion (protégée) du réseau de communication, à laquelle appartient cet équipement. Un tel ensemble peut également aider à proposer un produit « clé en main » à un administrateur du réseau de communication.

Un tel ensemble électronique peut ainsi aider, au moins dans certains modes de réalisation, à sécuriser un équipement à protéger, sans nécessiter de modification et/ou de remplacement de cet équipement.

Par souci de clarté, on utilise dans la présente demande le terme « équipement électronique », ou « équipement », pour se référer à des équipements susceptibles d’être protégés par l’ensemble électronique. On utilisera le terme « dispositif électronique », ou « dispositif », pour se référer au premier ou au second dispositif électronique de l’ensemble électronique 160 introduits ci-avant. Le terme « appareil électronique » ou « appareil » est relatif à un appareil électronique quelconque (il peut s’agir parfois d’un équipement à protéger ou d’un dispositif de l’ensemble électronique)

On décrit à présent, en lien avec la figure 1, de façon plus détaillée la présente demande.

La figure 1 représente un système 100 dans lequel certains modes de réalisation de l’invention peuvent être mis en œuvre. Le système 100 comporte un ou plusieurs appareils électroniques, certains au moins pouvant communiquer entre eux via un ou plusieurs réseaux de communication 110, 120, 130 éventuellement partitionnés et/ou interconnectés. Dans l’exemple illustré, le système comprend ainsi un réseau privé partitionné en deux portions 110, 120. L’une des portions 120 est en outre interconnectée avec un autre réseau 130 (comme un réseau étendu et/ou public, permetant ainsi des communications, entre des appareils électroniques 150, 164, 170 de cete portion 120 et des appareils électroniques 180 n’appartenant pas au réseau privé.

Le réseau privé peut par exemple être un réseau privé d’entreprise ou domestique, par exemple un réseau privé local (ou LAN pour Local Area Network, selon la terminologie anglaise). L’autre réseau 130 peut par exemple être un autre réseau local, ou un réseau « étendu » de couverture géographique importante, comme un réseau métropolitain (ou MAN, pour Metropolitan Area Network, selon la terminologie anglaise) ou un réseau dont la zone géographique couvre au moins une région d’un pays, ou un pays (ou WAN, pour Wide Area Network, selon la terminologie anglaise). Il peut s’agir par exemple d’un réseau WAN de type internet, ou cellulaire, GSM - Global System for Mobile Communications, UMTS - Universal Mobile Telecommunications System, Wifi - Wireless, etc.).

Comme illustré en figure 1, le système 100 peut également comprendre plusieurs équipements électroniques 140 dans une portion 110 non interconnectée du réseau privé, comme un terminal (tel qu’un ordinateur portable, un smartphone, une tablete ou un objet connecté), un objet connecté (comme un robot, un dispositif mobile guidé automatiquement et/ou à distance, un compteur d’énergie, une machine-outil dans le cas d’un réseau privé industriel, et/ou un équipement électroménager dans le cas d’un réseau domestique), un serveur, par exemple un serveur d’applications, et/ou un dispositif de stockage.

Le système comprend au moins un ensemble électronique 160 tel qu’introduit ci -avant visant à protéger au moins certains équipements électroniques 140 du réseau privé 110. Le premier dispositif 162 de l’ensemble électronique 160 est situé dans une portion 110 dite « à protéger » du réseau privé comportant l’équipement 140 à protéger. Le premier dispositif 162 communique avec le second dispositif 164 (situé dans la portion interconnectée 120) via des moyens 168 de communication unidirectionnelle, ne permetant pas une communication dans la direction opposée. De tels moyens de communication unidirectionnels peuvent varier selon les modes de réalisation (et notamment selon les capacités hardware du premier et/ou du second dispositif). Dans certains modes de réalisation, les moyens de communication unidirectionnels peuvent comprendre au moins un optocoupleur, et/ou encore des moyens de communication bidirectionnels ayant été limités à un seul sens de transmission, comme un câble Ethernet une liaison série et/ou ou une fibre optique et/ou au moins un isolateur digital (Digital isolator selon la terminologie anglaise) à isolation galvanique, capacitive, inductive et/ou optique.

La présence d’optocoupleur(s) permet de séparer les deux dispositifs de manière physique (aucun flux électrique n’est échangé, simplement de la lumière), et donc de renforcer la sécurité des échanges. L’isolation électrique des dispositifs entre eux peut aider par exemple à prévenir des ataques par injection de courant ou de signal électrique sur la seconde portion dudit réseau.

Le système peut également comprendre des éléments 164, 170 de gestion et/ou d’interconnexion réseau. Notamment (et même si non illustré en figure 1), dans certains modes de réalisation, l’ensemble électronique 160 peut comprendre une passerelle d’interconnexion avec un autre réseau. Dans certains modes de réalisation, cette passerelle peut par exemple être connectée au deuxième dispositif de l’ensemble électronique (et donc permettre une interconnexion entre la portion « exposée » du réseau privé et l’autre réseau). Dans d’autres modes de réalisation, le deuxième dispositif peut jouer lui -même un rôle de passerelle d’interconnexion entre la portion « exposée » du réseau privé et l’autre réseau.

Le réseau privé peut par exemple utiliser des liaisons fdaires comme au moins une liaison série et/ou une liaison Ethernet, ou des moyens de communication sans fd. Le réseau peut implémenter un protocole de communication comme ModBus Série, ou CAN (acronyme anglophone pour « Controller Area Network ») dans le cas d’une liaison série, ou comme (ModBus TCP, OPC- UA, MQTT (pour Message Queuing Telemetry en anglais), Siemens S7) dans le cas d’une liaison Ethernet.

La figure 2 illustre une structure simplifiée d’un appareil électronique 200 du système 100, par exemple le premier dispositif 162, le premier dispositif 162, et/ou l’équipement à protéger 140 de la figure 1. Selon les modes de réalisation, il peut s’agir d’un serveur, et/ou d’un terminal, ou encore d’un micro-ordinateur avec une interface homme-machine simple comme un Raspberry Pi ©, un OrangePi © ou encore un NanoPl NEO.

L’appareil 200 comprend notamment au moins une mémoire M 210. L’appareil 200 peut notamment comprendre une mémoire tampon, une mémoire volatile, par exemple de type RAM (pour « Random Access Memory » selon la terminologie anglaise), et/ou une mémoire non volatile (par exemple de type ROM (pour « Read Only Memory » selon la terminologie anglaise). L’appareil 200 peut également comprendre une unité de traitement UT 220, équipée par exemple d'au moins un processeur P 222, et pilotée par un programme d'ordinateur PG 212 stocké en mémoire M 210. A l'initialisation, les instructions de code du programme d'ordinateur PG sont par exemple chargées dans une mémoire RAM avant d'être exécutées par le processeur P. Dans le cas où l’appareil est le premier dispositif 162 et/ou du second dispositif 164 de l’ensemble électronique, ledit au moins un processeur P 222 de l'unité de traitement UT 220 peut notamment mettre en œuvre, individuellement ou collectivement, l'un quelconque de modes de réalisation d’au moins un des procédés de la présente demande (décrits notamment en relation avec les figures 3 et 4), selon les instructions du programme d'ordinateur PG.

L’appareil peut également comporter, ou être couplé à, au moins un module d’entrée/ sortie I/O 230. L’au moins un module d’entrée/ sortie I/O 230 de l’appareil peut comprendre, dans certains modes de réalisation, au moins un module d’interfaçage avec un utilisateur de l’appareil (aussi appelé plus simplement dans cette demande « interface utilisateur ». Par interface utilisateur de l’appareil, on entend par exemple une interface intégrée à l’appareil 200, ou une partie d’un appareil tiers avec lequel il est couplé par des moyens de communication filaires ou sans fils. Par exemple, il peut s’agir d’un écran secondaire de l’appareil Une interface utilisateur peut notamment être une interface utilisateur, dite «de sortie », adaptée à un rendu (ou au contrôle d’un rendu) d’un élément de sortie d’une application informatique utilisée par l’appareil 200, par exemple une application s’exécutant au moins partiellement sur l’appareil 200 ou une application « en ligne » s’exécutant au moins partiellement à distance, par exemple sur un serveur. Des exemples d’interface utilisateur de sortie de l’appareil incluent un ou plusieurs écrans, notamment au moins un écran graphique (tactile par exemple), un ou plusieurs haut-parleurs, un objet connecté.

Par rendu, on entend ici une restitution (ou « output » selon la terminologie anglaise) sur au moins une interface utilisateur, sous une forme quelconque, par exemple comprenant des composantes textuelle, audio et/ou vidéo, ou une combinaison de telles composantes.

Par ailleurs, une interface utilisateur peut être une interface utilisateur, dite «d’entrée», adaptée à une acquisition d’une commande d’un utilisateur de l’appareil 200. Il peut s’agir notamment d’une action à effectuer en lien avec un item restitué, et/ou d’une commande à transmettre à une application informatique utilisée par l’appareil 200, par exemple une application s’exécutant au moins partiellement sur l’appareil 200 ou une application « en ligne » s’exécutant au moins partiellement à distance, par exemple sur un serveur. Des exemples d’interface utilisateur d’entrée de l’appareil incluent un capteur, un moyen d’acquisition audio et/ou vidéo (microphone, caméra (webcam) par exemple), un clavier, une souris.

L’appareil peut également comporter, ou être couplé à, au moins un module d’entrée/ sortie I/O 230, tel qu’un module de communication, permettant à l’appareil 200 de communiquer avec au moins un autre appareil du système 100, via des interfaces de communication filaires ou sans fds. Par exemple, il peut s’agir d’au moins une interface de type Ethernet, et/ou de type Wifi, Bluetooth.

Dans le cas où l’appareil est le premier dispositif 162 ou le second dispositif 164 de l’ensemble électronique, les moyens de communication comportent une interface 1622, 1642 de communication unidirectionnelle entre les deux dispositifs, comme une interface de type Ethernet, ou une interface série avec un optocoupleur 166 de l’ensemble électronique 160. Dans l'exemple de la figure 1, l’ optocoupleur peut être connecté directement à l'interface série. Par exemple, le port de transmission du premier dispositif (portion protégée) peut être connecté à une broche de l'optocoupleur et le port de réception du second dispositif (portion exposée) peut être connecté à une autre broche de l’optocoupleur. Chaque côté de l'optocoupleur peut être alimenté en tension par les premier et second dispositifs respectivement (par exemple avec une tension de 3.3V).

Dans certains modes de réalisation, lorsque l’appareil 200 appartient à une première portion à protéger, les moyens de communication de l’appareil (hormis éventuellement les moyens de communication unidirectionnelle ci-dessus lorsque l’appareil est l’un des premier et second dispositifs) peuvent être uniquement des moyens de communication filaires, de façon à limiter physiquement les possibilités d’accès (directement ou via cet appareil) à un équipement à protéger situé dans la même portion à protéger du réseau (et donc les possibilités d’attaques de tiers) . Ainsi, au moins l’un des premier et second dispositifs 162, 164 peut être un microordinateur de type « NanoPi NEO » ©, équipé uniquement d'un port Ethernet (et pas de WiFi) Ledit au moins un microprocesseur du premier dispositif 162 peut notamment être adapté pour :

• une transmission au second dispositif d’un identifiant d’adressage de l’équipement sur la première portion du réseau de communication ;

• lors d’une connexion (ou d’une communication) entre ledit équipement à protéger et le premier dispositif, une obtention de la valeur courante d‘au moins une donnée dudit équipement ;

• une transmission audit second dispositif, via ladite communication unidirectionnelle, de la valeur courante obtenue.

Par exemple, ledit au moins un microprocesseur du premier dispositif 162 peut notamment être adapté pour :

• une obtention d’un identifiant d’adressage dudit équipement à protéger sur ladite première portion dudit réseau de communication, ledit identifiant d’adressage étant obtenu dynamiquement par scrutation de ladite première portion ;

• une transmission audit second dispositif dudit identifiant d’adressage;

• lors d’une communication entre ledit équipement à protéger et ledit premier dispositif, une obtention de la valeur courante d‘au moins une donnée dudit équipement;

• une transmission audit second dispositif, via ladite communication unidirectionnelle, de la valeur courante obtenue.

Ledit au moins un microprocesseur du second dispositif 164 peut notamment être adapté pour :

• une affectation audit second dispositif, comme identifiant d’adressage sur ladite seconde portion dudit réseau, d’au moins un identifiant d’adressage, sur ladite première portion dudit réseau de communication ; d’au moins un équipement sur ladite première portion ;

• sur réception d’une requête ayant comme adresse de destination ledit identifiant d’adressage et relative à au moins une première donnée dudit équipement, une transmission d’une valeur de ladite au moins une première donnée, préalablement obtenue via ladite communication unidirectionnelle, à un émetteur de ladite requête.

Certains des modules d‘entrée -sorties ci-dessus sont optionnels et peuvent donc être absents de l’équipement à protéger, du premier dispositif et/ou du second dispositif dans certains modes de réalisation.

L’ensemble électronique introduit ci-dessus peut comprendre, dans certains modes de réalisation, un boîtier physique dans lequel sont logés le premier et le second dispositif et les moyens de communication unidirectionnels du premier dispositif vers le second dispositif. Le boîtier peut par exemple limiter ou empêcher les accès physiques aux premier et second dispositifs et à leurs moyens de communication unidirectionnels. Il peut notamment s’agir d’un boîtier fermé par une bande de garantie non repositionnable, ou d’un boîtier scellé, de façon à rendre visible toute ouverture du boîtier, du fait de la détérioration d’un scellé ou de la bande de garantie, ou de rendre son ouverture difficile. Le boîtier peut par exemple laisser un accès physique à au moins certaines interfaces de communication du premier et/ou du second dispositif (autres que les moyens de communication unidirectionnels entre ces deux dispositifs par exemple) et/ou comporter des interfaces de communication reliées à au moins certaine(s) des interface(s) de communication du premier et du second dispositif.

Dans certains modes de réalisation, le boîtier peut ne donner accès qu’à certaine(s) interface(s) de communication filaire(s) du premier dispositif. Par exemple, il peut s’agir de « forcer » ainsi l’usage de certaines interfaces de communication entre l’équipement et le premier dispositif offrant par exemple des avantages en termes de sécurité (par exemple du fait du protocole que mettent enjeu de tels interfaces) ou pour privilégier l’usage d’interfaces « filaires ». Dans certains modes de réalisation, le boîtier peut laisser l’accès à plusieurs interfaces de communication des premiers et seconds dispositifs, de façon à proposer un ensemble adapté à différents environnements réseaux.

Dans certains modes de réalisation, par exemple lorsque l’ensemble électronique introduit ci- dessus n’empêche pas l’accès à certaines interfaces du premier dispositif, certaines de ces interfaces peuvent être désactivées de façon logicielle (par exemple ne fournir aucun service), de façon à ce qu’un équipement tiers ne puisse pas accéder en lecture et/ou en écriture (via une connexion SHH dans le cas d’une liaison Ethernet par exemple) au descriptif du premier dispositif et à des données de l’équipement mémorisées par le premier dispositif.

Par le terme « module » ou le terme « composant » ou « élément » du dispositif, on entend ici un élément matériel, notamment câblé, ou un élément logiciel, ou une combinaison d’au moins un élément matériel et d’au moins un élément logiciel. Le procédé selon l’invention peut donc être mis en œuvre de diverses manières, notamment sous forme câblée et/ou sous forme logicielle.

La figure 3 illustre certains modes de réalisation du procédé 300 de protection de la présente demande. Le procédé 300 peut par exemple être mis en œuvre par un premier dispositif situé dans une portion protégée d’un réseau de communication comme le premier dispositif 162 de l’ensemble électronique 160 du système 100.

Selon les modes de réalisation, le procédé peut être mise en œuvre automatiquement au démarrage du premier dispositif (via un script exécuté au démarrage (« boot ») du dispositif) ou plus tard, par exemple suite au lancement, manuel ou automatique (via une tâche de fond par exemple) d’un exécutable implémentant au moins un mode de réalisation du procédé. Le procédé peut notamment comprendre comme illustré en figure 3, une phase dite d’initialisation 310 (lors d’un démarrage du dispositif par exemple ou ultérieurement, sur réception d’une commande utilisateur par exemple). Cette phase d’initialisation 310 comprend une obtention 312 d’un descriptif relatif à au moins un équipement (à protéger) situé dans une même « première » portion que le premier dispositif. Le descriptif peut prendre la forme d’un ou plusieurs fichiers par exemple, au format YAML, XML ou JSON par exemple. Le descriptif peut notamment comprendre des informations nécessaires à l’identification de l’équipement, et/ou des informations nécessaires à l’établissement d’une communication entre le premier dispositif et l’équipement et/ou des informations décrivant les données (emplacement, taille, type, structure, etc.) auxquelles le premier dispositif doit accéder sur l’équipement ou que celui- ci est susceptible de fournir au premier dispositif. Selon les modes de réalisation, et selon les moyens de communication unidirectionnelles mises en œuvre entre le premier et le second dispositif, le descriptif peut en outre comprendre des informations nécessaires à l’établissement d’une communication unidirectionnelle entre le premier dispositif et le second dispositif (comme une adresse du second dispositif sur le réseau de communication, un protocole à utiliser, etc.)

Les informations nécessaires à l’identification d’un équipement à protéger peuvent comprendre au moins une des informations d’identification suivantes : un libellé textuel ; une adresse (ou identifiant d’adressage) de l’équipement sur la première portion (par exemple selon les protocoles une adresse IP, une adresse MAC d’au moins un point d’accès de l’équipement, une URL (pour Uniform Resource Allocator selon la terminologie anglaise), etc.) ; une référence constructeur de l’équipement ; un numéro de série de l’équipement ; une combinaison d’au moins deux des informations d’identification ci-dessus.

Les informations nécessaires à l’établissement d’une communication entre le premier dispositif et l’équipement (en complément aux informations d’identification) comprennent notamment au moins une des informations, dites de communication, suivantes : une information désignant un protocole utilisable pour dialoguer avec l’équipement ; un port de l’équipement utilisable pour dialoguer avec l’équipement selon ledit protocole ; au moins un élément de sécurisation de connexion (comme un identifiant d’accès, un mot de passe, une clé publique ou privée etc..) ; des paramètres complémentaires spécifiques à certain(s) protocoles(s) (comme un « topic » dans le cas du protocole MQTT ou une URL dans le cas du protocole OPC-UA) ; une combinaison d’au moins deux des informations de communication ci-dessus.

Des exemples de protocoles incluent des protocoles hiérarchisés, utilisant des structures de données standardisées, comme les protocoles Open Platform Communications Unified Architecture (OPC UA) ModBus, ou des protocoles non hiérarchisés comme MQTT ou Direct UDP.

Les informations décrivant les données (emplacement, taille, type, structure, etc.) auxquelles le premier dispositif doit accéder sur l’équipement et/ou que celui-ci est susceptible de fournir au premier dispositif comprennent notamment, pour au moins un protocole utilisé, au moins une des informations descriptives de données suivantes : un libellé textuel ; une information dite d’adressage relative à un emplacement à au moins une de ces données (comme une ou plusieurs adresses, une plage d’adresses, une désignation d’un ou plusieurs registres, etc.) ; une indication d’un type d’au moins une de ces données (booléen, entier, etc.) ; une information relative à une taille mémoire d’au moins une de ces données ; une information relative à une structure d’au moins une de ces données ; une clé de décryptage d’au moins une de ces données ; un intervalle de temps entre deux accès à au moins une de ces données (par exemple une durée minimale, maximale, ou nominale entre deux accès) (par exemple de l’ordre de quelques millisecondes ou de quelques secondes comme 100 ms, 1 s, 2s, ou 5s ) ; une information temporelle (heure, plage temporelle etc..) limitant l’accès à un au moins une de ces données ; une combinaison d’au moins deux des informations descriptives de données ci-dessus.

On note que les informations décrivant des données peuvent varier selon le(s) protocole utilisé(s).

Dans certains modes de réalisation, l’intervalle de temps entre deux accès peut varier selon les données concernées, par exemple selon la fréquence attendue de variation de ces données (de façon à accéder plus fréquemment aux données susceptibles de varier le plus souvent qu’à d’autres données variant moins fréquemment), ou selon la criticité des données (de façon à accéder plus fréquemment aux données les plus critiques, dont la variation peut refléter une situation alarmante).

Une limitation temporelle d’accès aux données de l’équipement peut permettre par exemple d’éviter des accès aux données de l’équipement dans des moments où ces accès seraient susceptibles de nuire au bon perfectionnement de l’équipement (par exemple en ajoutant une charge de traitement à l’équipement pendant des périodes de forte utilisation de l’équipement). Une limitation temporelle d’accès aux données de l’équipement peut aussi permettre, dans certains modes de réalisation, d’exclure des accès dans des périodes (comme la nuit ou le weekend) où l’équipement n’est pas utilisé et donc où des données relatives à son fonctionnement seraient non significatives et/ou ne sont pas susceptibles de varier. Un tel mode de réalisation peut aider à économiser les ressources CPU de l’équipement et/ou du premier dispositif et donc à limiter leur consommation d’énergie. Une limitation temporelle d’accès aux données de l’équipement peut aussi permettre par exemple d’éviter des accès aux données de l’équipement dans des moments où les données seraient inaccessibles ou incohérentes (lors de mises à jour programmées de l’équipement par exemple).

On notera que les informations décrivant des données incluses dans le descriptif peuvent ne concerner que certaines des données accessibles en lecture dudit équipement.

Un tel mode de réalisation peut permettre de fdtrer ainsi les données d’un équipement accessibles audit premier dispositif. Ainsi, dans certains modes de réalisation, il peut être possible de choisir (ou de filtrer) les données qu’il est possible d’obtenir depuis une portion autre que la portion protégée, de façon par exemple à ne pas fournir de données ayant un caractère confidentiel.

Certaines de ces informations d’identification, de communication et/ou décrivant des données peuvent être optionnelles dans certains modes de réalisation. Par exemple, des informations de communication comme des éléments de sécurisation de connexion peuvent être absents lorsque l’accès à l’équipement n’est pas restreint à l’intérieur de la première portion. De plus, certaines des informations descriptives de données peuvent dépendre du ou des protocole(s) désigné(s) dans les informations de communication.

Un exemple de descriptif est présenté ci-dessous. Dans cet exemple, le descriptif, par simplicité, ne concerne qu’un seul équipement à protéger et décrit plusieurs protocoles. config ve sion : 1.0 config date: 2023-05-04 modules:

"Modbus 1 type: modbus ip: 192.168.0.5 port: 9400 interval: 1 registers:

- 0-105 coils:

- 0-1

"SiemensTest": type: opcua ip: 192.168.0.5 endpoint: 'ope. tcp://l 92.168.0.5:4840/endpoint' interval: 1 nodes:

- 'ns=l;s= UI-A@supervision \ exports-4-0-4statistics-l :sigma2 '

- 'ns=2;i=1234'

"Opc-UA server test": type: opcua ip: 192.168.0.20 endpoint: 'opc. tcp://l 92.168.0.20: 4840/endpoint' auth: username: 'admin' password: 'admin' nodes:

- 'ns=l;s= UI-A@supervision \ exports-4-0-4statistics-l :sigma2 '

- 'ns=2;i=1234'

"Siemens S7": type: opcua ip: 192.168.0.10 endpoint: 'opc. tcp://l 92.168.0.10: 4840/endpoint' auth: caCert: '/certs/truc.pem ' privateKey: '/certs/private.key ' interval: 1 nodes:

- 'ns=l;s= UI-A@supervision \ exports-4-0-4statistics-l :sigma2 '

- 'ns=2;i=1234'

"MqttBroker": type: mqtt ip: 192.168.0.50 port: 1883 auth: username: 'admin' password: 'admin' topics:

- '#' Dans certains modes de réalisation, le descriptif peut par exemple être obtenu par accès à une zone de stockage accessible au premier dispositif (comme une zone de stockage locale au premier dispositif ou située dans la première portion du réseau ou encore une zone de stockage amovible (telle une clé USB) couplée au premier dispositif ou accessible via une connexion série sur un port micro-USB du premier dispositif. Il peut s’agir notamment d’un port micro- USB inaccessible à un tiers lorsque le boîtier de l’ensemble électronique comportant le premier dispositif est fermé.

Dans certains modes de réalisation, le descriptif peut être créé, ou complété, dynamiquement (et au moins partiellement automatiquement) par le dispositif lui -même.

Dans un tel mode de réalisation, le procédé peut comprendre une scrutation (ou exploration) (ou scan selon la terminologie anglaise) de la première portion, pour découvrir les appareils présents dans la première portion, puis au moins une tentative de connexion à ces appareils en utilisant un ou plusieurs protocole(s) candidat(s) (selon les modes de réalisation), permettant, quand une tentative de connexion réussit, de détecter au moins un protocole utilisé par l’équipement. La scrutation peut utiliser dans certains modes de réalisation un protocole permettant d’associer l'adresse de protocole de couche réseau (typiquement une adresse IPv4) d'un hôte distant, à son adresse de protocole de couche de liaison (typiquement une adresse MAC), comme le protocole ARP (pour Address Resolution Protocol selon la terminologie anglaise). La scrutation peut par exemple tester toutes les adresses IP (de 0.0.0.0 à 255.255.255.255) pour découvrir les machines présentes , y compris celles situées dans un sous-réseau de la première portion.

Une fois les machines identifiées, le procédé peut comprendre une scrutation (scan) des ports ouverts et un test de connexion avec les protocoles supportés

Les tentatives de connexion peuvent éventuellement utiliser des éléments complémentaires (comme au moins une valeur de port (pour découvrir au moins un port ouvert sur l’appareil concerné) et/ou des paramètres complémentaires en cohérence avec ce (ou ces) protocole candidat (s)). Des exemples de protocoles candidates incluent MQTT, UPC-UA, ModBus, UDP, etc. Par exemple, le procédé peut comprendre, pour chaque appareil découvert de la première portion, une tentative de connexion avec un ensemble de protocoles candidats définis par configuration (manuelle ou automatique) du dispositif.

Lorsqu’au moins une tentative de connexion a été menée avec succès pour au moins un appareil découvert, le procédé peut comprendre un enregistrement de l’adresse de l’appareil découvert en association avec les protocoles ayant permis la connexion, et les éventuels éléments complémentaires dans ledit descriptif.

Un tel mode de réalisation peut permettre, non seulement de créer un descriptif, mais également de mettre à jour automatiquement un descriptif existant, en ajoutant des informations ayant trait à un équipement nouvellement découvert ou en modifiant des informations du descriptif relatives à un équipement, par exemple pour ajouter des informations relatives à un nouveau protocole accepté par cet équipement (suite à une mise à jour logicielle de l’équipement par exemple), ou pour supprimer la désignation d’un port devenu inaccessible (défectueux par exemple).

Dans certains modes de réalisation, le procédé peut comprendre de plus une mise à jour (optionnelle) du descriptif obtenu, soit automatiquement par le premier dispositif (par l’application de règles de paramétrage par exemple) ou soit par un opérateur, via une interface utilisateur du premier dispositif. Il peut s’agir par exemple de la suppression, dans un descriptif créé automatiquement par le premier dispositif, d’informations décrivant certains protocoles (jugés peu sécurisés par exemple), ou de certaines données (jugées trop critiques pour permettre leur accès dans certaines mises en œuvre), il peut s’agir aussi de compléter manuellement un fichier descriptif créé automatiquement par le premier dispositif.

Comme illustré en figure 3, le procédé peut comprendre une transmission 316 d’au moins une portion du descriptif obtenu 312 au second dispositif.

Dans de tels modes de réalisation, le procédé peut comprendre une initialisation de cette communication unidirectionnelle, préalablement à cette transmission, tenant éventuellement compte de données de paramétrage, locales ou distantes, accessible au premier dispositif. La transmission 316 peut notamment comprendre la transmission d’au moins une information d’identification de l’équipement comme une adresse de l’équipement sur la première portion (par exemple selon les protocoles une adresse IP, une adresse MAC, etc..), (aussi appelé identifiant d’adressage sur la première portion dans la présente demande).

Elle peut également comprendre au moins certaines informations de communication (par exemple celles relatives à un protocole et/ou un port de communication) et/ou certaines informations descriptives de données.

En particulier dans certains modes de réalisation, la portion du descriptive transmise peut comprendre des informations du descriptif susceptibles d’aider le second dispositif de « se faire passer » pour l’équipement, vis-à-vis d’appareils de la seconde portion ou externes au réseau de communication.

Dans certaines modes de réalisation, par exemple lorsque la communication unidirectionnelle entre le premier et le second dispositif est mise en œuvre via au moins un optocoupleur, le procédé peut comprendre une sérialisation 314 des informations à transmettre du descriptif avant leur transmission via l’ optocoupleur.

Le format de transmission peut différer selon les modes de réalisation. Par exemple il, peut s’agir d’un format XML ou JSON. Le pseudo-code ci-dessous illustre à titre d’exemple la transmission du descriptif de façon sérialisée dans le cas du protocole JSON : {‘m ’ : ’description {JSON description}} où dans cet exemple

• m annonce le type des données transmises (ici annonce de données correspondant à un descriptif) • description est un libellé textuel annonçant la transmission d’un descriptif {JSON description} en format JSON.

Comme illustré en figure 3, le procédé peut comprendre une obtention 320 d’au moins une des données dudit équipement, désignée par les informations descriptives de données dudit équipement, et une transmission 340 d’au moins une des données obtenues au second dispositif (via les moyens unidirectionnels).

La façon dont sont obtenues les données de l’équipement peut varier selon les modes de réalisation et en particulier selon le descriptif obtenu 312.

Par exemple, le premier dispositif peut se connecter à l’équipement à protéger via au moins un protocole décrit dans le descriptif (OPC-UA, ModBus, MQTT, Ethernet, etc.) et accéder en lecture à au moins une des données (comme un nœud (pour OPC-UA), un « coil » ou un « registre » (pour ModBus)) décrites dans le descriptif. Par exemple, lors de l’initialisation du dispositif, toutes les données de l’équipement décrites dans le descriptif peuvent être obtenues 320 et transmises 350 au second dispositif.

L’obtention 320 et la transmission 350 d’au moins une donnée peuvent être effectuées plusieurs fois.

Cette transmission 350 d’au moins une donnée peut être optionnelle dans certains modes de réalisation. Dans de tels modes de réalisation, le procédé peut comprendre une mémorisation 360 des données obtenues (au moins lors de la première obtention des données) et, après une autre obtention de données suivant cette première obtention, une comparaison 330 de la « nouvelle » valeur d’au moins une donnée obtenue avec la valeur couramment mémorisée (donc avec la dernière valeur obtenue précédemment pour cette donnée). La transmission 350 et/ou la mémorisation 360 de la « nouvelle » valeur peuvent alors être effectuées de façon conditionnelle, par exemple uniquement lorsque la nouvelle valeur est différente de la valeur précédente.

La transmission 350 et/ou la mémorisation 360 peuvent être effectuées dans un ordre quelconque.

La transmission 350, et éventuellement la mémorisation 360, peuvent être effectuées selon les modes de réalisation soit au fd de l’eau soit après obtention de l’ensemble des données.

Selon les modes de réalisation, l’obtention de la valeur d’une donnée peut se faire via une interrogation de l’équipement (par exemple une demande de lecture du contenu d’au moins un registre ou d’une zone de stockage de telles données sur l’équipement), et/ou par une réception de la valeur sur une interface de communication de premier dispositif, à l’initiative de l’équipement lui-même (par exemple via un mécanisme d’enregistrement (ou abonnement) du premier dispositif auprès de l’équipement pour recevoir la valeur de la donnée).

Par exemple, dans certains modes de réalisation, l’interrogation de l’équipement, pour obtenir au moins une donnée, peut être effectuée en tenant compte d’informations du descriptif, comme un intervalle de temps requis entre deux accès à l’au moins une donnée et/ou d’une éventuelle information temporelle limitant l’accès à l’au moins une de ces données.

On note que le procédé peut comprendre dans certains modes de réalisation, (par exemple lorsque la communication unidirectionnelle entre le premier et le second dispositif est mise en œuvre via au moins un optocoupleur) une sérialisation 340 des données à transmettre avant leur transmission via l’ optocoupleur. Une telle sérialisation peut aider à améliorer la sécurité du procédé, puisque les données une fois sérialisées ne laissent plus apparaître leur structure peuvent donc être plus difficiles à interpréter par un tiers malveillant qui les intercepterait et n’aurait pas connaissance du protocole (propriétaire par exemple, ou standard) à utiliser pour les interpréter.

Le format de transmission peut différer selon les modes de réalisation. Par exemple il, peut s’agir d’un format XML ou JSON.

Par exemple, les données sérialisées suivantes peuvent être transmises par le premier dispositif selon un format comprenant notamment en entête une annonce du type de données transmis (protocole employé ou annonce de données correspondant à un descriptif, etc.) , un libellé identifiant ce type de données, ainsi que d’éventuel libellés textuels ou code numérique annonçant la signification des éléments qui les suivent.

A titre d’exemple non limitatif, les données sérialisées suivantes peuvent être transmises par le premier dispositif dans le cas du protocole OPC-UA lorsqu’une connexion entre le premier dispositif et l’équipement a été établie pour la première fois (lors ou après l’initialisation par exemple) :

{ ‘m ‘opcua ‘ns ’ : [ListNamespaces] où

• m annonce le type des données transmises (le protocole employé ici)

• opcua est un libellé textuel désignant l’utilisation du protocole OPC-UA

• ns annonce la transmission des « namespaces » à créer par le second dispositif

• [ListNamespaces] désigne la liste des « namespaces » de l’équipement en format JSON

{‘m ’ : ‘opcua ‘x ’ : [ListNodes]} où

• x annonce la transmission de nœuds à créer par le second dispositif

• [ListNodes] désigne la liste des nœuds OPC-UA, de leurs attributs et de leur valeur en format JSON

Selon un autre exemple, les données sérialisées suivantes peuvent être transmises par le premier dispositif dans le cas du protocole OPC-UA suite à une mise à jour du descriptif : {“m ’ : ‘opcua ‘n ’ : [ListNodes], ‘del ’ : [true/false]} où :

• n annonce une désignation de nœuds ajoutés ou supprimés • ‘del’ : annonce un booléen [true/false] précisant s’il s’agit d’un nœud ajouté ou supprimé

Selon un autre exemple, les données sérialisées suivantes peuvent être transmises par le premier dispositif dans le cas du protocole OPC-UA suite à une mise à jour d’au moins un nœud : {‘m ’ : ‘opcua ’, ‘u ’ : {‘node ’ : [Id-Node], ‘value ’ : [NewValue]}}

• u annonce une mise à jour d’au moins un nœud

• node annonce un identifiant de nœud (/ Id-Node ]) et value annonce la valeur [NewValue] de ce nœud

Selon un autre exemple, les données sérialisées suivantes peuvent être transmises par le premier dispositif après une interrogation de l’équipement dans le cas du protocole modBus :

{ ‘ ‘m ’ : ‘modbus ’, ‘r ’ : [RegisterKey], ‘c ’ : [CoilKey]}où :

• modbus est un libellé textuel désignant l’utilisation du protocole ModBus

• r annonce la transmission des valeurs de « registres »

• [RegisterKey], désigne la liste des registres de l’équipement et de leurs valeurs en format JS ON

• r annonce la transmission des valeurs de « coils »

• [CoilKey] désigne la liste des coils de l’équipement et de leurs valeurs en format JS ON

Selon un autre exemple, les données sérialisées suivantes peuvent être transmises par le premier dispositif après une réception d’un évènement en provenance de l’équipement dans le cas du protocole MQTT relatif à un topic auquel a souscrit le premier dispositif

{‘m ’ : ‘mqtt’, ‘t’ : [Topic], ‘pT : [payload]} où :

• mqtt est un libellé textuel désignant l’utilisation du protocole MQTT

• t annonce une transmission relative au topic [Topic] et

• pl annonce une transmission du contenu I pay load /AM message reçu

Selon un autre exemple, les données sérialisées suivantes peuvent être transmises par le premier dispositif après réception d’un paquet UDP en provenance de l’équipement : {‘m ’ : ‘direct’, ‘p ’ : [packet]}

• direct est un libellé textuel désignant l’utilisation du protocole UDP

• p annonce la transmission un paquet réseau [packet] au format Base64.

La sérialisation 340 des données avant leur transmission peut être optionnelle dans certains modes de réalisation. Par exemple lorsque la communication entre l’équipement et le premier dispositif comme la communication unidirectionnelle utilise une liaison Ethernet (sans sélection d’un protocole particulier), les données provenant de l’équipement peuvent être simplement obtenues et transmises sous forme de paquets réseau. En d’autres termes, il peut s’agir d’un simple transfert de données de l’équipement protégé vers le second dispositif. La figure 4 illustre certains modes de réalisation du procédé 400 de fourniture de données de la présente demande. Le procédé 400 peut par exemple être mis en œuvre par un second dispositif situé dans une portion d’un réseau de communication totalement distincte d’une portion protégée de ce réseau, comme le second dispositif 164 de l’ensemble électronique 160 du système 100.

Similairement à ce qui a été décrit ci-avant pour le procédé 300 mis en œuvre le premier dispositif, le procédé 400 peut être mise en œuvre, selon les modes de réalisation, lors du démarrage du second dispositif, ou plus tard, et peut comprendre, comme illustré en figure 4, une phase dite d’initialisation 410 (lors d’un démarrage du dispositif par exemple ou ultérieurement, sur réception d’une commande utilisateur par exemple).

Cette phase d’initialisation 410 comprend une obtention 416 d’un descriptif relatif à des données que va recevoir le second dispositif. Ces données proviendront d’un équipement situé dans une « première » portion protégée du réseau, inaccessible au second dispositif. Elles seront reçues via une communication unidirectionnelle établie avec un premier dispositif, et via ce premier dispositif

Dans certains modes de réalisation le descriptif peut être obtenu 416 par réception, via une communication unidirectionnelle entre les premier et second dispositif. Dans de tels modes de réalisation, le procédé peut comprendre une initialisation 412 (et/ou un établissement) de cette communication unidirectionnelle, préalablement à cette réception, tenant éventuellement compte de données de paramétrage, locales ou distantes, accessible au second dispositif. Le procédé peut aussi comprendre une désérialisation 414 des données reçues (si celles-ci ont été sérialisées avant leur transmission au second dispositif).

Dans certains modes de réalisation, le descriptif obtenu 416 peut être identique au descriptif décrit en liaison avec le procédé 300 mis en œuvre dans le premier dispositif. Par exemple, les deux descriptifs peuvent être obtenus 312, 416 par copie d’un même support de stockage amovible, ou le second dispositif peut recevoir du premier dispositif l’intégralité du descriptif qu’a précédemment lui-même obtenu 312 le premier dispositif. Dans de tels modes de réalisation, le descriptif du second dispositif peut alors contenir certaines informations non utiles au second dispositif (comme un mot de passe, ou une clé publique ou privée nécessaire à une connexion à l’équipement dont proviennent les données). Un tel mode de réalisation peut offrir des avantages en termes de simplicité de traitement (côté premier dispositif) et /ou de simplicité de configuration, donc de gain de temps, côté second dispositif, puisqu’il n’est pas nécessaire de prévoir un « descriptif » particulier au second dispositif.

Dans d’autres modes de réalisation, le descriptif du second dispositif peut être différent de celui précédemment obtenu par le premier dispositif. En particulier, certaines informations contenues dans le descriptif précédemment par le premier dispositif peuvent être omises du descriptif du second dispositif. Le descriptif obtenu 416 par le second dispositif peut notamment comprendre des informations d’identification de l’équipement dont proviennent les données, et notamment l’adresse de l’équipement sur la première portion du réseau.

Le descriptif obtenu 416 peut notamment comprendre des informations décrivant les données (emplacement, taille, type, structure, etc.) que le second dispositif est susceptible de recevoir du premier dispositif, similaires par exemple à celles décrites en lien avec le procédé mis en œuvre par le premier dispositif, certaines informations (comme un intervalle de temps entre deux accès ou une information temporelle limitant l’accès à au moins une donnée) pouvant être omises. Dans certains modes de réalisation, par exemple selon les moyens de communication unidirectionnels mis en œuvre entre le premier et le second dispositif, le descriptif obtenu 416 peut en outre comprendre des informations nécessaires à l’établissement d’une communication unidirectionnelle depuis le premier dispositif vers le second dispositif. Ces informations peuvent être optionnelles, notamment lorsqu’elles sont accessibles par ailleurs au second dispositif, par exemple via des données de paramétrage du dispositif (et ont par exemple été précédemment utilisées pour initier la communication unidirectionnelle entre les deux dispositifs comme évoqué ci-avant).

Optionnellement, le descriptif peut également comprendre des informations relatives au format de sortie d’au moins certaines données avant leur fourniture à un appareil tiers.

Dans certains modes de réalisation, comme expliqué plus haut, le descriptif peut être reçu du premier dispositif. Dans d’autres modes de réalisation, le descriptif peut être obtenu par accès à une zone de stockage accessible au second dispositif (comme une zone de stockage locale au second dispositif ou accessible depuis la seconde portion du réseau ou encore une zone de stockage amovible (telle une clé USB) couplée au second dispositif).

Similairement à ce qui a été décrit en liaison avec le procédé 300 de protection, dans certains modes de réalisation, le procédé 400 de fourniture peut comprendre une mise à jour (optionnelle) du descriptif obtenu 416, soit automatiquement par le second dispositif, soit via une interface utilisateur du second dispositif, pour supprimer certaines informations du descriptif ou en ajouter des nouvelles.

Comme illustré en figure 4, le procédé peut comprendre une obtention 420 de la valeur d’au moins une donnée de l’équipement protégé. Cette obtention peut comprendre une réception 422 de l’au moins une donnée via la communication unidirectionnelle entre le premier dispositif et el second dispositif. En outre, lorsque les données reçues 422 par le second dispositif sont sérialisées, le procédé peut comprendre une désérialisation 424 des données. Cette désérialisation peut par exemple utiliser les informations du descriptif obtenu 416 (notamment des informations descriptives de données), afin de retrouver la structure des données avant leur transmission par le premier dispositif. Le procédé peut comprendre un stockage des données obtenues en cohérence avec les informations descriptives de données obtenues. Par exemple, dans certains modes de réalisation, il peut s’agir d’un stockage des données de façon identique à leur stockage sur l’équipement (même adresse(s), même taille, etc.). Dans d’autres modes de réalisation, il peut s’agir d’un stockage sous une forme différente (par exemple compressée, de façon à gagner en occupation mémoire).

Le procédé peut en outre comprendre une transmission 430 d’au moins certaines des données obtenues à un appareil tiers (sur demande de cet équipement et/ou sur abonnement de l’appareil aux mises à jour de cette donnée par exemple). Cette transmission peut être précédée d’un transcodage (par exemple une décompression), lorsque les données à transmettre sont stockées sous une forme (format, structure ...) différente de celle sous laquelle elles sont stockées sur l’équipement protégé.

Dans certains modes de réalisation, le descriptif obtenu 416 par le second dispositif peut comprendre, outre les informations nécessaires à l’obtention et au traitement par le second dispositif des données de l’équipement, d’autres informations. Par exemple, le descriptif obtenu peut comprendre, en complément par exemple à l’adresse de l’équipement sur la première portion du réseau, certaines autres informations nécessaires à l’établissement d’une communication avec l’équipement comme une information désignant un protocole utilisable pour dialoguer avec l’équipement, un port de l’équipement utilisable pour dialoguer avec l’équipement selon ce protocole, des paramètres complémentaires spécifiques à certain(s) protocoles(s). Il peut s’agir selon les modes de réalisation d’informations identiques à celles contenues dans le descriptif décrit en liaison avec le procédé 300 de la figure 3, ou d’informations déduites d’au moins certaines des informations contenues dans le descriptif obtenu 312 par le premier dispositif.

Par exemple, le descriptif peut comprendre les informations nécessaires au second dispositif pour recevoir des sollicitations d’appareil tiers destinées à l’équipement, et à y répondre comme si ces réponses provenaient de l’équipement.

En particulier, le descriptif peut comprendre l’adresse de l’équipement sur la première portion et le procédé peut comprendre une affectation au second dispositif d’une adresse, sur la seconde portion, identique à celle de l’équipement sur la première portion. De tels modes de réalisation peuvent ainsi aider un administrateur du réseau de communication à disposer d’une solution « plug and play ». Ainsi, l’insertion de l’ensemble électronique dans le réseau, pour la protection d’un équipement, peut-être transparente aux autres appareils déjà présents dans le réseau et peut ne pas nécessiter de modifier un plan de routage (ou d’adressage) de l’ensemble du réseau ou de modifier le logiciel de l’un des appareils tiers souhaitant obtenir des données provenant de l’équipement.

Par exemple, dans certains modes de réalisation, l’ensemble électronique peut être installé dans un réseau existant comportant un équipement qu’il s’agit (nouvellement) de protéger. Lorsque l’ensemble électronique est installé de façon à pouvoir communiquer (par exemple via une liaison filaire) avec l’équipement à protéger, constituant ainsi une première portion du réseau (comprenant au moins l’équipement et le premier dispositif), un opérateur du réseau peut n'avoir aucune action à effectuer (hormis cette installation). Les données de l’équipement décrites dans le descriptif peuvent être dupliquées automatiquement sur le second dispositif, et rendues ainsi accessibles à l'extérieur de la première portion, protégée, du réseau via une adresse du second dispositif identique à celle de l’équipement. De ce fait, les appareils et logiciels extérieurs à la portion protégée du réseau peuvent continuer à accéder aux données de l’équipement, sans modification de la routine d’accès qu’ils utilisaient avant l’installation de l’ensemble électronique pour protéger l’équipement. En effet, la connexion, du point de vue de ces appareils et logiciels, peut être identique à une connexion directe avec l’équipement.

La présente demande propose un ensemble électronique constituant, au moins dans certains de ses modes de réalisation, une solution simple et efficace pour remonter des données de manière sécurisée à partir d'une machine industrielle connectée à un réseau public comme Internet. En particulier, dans au moins certains modes de réalisation, la configuration d’au moins un des premier et second dispositif de l’ensemble électronique peut être facile (notamment lorsqu’elle est automatique) et l’un ou l’autre des dispositifs de l’ensemble électronique peut être utilisable avec plusieurs protocoles différents, ce qui peut donc permettre d’offrir une solution adaptable à différents environnements industriels.

Dans certains modes de réalisation détaillées en lien avec les figures 3 et 4, le premier dispositif et un second dispositif peuvent être adaptés à communiquer selon plusieurs protocoles avec, respectivement, au moins un équipement à protéger et au moins un appareil tiers.

Dans une variante (illustrée en figure 5), le premier dispositif et le second dispositif peuvent communiquer respectivement avec un équipement à protéger et un appareil tiers avec un seul protocole.

Dans une variante, le premier dispositif peut sélectionner le second dispositif avec lequel communiquer selon la communication unidirectionnelle en fonction du protocole utilisé pour communiquer avec un équipement à protéger (le système 100 comportant par exemple plusieurs « second dispositifs » utilisant respectivement des protocoles différents pour communiquer avec des appareils tiers.

Dans une autre variante, plusieurs « premier dispositifs » peuvent communiquer avec un même second dispositif, celui-ci pouvant par exemple disposer de plusieurs adresses différentes, choisies chacune pour correspondre à celle d’un équipement à protéger reçue d’un des premiers dispositifs.

La figure 5 présente un exemple d’implémentation de la solution objet de la présente demande pour protéger trois équipements. Dans l’exemple illustré, chaque équipement utilise un protocole de communication différent et est protégé par un ensemble électronique (smart diode) selon l’invention spécifique à ce protocole. Les données mises à disposition par une smart diode sur une portion exposée du réseau (et interconnectée avec internet) peuvent être utilisées (interrogation, abonnement etc..) par des appareils de monitoring du réseau.

La solution présentée dans la présente demande peut trouver des applications dans de nombreux domaines, et notamment dans des domaines cibles privilégiées d’attaques informatiques. Ainsi, dans l’industrie manufacturière, la solution objet de la présente demande peut aider à protéger des machines industrielles (pour empêcher leur corruption par exemple), en empêchant les accès à certaines données sensibles de ces machines comme des données relatives aux processus industriels mis en œuvre, tout en rendant d’autres données (comme des données de production) disponibles à des applications de surveillance et de contrôle.

Un autre exemple de mise en œuvre concerne le domaine de la distribution. La solution objet de la présente demande peut en effet être utilisée pour aider à protéger des équipements électroniques de points de vente, en limitant les possibilités d’accès à des données stockées sur ces équipements, comme des données de vente et/ou à des informations sensibles sur des clients.

Encore un autre exemple de mise en œuvre concerne le domaine de la finance (banque, service financiers) et notamment les informations financières et personnelles sensibles manipulées, que la solution objet de la présente demande peut aider à protéger d’attaques (tout en offrant des possibilités d'accès à d’autres données, moins sensibles par exemple).

La solution objet de la présente demande peut également trouver des applications dans le domaine de la santé, pour protéger les données médicales sensibles de patients tout en laissant des possibilités d'accès à au moins certaines de ces données à des professionnels de la santé.

Claims

REVENDICATIONS

1. Procédé de protection d’un équipement d’un réseau de communication partitionné en une pluralité de portions comprenant au moins une première portion, comprenant ledit équipement, et au moins une seconde portion interconnectée avec ladite première portion via un premier dispositif électronique et un second dispositif électronique en communication unidirectionnelle, de façon à permettre uniquement des communications du premier dispositif vers le second dispositif, ledit procédé comprenant :

• une obtention d’un identifiant d’adressage dudit équipement à protéger sur ladite première portion dudit réseau de communication, ledit identifiant d’adressage étant obtenu dynamiquement par scrutation de ladite première portion ;

• une transmission audit second dispositif dudit identifiant d’adressage;

• lors d’une communication entre ledit équipement à protéger et ledit premier dispositif, une obtention de la valeur courante d‘au moins une donnée dudit équipement;

• une transmission audit second dispositif, via ladite communication unidirectionnelle, de la valeur courante obtenue.

2. Procédé de protection selon la revendication 1 comprenant une obtention d’un descriptif relatif audit équipement à protéger et comportant au moins :

• ledit identifiant d’adressage dudit équipement à protéger sur ladite première portion dudit réseau de communication ;

• une désignation d’au moins un protocole de communication avec ledit équipement ;

• ladite information d’adressage d’au moins une donnée dudit équipement accessible en lecture via ledit équipement.

3. Procédé de protection selon la revendication 2 comprenant une transmission audit second dispositif d’une information identifiant ledit protocole.

4. Procédé de protection selon la revendication 2 ou 3 où ledit descriptif est obtenu dynamiquement par ledit premier dispositif par scrutation de ladite première portion.

5. Procédé de protection selon l’une quelconque des revendications 1 à 4 comprenant sur mise à jour d’au moins une première de ladite au moins une donnée accessible, une transmission audit second dispositif, via ladite communication unidirectionnelle, de ladite valeur mise à jour.

6. Procédé de protection selon l’une quelconque des revendications 1 à 5 où ladite valeur courante et/ou mise à jour de ladite première donnée est obtenue par interrogation dudit équipement.

7. Procédé de protection selon les revendications 2 et 6 où ladite interrogation dudit équipement est effectuée plusieurs fois et où un intervalle temporel entre deux interrogations successives dudit équipement tient compte d’une information temporelle comprise dans ledit descriptif.

8. Procédé de fourniture de données en provenance d’au moins un équipement d’un réseau de communication partitionné en une pluralité de portions comprenant au moins une première portion, et au moins une seconde portion interconnectée avec ladite première portion via un premier dispositif électronique et un second dispositif électronique en communication unidirectionnelle, de façon à permettre uniquement des communications du premier dispositif vers le second dispositif, ledit procédé comprenant :

• une affectation audit second dispositif, comme identifiant d’adressage sur ladite seconde portion dudit réseau, d’au moins un identifiant d’adressage, sur ladite première portion dudit réseau de communication ; d’au moins un équipement sur ladite première portion ;

• sur réception d’une requête ayant comme adresse de destination ledit identifiant d’adressage et relative à au moins une première donnée dudit équipement, une transmission d’une valeur de ladite au moins une première donnée, préalablement obtenue via ladite communication unidirectionnelle, à un émetteur de ladite requête.

9. Procédé de fourniture de données selon revendication 8, ledit procédé comprenant : une obtention d’un descriptif relatif audit au moins un équipement de ladite première portion dudit réseau de communication comportant ledit au moins un identifiant d’adressage dudit au moins un équipement sur ladite première portion dudit réseau de communication.

10. Procédé de fourniture selon la revendication 9 où ledit descriptif est obtenu via ladite communication unidirectionnelle.

11. Procédé de fourniture selon la revendication 9 ou 10 où ledit descriptif comprend :

• une désignation d’au moins un protocole de communication avec ledit équipement ;

• une désignation d’au moins une information d’adressage d’au moins une donnée dudit équipement accessible en lecture via ledit équipement de ladite première portion dudit réseau ; et où ladite requête est reçue selon ledit protocole et est relative à ladite information d’adressage.

12. Premier dispositif électronique d’un réseau de communication partitionné en une pluralité de portions comprenant au moins une première portion, comprenant un équipement à protéger, et au moins une seconde portion interconnectée avec ladite première portion via le premier dispositif et un second dispositif en communication unidirectionnelle avec le premier dispositif, de façon à permettre uniquement des communications du premier dispositif vers le second dispositif, ledit premier dispositif comprenant un moins un processeur configuré pour :

• une obtention d’un identifiant d’adressage dudit équipement à protéger sur ladite première portion dudit réseau de communication, ledit identifiant d’adressage étant obtenu dynamiquement par scrutation de ladite première portion ;

• une transmission audit second dispositif dudit identifiant d’adressage; • lors d’une communication entre ledit équipement à protéger et ledit premier dispositif, une obtention de la valeur courante d‘au moins une donnée dudit équipement;

• une transmission audit second dispositif, via ladite communication unidirectionnelle, de la valeur courante obtenue.

13. Second dispositif électronique d’un réseau de communication partitionné en une pluralité de portions comprenant au moins une première portion, comprenant un équipement à protéger, et au moins une seconde portion interconnectée avec ladite première portion via un premier dispositif électronique et ledit second dispositif électronique en communication unidirectionnelle, de façon à permettre uniquement des communications du premier dispositif vers le second dispositif, ledit second dispositif comprenant un moins un processeur configuré pour :

• une affectation audit second dispositif, comme identifiant d’adressage sur ladite seconde portion dudit réseau, d’au moins un identifiant d’adressage, sur ladite première portion dudit réseau de communication ; d’au moins un équipement sur ladite première portion ;

• sur réception d’une requête ayant comme adresse de destination ledit identifiant d’adressage et relative à au moins une première donnée dudit équipement, transmission d’une valeur de ladite au moins une première donnée, préalablement obtenue via ladite communication unidirectionnelle, à un émetteur de ladite requête.

14. Ensemble électronique d’un réseau de communication partitionné en une pluralité de portions comprenant au moins une première portion, comprenant un équipement à protéger, et au moins une seconde portion interconnectée avec ladite première portion via un premier dispositif dudit ensemble électronique et un second dispositif dudit ensemble électronique en communication unidirectionnelle avec le premier dispositif dudit ensemble électronique, via des moyens de communication unidirectionnelle dudit ensemble électronique de façon à permettre uniquement des communications du premier dispositif dudit ensemble électronique vers le second dispositif dudit ensemble électronique, ledit au moins un premier dispositif dudit ensemble électronique comportant au moins un premier processeur configuré pour :

• une obtention d’un identifiant d’adressage dudit au moins un équipement à protéger sur ladite première portion dudit réseau de communication, ledit identifiant d’adressage étant obtenu dynamiquement par scrutation de ladite première portion ;

• une transmission audit second dispositif dudit identifiant d’adressage dudit au moins un équipement à protéger ;

• lors d’une connexion (ou d’une communication) entre ledit équipement à protéger et ledit premier dispositif, une obtention de la valeur courante d‘au moins une donnée dudit équipement; • une transmission audit second dispositif, via ladite communication unidirectionnelle, de la valeur courante obtenue.

Et ledit au moins un second dispositif électronique comprenant un moins un second processeur configuré pour :

• une affectation audit second dispositif, comme identifiant d’adressage sur ladite seconde portion dudit réseau, d’au moins un identifiant d’adressage, sur ladite première portion dudit réseau de communication, d’au moins un équipement de ladite première portion ;

• sur réception d’une requête ayant comme adresse de destination ledit identifiant d’adressage et relative à au moins une première donnée dudit équipement, une transmission d’une valeur de ladite au moins une première donnée, préalablement obtenue via ladite communication unidirectionnelle, à un émetteur de ladite requête.

15. Système comprenant au moins un équipement à protéger et au moins un ensemble électronique de protection, dans un réseau de communication partitionné en une pluralité de portions comprenant au moins une première portion, comprenant ledit équipement à protéger, et au moins une seconde portion interconnectée avec ladite première portion via un premier dispositif dudit ensemble électronique de protection et un second dispositif dudit ensemble électronique de protection en communication unidirectionnelle avec le premier dispositif dudit ensemble électronique de protection, via des moyens de communication unidirectionnelle dudit ensemble électronique de protection de façon à permettre uniquement des communications du premier dispositif dudit ensemble électronique de protection vers le second dispositif dudit ensemble électronique de protection, ledit au moins un premier dispositif dudit ensemble électronique de protection comportant au moins un premier processeur configuré pour :

• une obtention d’un identifiant d’adressage dudit au moins un équipement à protéger sur ladite première portion dudit réseau de communication, ledit identifiant d’adressage étant obtenu dynamiquement par scrutation de ladite première portion ;

• une transmission audit second dispositif dudit identifiant d’adressage dudit au moins un équipement à protéger ;

• lors d’une connexion (ou d’une communication) entre ledit équipement à protéger et ledit premier dispositif, une obtention de la valeur courante d‘au moins une donnée dudit équipement;

• une transmission audit second dispositif, via ladite communication unidirectionnelle, de la valeur courante obtenue.

Et ledit au moins un second dispositif électronique comprenant un moins un second processeur configuré pour : • une affectation audit second dispositif, comme identifiant d’adressage sur ladite seconde portion dudit réseau, d’au moins un identifiant d’adressage, sur ladite première portion dudit réseau de communication, d’au moins un équipement de ladite première portion ;

• sur réception d’une requête ayant comme adresse de destination ledit identifiant d’adressage et relative à au moins une première donnée dudit équipement, une transmission d’une valeur de ladite au moins une première donnée, préalablement obtenue via ladite communication unidirectionnelle, à un émetteur de ladite requête.

16. Programme d'ordinateur comprenant des instructions pour la mise en œuvre, lorsque ledit programme est exécuté par un processeur, d’un procédé de protection selon l’une quelconque des revendications 1 à 7 et/ou d’un procédé de fourniture selon l’une quelconque des revendications 8 à 11.

17. Support d’informations lisible par un dispositif électronique et sur lequel est enregistré un programme d'ordinateur comprenant des instructions pour la mise en œuvre, lorsque ledit programme est exécuté par un processeur, d’un procédé de protection selon l’une quelconque des revendications 1 à 7 et/ou d’un procédé de fourniture selon l’une quelconque des revendications 8 à 11.