Solutions d`accès à distance sécurisé évolutives pour équipementiers

Solutions d’accès à distance sécurisé
évolutives pour équipementiers
Équipementiers
Systèmes d’usine industriels
Introduction
L’accès à distance sécurisé aux actifs, aux données et aux
applications de production, avec les outils de collaboration
les plus récents, permet aux fabricants de mettre en œuvre
les bonnes compétences et ressources au bon moment,
indépendamment de leur localisation physique. Les
équipementiers cherchent à réduire les coûts, à apporter
une valeur ajoutée à leurs clients et à se différencier de leurs
concurrents. Ce document présente les mesures permettant
d'activer l'accès à distance sécurisé pour les applications et
les données d'usine. Il peut être utilisé comme guide pour les
équipementiers qui désirent collaborer avec leurs clients pour
concevoir un accès à distance sécurisé.
Défis techniques
Traditionnellement, les équipementiers se sont appuyés sur le déploiement sur site de personnel
pour fournir l’assistance des systèmes d’automatisation et de commande industriels (IACS
- pour Industrial Automation and Control Systems), ou ils ont utilisé des méthodes comme
l’accès commuté autonome sans utilisation de pare-feu. Cette méthode d’accès à distance
contourne souvent la sécurité du périmètre, crée une menace de « porte dérobée » dans le
système de production et peut représenter un risque de sécurité important. Désormais, pour
les équipementiers qui désirent fournir une assistance sécurisée à distance, et répondre aux
problèmes en temps réel, cette méthode n’est plus suffisante.
Les technologies permettant d’accéder à distance aux réseaux d’entreprise traditionnels
existent depuis longtemps, par exemple les réseaux privés virtuels (VPN). Cependant, utiliser
les technologies pour fournir un accès à distance efficace aux systèmes d’automatisation et de
commande industriels était un véritable défi.
2 | Solutions d’accès à distance sécurisé évolutives pour équipementiers
Cela pour différentes raisons :
• L' IACS est souvent géré par les entreprises manufacturières, alors que les solutions d’accès à distance
d'entreprise, comme les VPN, sont de la responsabilité des services informatiques. Une mise en œuvre
réussie de l'accès à distance à l'IACS nécessite la collaboration entre les services informatique et
manufacturier.
• L’accès à distance peut exposer des systèmes de production critiques à des virus et des logiciels
malveillants pouvant être présents sur un ordinateur distant ou appartenant à un partenaire, ce qui
peut avoir un impact sur la production.
• Il est difficile de s’assurer que le dispositif final (ordinateur) utilisé pour l’accès à distance est sécurisé
et possède la version appropriée des applications nécessaires pour l’accès et la commande à distance.
• Limiter les capacités de l’utilisateur distant aux seules fonctions appropriées à un utilisateur distant,
et qui ne nécessitent pas une présence locale pour des raisons de visibilité directe ou autre impératif
similaire, peut être difficile.
• Les fabricants sont souvent incapables de limiter l'accès d'un partenaire ou d'un employé distant aux
seules machines, applications ou pièces du réseau dont ils sont responsables ou pour lesquelles ils
ont une autorisation.
• Il n'y a pas d'approche universelle. Une solution d’accès à distance à l'IACS qui fonctionne pour
un client ne sera peut-être pas suffisante pour un autre. Une solution d’accès à distance à l'IACS
nécessaire pour un client peut être trop lourde ou même impraticable pour un autre. Comme indiqué
ci-dessous, une solution d’accès à distance viable dépend des impératifs industriels, des impératifs
du client (règlements et procédures de sécurité), de la taille de l’entreprise et de son infrastructure
d’assistance.
Par conséquent, les solutions d’accès à distance, bien que largement déployées dans le réseau
d'entreprise, n'ont pas été aussi largement adoptées pour le support du réseau de l'IACS. Lorsque la
technologie VPN a été utilisée, elle a souvent été confrontée aux défis mentionnés précédemment, et a
donc été limitée uniquement aux employés (pas étendue aux partenaires) et peut toujours engendrer
des risques pour la sécurité, notamment liés aux virus et aux accès non autorisés, si elle n’est pas
correctement mise en œuvre. Pour vraiment mettre en place une production collaborative, l'accès
doit avoir un caractère évolutif, quel que soit l’emplacement ou l’entreprise. L’accès doit être sécurisé
pour permettre de communiquer, de diagnostiquer les problèmes et de mettre en œuvre les mesures
correctives de façon efficace. L’accès doit être limité aux personnes autorisées à accéder au système, et
leurs actions doivent concorder avec les règles et les procédures de l'entreprise et de l'usine.
Lorsque vous collaborez avec votre client pour activer l’accès à distance à vos solutions IACS (par
exemple les machines), les questions suivantes permettent d’identifier plus facilement le niveau de
préparation de l'entreprise :
• Ont-ils une politique de sécurité informatique ?
• Ont-ils une politique de sécurité pour l'IACS ?
• Ont-ils une politique d’accès à distance pour les employés et l’infrastructure à prendre en charge ?
Quels produits/technologie utilisent-ils ?
• Ont-ils une politique d’accès à distance pour « partenaire » - la capacité et les procédures pour ajouter
des partenaires (équipementier, intégrateur système, fournisseur d’automatismes, entrepreneur) ?
• Pour les partenaires, votre solution est-elle prête à être intégrée dans l’infrastructure réseau de l'IACS
de votre client ? Votre solution prend-elle en charge l’accès à distance ? Votre solution convient-elle
aux normes de sécurité définies pour l'IACS, comme ISA-99 et NIST 800-82 ?
Solutions d’accès à distance sécurisé évolutives pour équipementiers | 3
D'autres considérations essentielles incluent :
• Activités de surveillance et d’audit des utilisateurs distants afin d’identifier les mauvaises
utilisations.
• Déterminer s'il existe des impératifs de « ligne de vision » (impératifs visuels) ou d'autres
restrictions qui doivent être identifiées avant d’autoriser certaines fonctions d’accès à distance.
• Définir quels logiciels sont autorisés pour l’accès à distance.
Lors de la conception d’une solution d’accès à distance sécurisé, il faut utiliser une approche
de type « défense en profondeur ». Cette approche crée plusieurs niveaux de sécurité qui
correspondent aux différents risques potentiels
liés à l’accès à distance. Bien qu’il n’existe aucune
Ingénieurs et partenaires distants
technologie ou méthodologie qui sécurise
totalement les réseaux de l'IACS, la combinaison de
Chiffrement IPsec et VPN SSL
plusieurs technologies de sécurité constitue une
Authentification, autorisation et justification
dissuasion efficace contre la plupart des menaces
Listes de contrôle d’accès (ACL)
et brèches de sécurité connues, tout en limitant
l’impact des compromis éventuels. Pour créer
Navigation sécurisée (HTTPS)
un programme de sécurité de type « défense en
Protection et détection d’intrusion
profondeur » complet, les entreprises doivent
Session de terminal distant
s’appuyer sur plusieurs types de contrôles.
Sécurité d’application
VLAN
Défense en profondeur
Technologie de sécurité appliquée
Principes de l’accès à distance sécurisé
Ces mesures de contrôle peuvent être catégorisées
comme suit :
•Administratif
Applications et données de l’IACS
- Principalement les politiques et procédures de
sécurité.
- Exemples : règles pour les mots de passe, formation de sensibilisation à la sécurité, etc.
•Technique
- Également appelé mesures de contrôle « logiques ». Constituées du matériel, des logiciels
et des équipements électroniques destinés à surveiller et réguler l'accès aux systèmes
d’information.
- Exemples : pare-feux, IPS/IDS, cartes à puce, etc.
•Physique
- Principalement les commandes mécaniques pour surveiller et réguler l’accès physique.
- Exemples : verrous, barrières de sécurité, caméras de sécurité, etc.
Il est important de ne pas oublier qu’il ne s’agit pas uniquement des mesures de contrôle
techniques et qu’un programme de sécurité complet inclut les mesures de contrôle
administratives, techniques et physiques. Le schéma ci-dessus est un exemple de mesures de
contrôle techniques pouvant être mises en œuvre pour créer une stratégie de type « défense en
profondeur ».
4 | Solutions d’accès à distance sécurisé évolutives pour équipementiers
Approche
Il existe plusieurs façons de fournir un accès à distance sécurisé à un IACS, dont deux sont
l’accès direct et indirect. L'approche choisie dépend des critères décrits précédemment, comme
les politiques et les procédures de sécurité du client. Chaque approche présente plusieurs
caractéristiques de conception qui peuvent impacter le fonctionnement correct de l'IACS et qui
doivent être prises en considération lors de la conception et de la mise en œuvre d’une solution
d’accès à distance à un IACS.
Accès direct
L’accès direct permet à l’utilisateur distant d’établir une connexion sécurisée « directement » avec
l'IACS. Après avoir créé un tunnel VPN sécurisé, le logiciel sur l’ordinateur de l’utilisateur distant
initie une communication directement avec l'IACS.
• Caractéristiques de conception – comment les mettre en œuvre ?
- Authentification et autorisation de réseau et d’application
- Gestion des modifications, contrôle de version, conformité réglementaire et gestion de
licence logiciel
- Gestion de la santé du client distant (ordinateur)
- Alignement sur les normes de sécurité de l'IACS
REMARQUE : bien qu'aucune assistance informatique, ou très peu, soit requise pour cette
approche, les meilleures pratiques de sécurité devraient être en conformité avec les normes de
sécurité d'IACS établies.
Accès direct
Site distant
Systèmes d’usine
industriels
Solutions d’accès à distance sécurisé évolutives pour équipementiers | 5
Accès indirect
L’accès indirect permet à l’utilisateur distant d’établir une connexion sécurisée avec l'IACS grâce à
un serveur intermédiaire résidant généralement dans la DMZ (zone démilitarisée) et donnant à la
passerelle distante un accès à un serveur d’accès à distance dans l'IACS. Le client distant utilise un
logiciel client ou un navigateur Internet pour établir une connexion au serveur d’accès à distance
une fois la session VPN établie.
• Caractéristiques de conception
- Plusieurs niveaux d’authentification et d’autorisation sur le réseau
- Gestion simplifiée des actifs - Gestion des modifications, contrôle de version, conformité
réglementaire et gestion de licence de logiciel
- Gestion simplifiée de la santé du client distant
- Meilleur alignement sur les normes de sécurité de l'IACS
REMARQUE : l’accès indirect est l’approche privilégiée en raison du meilleur alignement avec les
normes de sécurité de l'IACS. C’est l’approche recommandée par l’équipe Converged Plantwide
Ethernet (CPwE) de Cisco et Rockwell Automation.
Accès indirect
Site distant
Serveur d’accès à
distance (RAS)
Systèmes d’usine
industriels
6 | Solutions d’accès à distance sécurisé évolutives pour équipementiers
Lors de l’analyse des solutions d’accès à distance sécurisé, vous devez déterminer si le type de
système auquel il faut accéder est un IACS isolé autonome ou un IACS intégré à l'entreprise.
• Exemple représentatif d'IACS isolé autonome
- Petit site de production, peut être un petit atelier avec un opérateur unique, site distant (non
intégré à l’entreprise), avec peu de machines automatisées.
- Peu ou pas d’assistance informatique avec une politique de sécurité minimale ou inexistante.
- Peu ou pas d’alignement sur les normes de sécurité d'IACS.
• Exemple représentatif d'IACS intégré à l’entreprise
- Site de production de grande taille.
- Le réseau industriel est interfacé avec le réseau d’entreprise.
- Forte présence du service informatique avec politique de sécurité de type « défense en
profondeur ».
- Alignement sur les normes de sécurité de l'IACS
Exemple : accès direct pour IACS autonome
Appareil de
sécurité UTM
WAN
Routeur WAN
Site distant
Ingénieur d’usine
Constructeur de machines
Intégrateur système
Solutions d’accès à distance sécurisé évolutives pour équipementiers | 7
Exemple : accès indirect pour IACS autonome (approche privilégiée)
WAN
Serveur d’accès à
distance (RAS)
Appareil de
sécurité UTM
Routeur
WAN
Site distant
Ingénieur d’usine
Constructeur de
machines
Intégrateur système
Exemple : accès indirect pour IACS intégré à l’entreprise (approche privilégiée)
(Fabricant de grande taille avec intégration des systèmes de production (fabrication) et
d'entreprise (informatique)
DMZ
WAN
Site distant
Ingénieur d’usine
Constructeur de
machines
Intégrateur système
Systèmes d’entreprise
Systèmes d’usine industriels
8 | Solutions d’accès à distance sécurisé évolutives pour équipementiers
Solutions d’accès à distance potentiel
Modems commutés
Les modems étaient traditionnellement une méthode d’accès à distance par « porte dérobée »
négligée pour les applications d'IACS. Ils sont typiquement la méthode la moins appréciée pour
accéder à un IACS. Cependant, si c’est la méthode d’accès à distance choisie sur la base de la
politique d’accès à distance et des limites de l’infrastructure physique, une approche à plusieurs
niveaux de sécurité doit être choisie et l'alimentation du modem doit être déconnectée lorsqu'il
n'est pas utilisé.
Le modem doit avoir les capacités suivantes :
• Comptes commutés configurables
• Identification de l’appelant, autorisant l’authentification de certains numéros de téléphone
uniquement
• Fonctions de rappel
• Authentification chiffrée
En plus de l’installation d’un modem avec sécurité intégrée, il faut avoir recours à
d’autres couches de défense. Certaines de ces défenses incluent : mise en place
d’un pare-feu CIP, établissement d’un VPN IPsec ou SSL, configuration d’un système
de détection/prévention d’intrusion (IDS/IPS), protection antivirus, etc. La plupart
des pare-feux modernes fournissent plusieurs niveaux de sécurité dans un appareil
unique souvent appelé dispositif de gestion unifiée des menaces.
REMARQUE : pour d’autres conseils sur la sécurité du modem, consultez :
• Ministère de la sécurité intérieure des États-Unis – Pratiques recommandées pour la
sécurisation
Des modems de système de commande
- http://www.us-cert.gov/control_systems/practices/documents/SecuringModems.pdf
• Services réseau et sécurité de Rockwell Automation
- http://www.rockwellautomation.com/services/security/
Solutions d’accès à distance sécurisé évolutives pour équipementiers | 9
Connexion à distance avec l’usine (routeurs/modems WAN : DSL, mobile,
satellite, câble, T1, etc.)
Lorsque les modems traditionnels ne sont pas une option en raison de l’impossibilité d’installer
des lignes téléphoniques, un accès par ligne téléphonique pour mobile pour établir une
connexion WAN est une excellente alternative. Cette option devient populaire grâce à la
couverture croissante des zones géographiques, de la vitesse de transmission, du coût et de la
commodité.
Connexion à distance avec l’usine
Site distant
WAN
Routeur
WAN
Appareil
de sécurité
UTM
Systèmes d’usine
industriels
Cependant, comme indiqué plus haut pour les modems commutés, les connexions WAN par
ligne mobile qui utilisent des modems et routeurs mobiles doivent être utilisées avec d’autres
technologies de sécurité afin de fournir une « défense en profondeur » ou doivent avoir au
minimum ces fonctions intégrées au dispositif (UTM). Les autres options de connexion WAN
incluent : DSL, câble, T1, satellite, etc. Le type de connectivité utilisé pour établir une connexion
WAN avec le système autonome dépend de la localisation du fabricant, des contraintes
budgétaires et de la politique d’accès. Un point à noter, lors de la mise en œuvre d'un VPN, une
adresse IP statique doit généralement être attribuée par un fournisseur WAN.
Les fonctions suivantes sont les fonctions de sécurité à rechercher lors de la conception d’une
solution :
• A-t-elle des capacités de VPN ? SSL ? IPsec ?
• Fournit-elle un pare-feu ?
- Filtre-t-elle les protocoles industriels ? CIP, Modbus, etc.
- Inspection approfondie des paquets ?
• NAT (Network Access Translation) ?
• Est-elle construite pour une utilisation industrielle ?
• Antivirus, filtrage de spams ?
• Permet-elle de réaliser des audits ?
• A-t-elle un système de détection et/ou de prévention d’intrusion ?
10 | Solutions d’accès à distance sécurisé évolutives pour équipementiers
Connexion vers l’extérieur de l’usine (Webex, GoToMyPc, dispositifs VPN
passerelle, etc.)
Les connexions initiées par l’utilisateur final peuvent également permettre l’accès à distance
sécurisé à condition que le système de commande ait du personnel sur site et qu’il y ait déjà
une connexion Internet sécurisée établie à l’aide de contrôles de sécurité à plusieurs niveaux. La
personne responsable de l’assistance à distance peut demander une session à distance à l’aide
de technologies telles que Webex, etc.
WAN
Site distant
Routeur
WAN
Appareil
de sécurité
UTM
Systèmes d’usine
industriels
Connexion à distance avec l’usine
Cependant, tous les logiciels nécessaires doivent être installés sur l’ordinateur du site pour qu’il
fournisse les fonctions d’accès à distance et que le service informatique configure les règles
nécessaires pour autoriser l’accès sortant.
Le risque d’ouvrir des connexions sortantes vers Internet (http/https) pour l’utilisation de
ces services ne doit pas être négligé et doit être restreint à certains sites et adresses IP afin
d’empêcher la navigation sur Internet à partir des systèmes de commande. L’utilisation de
navigateurs Internet peut présenter des risques significatifs et a, par le passé, été source
d’attaques.
Une autre solution est un dispositif « VPN passerelle » qui réside dans le système de commande
et établit un accès à distance par un service de « VPN hébergé ». Pour cette solution, il faut
prendre soin d’analyser le fournisseur du service « hébergé », sa localisation, s'il adhère aux
bonnes pratiques en matière de sécurité et s’il se conforme aux normes de sécurité d'IACS,
comme ISA-99 et NIST 800-82, et s’il est conforme aux exigences de sécurité de la politique de
sécurité du fabricant.
Solutions d’accès à distance sécurisé évolutives pour équipementiers | 11
IACS intégré à l’entreprise
Solution possible
• Solution d’accès à distance sécurisé CPwE de Rockwell Automation et Cisco
- http://literature.rockwellautomation.com/idc/groups/literature/documents/td/
enet-td001_-en-p.pdf
- http://literature.rockwellautomation.com/idc/groups/literature/documents/wp/
enet-wp009_-en-e.pdf
Solutions personnalisées
Pour des solutions personnalisées, l’équipe des services réseau et sécurité de Rockwell
Automation peut concevoir une solution sécurisée répondant à vos besoins.
•http://www.rockwellautomation.com/services/networks/
•http://www.rockwellautomation.com/services/security/
12 | Solutions d’accès à distance sécurisé évolutives pour équipementiers
Récapitulatif
L’évolution des capacités d’accès à distance sécurisé permet aux équipementiers d'améliorer
la productivité, de réduire les coûts et de répondre plus rapidement aux événements qui
ont un impact sur leurs clients. Grâce à l’utilisation de ces solutions d’accès à distance
sécurisé, les équipementiers peuvent fournir une assistance à distance en temps réel. Avec la
complexification et la mondialisation des installations manufacturières, ainsi que la raréfaction
de la main-d'œuvre qualifiée capable de fournir une assistance 24 heures sur 24 sur site pour
ces systèmes, ces capacités sont de plus en plus importantes. Les capacités d’accès à distance
des systèmes autonomes permettent aux équipementiers d’utiliser les bonnes compétences et
ressources au bon moment, quelle que soit leur localisation physique. Cela permet un meilleur
rendement, moins de temps d’arrêt et une réduction des coûts.
Cependant, étant donné la nature critique des applications IACS, il est important qu'une solution
d'accès à distance fournisse les niveaux de sécurité appropriés pour répondre aux besoins du
fabricant et qu'elle se conforme aux normes de sécurité IACS. La mise en œuvre des principes
de « défense en profondeur » permet de s’assurer qu’il n’y a jamais d’accès à distance direct non
sécurisé à une application IACS.
Ressources complémentaires
Membre de l’alliance
• Cisco – Routeurs à services intégrés
- http://www.cisco.com/en/US/products/ps10906/Products_Sub_Category_Home.html
Rockwell Automation
• Modems d'accès à distance
- http://www.rockwellautomation.com/services/onlinephone/modems/
Partenaires Encompass
•http://www.rockwellautomation.com/encompass/
Solutions d’accès à distance sécurisé évolutives pour équipementiers | 13
Glossaire
CIP - Common Industrial Protocol
Le protocole CIP englobe un ensemble complet de messages et de services pour les applications
d’automatisation de la production – commande, sécurité, synchronisation, mouvement,
configuration et information. CIP est la propriété de l’ODVA. L’ODVA est une association
internationale composée de membres appartenant aux entreprises mondiales leaders dans
l’automatisation.
DMZ – Zone démilitarisée
Fait référence à un tampon ou segment de réseau entre deux zones du réseau. Une DMZ se
trouve généralement entre un réseau d’entreprise et l’Internet où les données et services
peuvent être partagés/accédés par les utilisateurs présents sur Internet ou sur les réseaux
d’entreprise. Une DMZ est généralement créée avec des pare-feux réseau pour gérer et sécuriser
le trafic provenant des deux zones. Pour un exemple de DMZ de réseau, voir le scénario DMZ
Configuration :
http://www.cisco.com/en/US/docs/solutions/Verticals/CPwE/CPwE_chapter4.html#wp1050554
Ensemble du protocole IP
Un ensemble de normes réseau sur lequel Internet et la plupart des réseaux d’entreprise sont
basés. Il inclut le protocole Internet (IP) de couche 3, le protocole de contrôle de transmission
(TCP) de couche 4 et le protocole de datagramme utilisateur (UDP).
IACS – Système d'automatisation et de commande industriel
Fait référence à l'ensemble des dispositifs et applications utilisés pour automatiser et commander
le processus de fabrication. Plutôt que d’utiliser différents termes avec une signification similaire
(par exemple, systèmes de production, ou systèmes d’usine), nous avons préféré uniformiser
le terme dans ce document. Cela n'implique aucune orientation ou limitation particulière.
Nous considérons que les idées et concepts décrits ici sont applicables à différents types de
productions, notamment, entre autres, la production par lots, en continue, discrète, hybride et de
procédé. D’autres documents et références de l’industrie peuvent faire référence aux systèmes
de commande industrielle. Dans le cadre de ce document, ces termes sont interchangeables. Ce
document utilise IACS, comme dans les normes ISA 99, et se conforme au Converged Plantwide
Ethernet (CPwE) de Cisco et Rockwell Automation.
IPA-3 – Protocole Internet
Protocole Internet. Protocole de niveau réseau dans la pile TCP/IP qui offre un service inter-réseau
sans connexion. Le protocole Internet (IP) fournit des fonctions d’adressage, de spécification de
type de service, de fragmentation/réassemblage et de sécurité. Défini dans RFC 791. Pour en
savoir plus sur IP, TCP et UDP, voir Internetworking Technology Handbook-Internet Protcols :
http://www.cisco.com/en/US/docs/internetworking/technology/handbook/Internet-Protocols.
html
IPS - Système de prévention des intrusions
Dispositif de sécurité réseau qui surveille l’activité du réseau pour détecter les comportements
malveillants ou indésirables. Voir Wikipedia pour en savoir plus sur ces systèmes : http://
en.wikipedia.org/wiki/Intrusion-prevention_system
Ou
Cisco IPS : http://www.cisco.com/en/US/products/sw/secursw/ps2113/index.html
14 | Solutions d’accès à distance sécurisé évolutives pour équipementiers
IPSec – Sécurité IP
Un ensemble de normes ouvertes qui fournit la confidentialité, l’intégrité et l’authentification des
données entre des pairs. IPSec fournit ces services de sécurité au niveau IP. IPSec utilise IKE (voir
plus haut) pour gérer la négociation des protocoles et les algorithmes selon les règles locales et
pour générer les clés de chiffrement et d’authentification utilisées par IPSec. IPSec peut protéger
un ou plusieurs flux de données entre deux hôtes, entre deux passerelles de sécurité ou entre
une passerelle de sécurité et un hôte. Pour en savoir plus sur IPsec, voir le site :
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_tech_note09186a0080094203.
shtml.
ISA-99
Porte sur la sécurité pour les systèmes d'automatisation et de commande industriels. Pour en
savoir plus, voir :
http://www.isa.org/MSTemplate.cfm?MicrositeID=988&CommitteeID=6821
NAT - Traduction d’adresses réseau
Mécanisme qui évite d'avoir à utiliser des adresses IP uniques. NAT permet à une entreprise avec
des adresses qui ne sont pas uniques dans le monde de se connecter à Internet en traduisant ces
adresses en espaces d'adresse routable.
Session de terminal distant
Bureau à distance fait référence à un ensemble de protocoles et de logiciels qui permettent à un
ordinateur ou utilisateur d’accéder et de commander à distance un autre ordinateur grâce à une
émulation graphique du terminal. Le logiciel le fait apparaître à l’hôte distant comme un terminal
relié directement ; par exemple, RDP de Microsoft, Remote Desktop Protocol et VNC (Virtual
Network Computing).
Sous-réseau
Dans les réseaux IP, un sous-réseau est un réseau qui partage une adresse de sous-réseau. Les
sous-réseaux sont des réseaux segmentés de façon arbitraire par un administrateur réseau afin
de créer une structure de routage à plusieurs niveaux hiérarchisés tout en protégeant le sousréseau de la complexité d’adressage des réseaux reliés.
SSL - Secure Socket Layer
Technologie de chiffrement pour le Web utilisée pour permettre des transactions sécurisées,
comme la transmission des numéros de cartes bancaires pour le commerce électronique.
Usine – Installation de production ou atelier de production
Le terme usine est utilisé dans ce document comme mot clé pour décrire l’endroit dans lequel le
processus et la commande de fabrication sont réalisés. Cela n’exclut pas d’autres mots comme
installation de production, atelier de production ou tout autre terme utilisé pour faire référence
à l’endroit où le processus de fabrication est réalisé. En fait, ils peuvent être utilisés de façon
interchangeable, mais pour des raisons d’uniformité, le mot usine est utilisé.
Solutions d’accès à distance sécurisé évolutives pour équipementiers | 15
UTM – Unified Threat Management
Solution complète qui est apparue récemment dans le secteur de la sécurité des réseaux et qui,
depuis 2004, s’est répandue comme une solution principale pour la défense de passerelle réseau
dans les entreprises. [1] En théorie, c’est l’évolution du pare-feu traditionnel en un produit de
sécurité universel qui peut exécuter plusieurs fonctions de sécurité : pare-feu réseau, prévention
des intrusions sur le réseau et antivirus pour passerelle, anti-spam pour passerelle, VPN, filtrage
du contenu, équilibrage de charge, prévention de perte de données et génération de rapports
sur l’appareil.
Pour en savoir plus sur UTM, voir Wikipedia : http://en.wikipedia.org/wiki/Unified_threat_
management
VPN - Réseau privé virtuel
Réseau qui utilise principalement l’infrastructure de télécommunication publique, comme
Internet, pour fournir aux bureaux distants ou aux utilisateurs en déplacement un accès à un
réseau d’entreprise central. Les VPN nécessitent généralement que les utilisateurs distants du
réseau s’authentifient, et ils sécurisent souvent les données en les chiffrant afin d’empêcher
la divulgation d’informations privées à des tiers non autorisés. Les VPN peuvent être utilisés
pour n’importe quelle fonction réseau que l’on trouve sur tout réseau, comme le partage
de données et l’accès aux ressources réseau, imprimantes, bases de données, sites web, etc.
Pour un utilisateur de VPN, le réseau central apparaît généralement exactement comme s'il
s'y était connecté en direct. La technologie VPN via l'Internet public permet de ne plus avoir à
réquisitionner et entretenir les circuits de télécommunication à lignes directes dédiés et coûteux,
méthode qui était courante dans les installations de réseau étendu.
Pour en savoir plus sur les VPN, voir Wikipedia : http://en.wikipedia.org/wiki/VPN
WAN - Wide Area Network
Un réseau étendu (WAN – Wide Area Network) est un réseau de communication qui couvre
une zone étendue (par exemple, tout réseau qui relie des zones métropolitaines, régionales ou
nationales). Les entreprises et les gouvernements utilisent des WAN pour envoyer des données
entre employés, clients, acheteurs et fournisseurs depuis différentes zones géographiques. En
substance, ce mode de télécommunication permet à une entreprise de fonctionner au quotidien
quelle que soit sa localisation.
http://en.wikipedia.org/wiki/Wide_area_network
Zone de production
Une zone réseau dans la structure logique d’usine, comme indiqué au chapitre 2 du guide
Converged Plantwide Ethernet (CPwE) Design and Implementation Guide de Cisco et
Rockwell Automation. Cette zone contient l’ensemble complet d’applications, de systèmes,
d’infrastructures et de dispositifs qui sont critiques au bon fonctionnement de l’usine. Dans
d’autres documents (par exemple ISA 99), cette zone peut également être appelée zone de
commande. Ces termes sont interchangeables.
Allen-Bradley, Rockwell Automation et Rockwell Software sont des marques commerciales de Rockwell Automation, Inc.
Les marques commerciales n’appartenant pas à Rockwell Automation sont la propriété de leurs sociétés respectives.
www.rockwel lautomation.com
Siège des activités « Power, Control and Information Solutions »
Amériques : Rockwell Automation, 1201 South Second Street, Milwaukee, WI 53204-2496 Etats-Unis, Tél: +1 414.382.2000, Fax : +1 414.382.4444
Europe / Moyen-Orient / Afrique : Rockwell Automation NV, Pegasus Park, De Kleetlaan 12a, 1831 Diegem, Belgique, Tél: +32 2 663 0600, Fax : +32 2 663 0640
Asie Pacifique : Rockwell Automation, Level 14, Core F, Cyberport 3, 100 Cyberport Road, Hong Kong, Tél: +852 2887 4788, Fax : +852 2508 1846
Canada : Rockwell Automation, 3043 rue Joseph A. Bombardier, Laval, Québec, H7P 6C5, Tél: +1 (450) 781-5100, Fax: +1 (450) 781-5101, www.rockwellautomation.ca
France : Rockwell Automation SAS – 2, rue René Caudron, Bât. A, F-78960 Voisins-le-Bretonneux, Tél: +33 1 61 08 77 00, Fax : +33 1 30 44 03 09
Suisse : Rockwell Automation AG, Av. des Baumettes 3, 1020 Renens, Tél: 021 631 32 32, Fax: 021 631 32 31, Customer Service Tél: 0848 000 278
Publication ENET-WP025A-FR-P – Mars 2012 © 2012 Rockwell Automation, Inc. Tous droits réservés. Imprimé aux États-Unis.