FR3150676A1

FR3150676A1 - Methods for protecting equipment and providing data, electronic devices and assemblies, computer program products and corresponding information media

Info

Publication number: FR3150676A1
Application number: FR2306801A
Authority: FR
Inventors: Yoann HAMON; Régis Esnault
Original assignee: Orange SA
Current assignee: Orange SA
Priority date: 2023-06-28
Filing date: 2023-06-28
Publication date: 2025-01-03
Also published as: WO2025003199A1

Abstract

Procédés de protection d’un équipement et de fourniture de données, dispositifs et ensemble électroniques, produits programmes d’ordinateur et supports d’information correspondants L’invention concerne un procédé mis en œuvre dans un premier dispositif d’un réseau de communication comprenant une première portion comprenant un équipement, et une seconde portion, interconnectées via le premier dispositif et un second dispositif selon une communication unidirectionnelle, le procédé comportant : transmission au second dispositif d’une adresse de l’équipement sur la première portion ; lors d’une communication entre l’équipement et le premier dispositif, obtention d’une valeur d’une donnée de l’équipement ;transmission au second dispositif de cette valeur. Elle concerne également notamment un procédé de fourniture de données correspondant, ainsi que les dispositifs électroniques, ensemble électronique, produits programme d’ordinateur et supports d’informations correspondants. Figure pour l'abrégé : Fig. 1 Methods for protecting equipment and providing data, electronic devices and assemblies, computer program products and corresponding information carriers The invention relates to a method implemented in a first device of a communication network comprising a first portion comprising equipment, and a second portion, interconnected via the first device and a second device according to a one-way communication, the method comprising: transmission to the second device of an address of the equipment on the first portion; during a communication between the equipment and the first device, obtaining a value of a data item of the equipment; transmission to the second device of this value. It also relates in particular to a method for providing corresponding data, as well as the electronic devices, electronic assembly, computer program products and corresponding information carriers. Figure for the abstract: Fig. 1

Description

Methods for protecting equipment and supplying data, electronic devices and assemblies, computer programs and related information media

La présente application se rapporte au domaine de la sécurisation d’au moins une portion d’un réseau de communication.This application relates to the field of securing at least a portion of a communication network.

Elle concerne notamment un procédé de protection d’au moins un équipement, mis en œuvre par un premier dispositif électronique d’une première portion d’un réseau de communication, et un procédé de fourniture de donnée(s), mis en œuvre par un second dispositif électronique d’une seconde portion d’un réseau de communication, ainsi que les dispositifs et ensemble électroniques, produits programme d’ordinateur et supports d’informations correspondants.

Etat de la technique

It relates in particular to a method of protecting at least one piece of equipment, implemented by a first electronic device of a first part of a communication network, and a method of providing data(s), implemented by a second electronic device of a second part of a communication network, as well as the corresponding electronic devices and assemblies, computer program products and information media.

State of the art

La présente invention est relative à la protection d’au moins un équipement accessible via un réseau de communication. Il peut s’agir par exemple d’un équipement manipulant des données sensibles, ou effectuant des traitements sensibles, et pouvant donc être la cible d’attaque de tiers malveillants, soit pour accéder de façon indue à des données sensibles, soit pour perturber, voire empêcher, certains traitements via la propagation à l’équipement d’un virus informatique.The present invention relates to the protection of at least one piece of equipment accessible via a communication network. This could be, for example, equipment handling sensitive data, or performing sensitive processing, and which could therefore be the target of attacks by malicious third parties, either to gain unauthorized access to sensitive data, or to disrupt, or even prevent, certain processing operations by spreading a computer virus to the equipment.

Cet équipement fait par exemple partie d’un réseau privé d’entreprise ou d’un réseau domestique, interconnecté à un réseau public tel qu’internet.This equipment is, for example, part of a private corporate network or a home network, interconnected to a public network such as the internet.

Des exemples de données sensibles incluent des données à caractère personnel (données médicales, bancaires etc..), des données industrielles (comme des plans d’objet manufacturés, des données relatives à la production de certaines machines industrielles comme des résultats de mesures, un nombre de pièces produites, etc..), des historiques de commandes reçues par des équipements industrielles, des alertes, etc.Examples of sensitive data include personal data (medical, banking data, etc.), industrial data (such as plans for manufactured objects, data relating to the production of certain industrial machines such as measurement results, number of parts produced, etc.), order histories received by industrial equipment, alerts, etc.

Des tiers malveillants peuvent être par exemple être tentés de mettre hors d’état d’usage l’équipement, pour nuire à une entreprise ou obtenir une rançon. Des solutions de sécurisation de réseaux privés ont été développées pour protéger un équipement ou un ensemble d’équipements appartenant un même réseau privé de telles attaques. On peut citer par exemple des solutions à base de pares-feux (« firewalls » selon la terminologie anglaise) et/ou des systèmes de détection d'intrusion. On peut citer également l’utilisation de réseaux privés virtuels (RPV) (ou VPN pour Virtual Private Network selon la terminologie anglaise) isolant par cryptage, au sein d’un réseau étendu, les échanges entre les équipements du réseau étendu appartenant au réseau privé virtuel, De telles solutions permettent de limiter les communications avec les équipements extérieurs au réseau privé aux communications émises depuis le réseau privé vers ces équipements « extérieurs », et empêchent ainsi les accès depuis l’extérieur du réseau à un équipement à protéger.Malicious third parties might, for example, be tempted to disable equipment to harm a company or obtain a ransom. Private network security solutions have been developed to protect equipment or groups of equipment within the same private network from such attacks. Examples include firewall-based solutions and/or intrusion detection systems. Another example is the use of Virtual Private Networks (VPNs), which isolate, through encryption, communications between devices on the wider network that belong to the virtual private network. Such solutions limit communication with devices outside the private network to communications originating from the private network and directed at those "external" devices, thus preventing access to the protected equipment from outside the network.

Cependant ces solutions, parfois appelés « diodes réseau », sont parfois inappropriées et très contraignantes pour protéger certains équipements électroniques comme des machines industrielles. En effet, de telles solutions permettent seulement les remontées d’informations à l’initiative de l’équipement protégé. Un logiciel s’exécutant sur un appareil électronique extérieur au réseau privé ne peut donc pas interroger un équipement protégé pour obtenir en retour une donnée. De telles solutions limitent fortement, voire empêchent, l’usage de certains protocoles de communication basés sur de telles requêtes et notamment de certains protocoles très répandus dans le domaine industriel (comme, dans le domaine industriel, les protocoles OPC-UA ou ModBus utilisés par de nombreuses machines-outils du marché). Elles ne sont donc pas adaptées à la protection de certains équipements du marché.However, these solutions, sometimes called "network diodes," are often unsuitable and very restrictive for protecting certain electronic equipment, such as industrial machinery. Indeed, such solutions only allow information to be sent at the initiative of the protected equipment. Software running on an electronic device outside the private network cannot therefore query a protected device to obtain data in return. Such solutions severely limit, or even prevent, the use of certain communication protocols based on such requests, particularly some protocols widely used in industry (such as OPC-UA or Modbus protocols used by many machine tools on the market). They are therefore not suitable for protecting certain types of equipment available on the market.

La présente demande a pour objet de proposer des améliorations à au moins certains des inconvénients de l’état de la technique.The purpose of this application is to propose improvements to at least some of the drawbacks of the state of the art.

2. Description of the invention

La présente demande vise à améliorer la situation à l'aide d'un procédé de protection d’un équipement d’un réseau de communication partitionné en une pluralité de portions comprenant au moins une première portion, comprenant ledit équipement, et au moins une seconde portion interconnectée avec ladite première portion via un premier dispositif électronique et un second dispositif électronique en communication unidirectionnelle, de façon à permettre uniquement des communications du premier dispositif vers le second dispositif, ledit procédé comprenant :

une transmission audit second dispositif d’un identifiant d’adressage dudit équipement sur ladite première portion dudit réseau de communication ;
lors d’une connexion (ou d’une communication) entre ledit équipement à protéger et ledit premier dispositif, une obtention de la valeur courante d‘au moins une donnée dudit équipement ;
une transmission audit second dispositif, via ladite communication unidirectionnelle, de la valeur courante obtenue.

This application aims to improve the situation by means of a method for protecting equipment in a communication network partitioned into a plurality of portions comprising at least a first portion, including said equipment, and at least a second portion interconnected with said first portion via a first electronic device and a second electronic device in unidirectional communication, so as to permit only communications from the first device to the second device, said method comprising:

a transmission to said second device of an addressing identifier for said equipment on said first portion of said communication network;
during a connection (or communication) between said equipment to be protected and said first device, obtaining the current value of at least one data point of said equipment;
a transmission to said second device, via said unidirectional communication, of the current value obtained.

Selon au moins un mode de réalisation, le procédé de protection comprend une obtention d’un descriptif relatif audit équipement à protéger et comportant au moins :

ledit identifiant d’adressage dudit équipement à protéger sur ladite première portion dudit réseau de communication ;

une désignation d’au moins un protocole de communication avec ledit équipement ;
ladite information d’adressage d’au moins une donnée dudit équipement accessible en lecture via ledit équipement.

According to at least one embodiment, the protection method includes obtaining a description relating to the equipment to be protected and comprising at least:

said addressing identifier of said equipment to be protected on said first portion of said communication network;

a designation of at least one communication protocol with said equipment;
said addressing information of at least one piece of data of said equipment accessible for reading via said equipment.

Selon au moins un mode de réalisation, le procédé de protection comprend une transmission audit second dispositif d’une information identifiant ledit protocole.According to at least one embodiment, the protection method includes transmitting to said second device information identifying said protocol.

Selon au moins un mode de réalisation, le procédé de protection comprend, sur mise à jour d’au moins une première de ladite au moins une donnée accessible, une transmission audit second dispositif, via ladite communication unidirectionnelle, de ladite valeur mise à jour.According to at least one embodiment, the protection method includes, upon updating at least one of said at least one accessible data, a transmission to said second device, via said unidirectional communication, of said updated value.

Selon au moins un mode de réalisation, ledit descriptif est obtenu lors du lancement dudit procédé de protection.According to at least one embodiment, said description is obtained during the launch of said protection process.

Selon au moins un mode de réalisation, ledit descriptif est obtenu dynamiquement par ledit premier dispositif par scrutation de ladite première portion.According to at least one embodiment, said description is obtained dynamically by said first device by scanning said first portion.

Selon au moins un mode de réalisation, ladite valeur courante et/ou mise à jour de ladite première donnée est obtenue par interrogation dudit équipement.According to at least one embodiment, said current value and/or update of said first data is obtained by querying said equipment.

Selon au moins un mode de réalisation, ladite interrogation dudit équipement est effectuée plusieurs fois et un intervalle temporel entre deux interrogations successives dudit équipement tient compte d’une information temporelle comprise dans ledit descriptif.According to at least one embodiment, said query of said equipment is carried out several times and a time interval between two successive queries of said equipment takes into account temporal information included in said description.

Selon au moins un mode de réalisation, ledit premier dispositif électronique est en connexion filaire (directe par exemple) avec ledit équipement à protéger.According to at least one embodiment, said first electronic device is in wired connection (direct for example) with said equipment to be protected.

La présente demande concerne également un procédé de fourniture de données en provenance d’au moins un équipement d’un réseau de communication partitionné en une pluralité de portions comprenant au moins une première portion, et au moins une seconde portion interconnectée avec ladite première portion via un premier dispositif électronique et un second dispositif électronique en communication unidirectionnelle, de façon à permettre uniquement des communications du premier dispositif vers le second dispositif, ledit procédé comprenant :

une obtention d’un descriptif relatif à au moins un équipement de ladite première portion dudit réseau de communication comportant au moins un identifiant d’adressage dudit au moins un équipement sur ladite première portion dudit réseau de communication ;

une affectation audit second dispositif dudit au moins un identifiant d’adressage obtenu, comme identifiant d’adressage sur ladite seconde portion dudit réseau,

sur réception d’une requête ayant comme adresse de destination ledit identifiant d’adressage et relative à au moins une première donnée dudit équipement, une transmission d’une valeur de ladite au moins une première donnée, préalablement obtenue via ladite communication unidirectionnelle, à un émetteur de ladite requête.

This application also relates to a method for supplying data from at least one piece of equipment in a communication network partitioned into a plurality of portions comprising at least a first portion, and at least a second portion interconnected with said first portion via a first electronic device and a second electronic device in unidirectional communication, so as to permit only communications from the first device to the second device, said method comprising:

obtaining a description relating to at least one piece of equipment on said first portion of said communication network, including at least one addressing identifier for said at least one piece of equipment on said first portion of said communication network;

an assignment to said second device of at least one obtained addressing identifier, as an addressing identifier on said second portion of said network,

upon receipt of a request having as its destination address said addressing identifier and relating to at least one first piece of data of said equipment, a transmission of a value of said at least one first piece of data, previously obtained via said unidirectional communication, to a sender of said request.

Selon au moins un mode de réalisation, ledit descriptif est obtenu via ladite communication unidirectionnelle.According to at least one embodiment, said description is obtained via said one-way communication.

Selon au moins un mode de réalisation, ledit descriptif obtenu via ledit procédé de fourniture comprend :

une désignation d’au moins un protocole de communication avec ledit équipement ;
d’une information d’adressage d’au moins une donnée dudit équipement accessible en lecture via ledit équipement de ladite première portion dudit réseau ;

According to at least one embodiment, said description obtained via said supply process comprises:

a designation of at least one communication protocol with said equipment;
of an addressing information of at least one piece of data of said equipment accessible for reading via said equipment of said first portion of said network;

et ladite requête est reçue selon ledit protocole et est relative à ladite information d’adressage.and said request is received according to said protocol and relates to said addressing information.

Les caractéristiques, présentées isolément dans la présente demande en lien avec certains modes de réalisation de l’un des procédés de la présente demande peuvent être combinées entre elles selon d’autres modes de réalisation de ce procédé.The characteristics, presented in isolation in this application in connection with certain embodiments of one of the processes of this application, may be combined with each other according to other embodiments of this process.

Selon un autre aspect, la présente demande concerne également un dispositif électronique adapté à mettre en œuvre au moins un des procédés de la présente demande dans l’un quelconque de ses modes de réalisations.In another respect, the present application also relates to an electronic device adapted to implement at least one of the methods of the present application in any of its embodiments.

La présente demande concerne ainsi un premier dispositif électronique d’un réseau de communication partitionné en une pluralité de portions comprenant au moins une première portion, comprenant un équipement à protéger, et au moins une seconde portion interconnectée avec ladite première portion via le premier dispositif et un second dispositif en communication unidirectionnelle avec le premier dispositif, de façon à permettre uniquement des communications du premier dispositif vers le second dispositif, ledit premier dispositif comprenant un moins un processeur configuré pour :

une transmission audit second dispositif d’un identifiant d’adressage dudit équipement sur ladite première portion dudit réseau de communication ;
lors d’une connexion (ou d’une communication) entre ledit équipement à protéger et ledit premier dispositif, une obtention de la valeur courante d‘au moins une donnée dudit équipement;
une transmission audit second dispositif, via ladite communication unidirectionnelle, de la valeur courante obtenue.

This application therefore relates to a first electronic device of a communication network partitioned into a plurality of portions comprising at least a first portion, including equipment to be protected, and at least a second portion interconnected with said first portion via the first device and a second device in unidirectional communication with the first device, so as to permit only communications from the first device to the second device, said first device comprising at least one processor configured to:

La présente demande concerne aussi un second dispositif électronique d’un réseau de communication partitionné en une pluralité de portions comprenant au moins une première portion, comprenant un équipement à protéger, et au moins une seconde portion interconnectée avec ladite première portion via un premier dispositif électronique et ledit second dispositif électronique en communication unidirectionnelle, de façon à permettre uniquement des communications du premier dispositif vers le second dispositif, ledit second dispositif comprenant un moins un processeur configuré pour :

une affectation audit second dispositif, comme identifiant d’adressage sur ladite seconde portion dudit réseau, d’au moins un identifiant d’adressage, sur ladite première portion dudit réseau de communication ; d’au moins un équipement sur ladite première portion ;

sur réception d’une requête ayant comme adresse de destination ledit identifiant d’adressage et relative à au moins une première donnée dudit équipement, transmission d’une valeur de ladite au moins une première donnée, préalablement obtenue via ladite communication unidirectionnelle, à un émetteur de ladite requête.

This application also relates to a second electronic device in a communication network partitioned into a plurality of portions comprising at least a first portion, including equipment to be protected, and at least a second portion interconnected with said first portion via a first electronic device and said second electronic device in unidirectional communication, so as to permit only communications from the first device to the second device, said second device comprising at least one processor configured to:

an assignment to said second device, as an addressing identifier on said second portion of said network, of at least one addressing identifier, on said first portion of said communication network; of at least one piece of equipment on said first portion;

upon receipt of a request having as its destination address said addressing identifier and relating to at least one first piece of data of said equipment, transmission of a value of said at least one first piece of data, previously obtained via said unidirectional communication, to a sender of said request.

Selon un autre aspect, la présente demande concerne également un ensemble électronique d’un réseau de communication partitionné en une pluralité de portions comprenant au moins une première portion, comprenant un équipement à protéger, et au moins une seconde portion interconnectée avec ladite première portion via un premier dispositif dudit ensemble électronique et un second dispositif dudit ensemble électronique en communication unidirectionnelle, via des moyens de communication unidirectionnelle dudit ensemble électronique, de façon à permettre uniquement des communications du premier dispositif dudit ensemble électronique vers le second dispositif dudit ensemble électronique,

ledit au moins un premier dispositif dudit ensemble électronique comportant au moins un premier processeur configuré pour:

Et ledit au moins un second dispositif électronique comprenant un moins un second processeur configuré pour :

une affectation audit second dispositif, comme identifiant d’adressage sur ladite seconde portion dudit réseau, d’au moins un identifiant d’adressage, sur ladite première portion dudit réseau de communication, d’au moins un équipement sur ladite première portion ;
sur réception d’une requête ayant comme adresse de destination ledit identifiant d’adressage et relative à au moins une première donnée dudit équipement, une transmission d’une valeur de ladite au moins une première donnée, préalablement obtenue via ladite communication unidirectionnelle, à un émetteur de ladite requête.

According to another aspect, the present application also relates to an electronic assembly of a communication network partitioned into a plurality of portions comprising at least a first portion, comprising equipment to be protected, and at least a second portion interconnected with said first portion via a first device of said electronic assembly and a second device of said electronic assembly in unidirectional communication, via unidirectional communication means of said electronic assembly, so as to permit only communications from the first device of said electronic assembly to the second device of said electronic assembly,

said at least one first device of said electronic assembly comprising at least one first processor configured for:

And said at least one second electronic device comprising at least one second processor configured to:

an assignment to said second device, as an addressing identifier on said second portion of said network, of at least one addressing identifier, on said first portion of said communication network, of at least one piece of equipment on said first portion;
upon receipt of a request having as its destination address said addressing identifier and relating to at least one first piece of data of said equipment, a transmission of a value of said at least one first piece of data, previously obtained via said unidirectional communication, to a sender of said request.

Selon un autre aspect, la présente demande concerne également un système comprenant au moins un équipement à protéger et au moins un ensemble électronique de protection, dans un réseau de communication partitionné en une pluralité de portions comprenant au moins une première portion, comprenant ledit équipement à protéger, et au moins une seconde portion interconnectée avec ladite première portion via un premier dispositif dudit ensemble électronique de protection et un second dispositif dudit ensemble électronique de protection en communication unidirectionnelle avec le premier dispositif dudit ensemble électronique de protection, via des moyens de communication unidirectionnelle dudit ensemble électronique de protection de façon à permettre uniquement des communications du premier dispositif dudit ensemble électronique de protection vers le second dispositif dudit ensemble électronique de protection,

ledit au moins un premier dispositif dudit ensemble électronique de protection comportant au moins un premier processeur configuré pour :

une affectation audit second dispositif, comme identifiant d’adressage sur ladite seconde portion dudit réseau, d’au moins un identifiant d’adressage, sur ladite première portion dudit réseau de communication ; d’au moins un équipement sur ladite première portion ;
sur réception d’une requête ayant comme adresse de destination ledit identifiant d’adressage et relative à au moins une première donnée dudit équipement, une transmission d’une valeur de ladite au moins une première donnée, préalablement obtenue via ladite communication unidirectionnelle, à un émetteur de ladite requête.

According to another aspect, the present application also relates to a system comprising at least one piece of equipment to be protected and at least one electronic protection assembly, in a communication network partitioned into a plurality of portions comprising at least a first portion, comprising said equipment to be protected, and at least a second portion interconnected with said first portion via a first device of said electronic protection assembly and a second device of said electronic protection assembly in unidirectional communication with the first device of said electronic protection assembly, via unidirectional communication means of said electronic protection assembly so as to permit only communications from the first device of said electronic protection assembly to the second device of said electronic protection assembly,

said at least one first device of said electronic protection assembly comprising at least one first processor configured for:

an assignment to said second device, as an addressing identifier on said second portion of said network, of at least one addressing identifier, on said first portion of said communication network; of at least one piece of equipment on said first portion;
upon receipt of a request having as its destination address said addressing identifier and relating to at least one first piece of data of said equipment, a transmission of a value of said at least one first piece of data, previously obtained via said unidirectional communication, to a sender of said request.

La présente demande concerne aussi un programme d'ordinateur comprenant des instructions pour la mise en œuvre des divers modes de réalisation de l’un au moins des procédés ci-dessus, lorsque ledit programme est exécuté par un processeur, et un support d’informations lisible par un dispositif électronique et sur lequel est enregistré le programme d’ordinateur.This application also relates to a computer program comprising instructions for implementing the various embodiments of at least one of the above methods, when said program is executed by a processor, and an information carrier readable by an electronic device and on which the computer program is recorded.

La présente demande concerne ainsi un programme d'ordinateur comprenant des instructions pour la mise en œuvre, lorsque le programme est exécuté par un processeur d’un premier dispositif électronique, d’un procédé de protection d’un équipement d’un réseau de communication partitionné en une pluralité de portions comprenant au moins une première portion, comprenant ledit équipement, et au moins une seconde portion interconnectée avec ladite première portion via le premier dispositif et un second dispositif en communication unidirectionnelle avec le premier dispositif, de façon à permettre uniquement des communications du premier dispositif vers le second dispositif, ledit procédé comprenant :

This application therefore relates to a computer program comprising instructions for implementing, when the program is executed by a processor of a first electronic device, a method for protecting equipment in a communication network partitioned into a plurality of portions comprising at least a first portion, including said equipment, and at least a second portion interconnected with said first portion via the first device and a second device in unidirectional communication with the first device, so as to permit only communications from the first device to the second device, said method comprising:

Par ailleurs, la présente demande concerne un programme d'ordinateur comprenant des instructions pour la mise en œuvre, lorsque le programme est exécuté par un processeur d’un second dispositif électronique, d’un procédé de fourniture de données en provenance d’au moins un équipement d’un réseau de communication partitionné en une pluralité de portions comprenant au moins une première portion, et au moins une seconde portion interconnectée avec ladite première portion via un premier dispositif électronique et le second dispositif électronique en communication unidirectionnelle, de façon à permettre uniquement des communications du premier dispositif vers le second dispositif, ledit procédé comprenant :

Furthermore, the present application relates to a computer program comprising instructions for implementing, when the program is executed by a processor of a second electronic device, a method for supplying data from at least one piece of equipment in a communication network partitioned into a plurality of portions comprising at least a first portion, and at least a second portion interconnected with said first portion via a first electronic device and the second electronic device in unidirectional communication, so as to permit only communications from the first device to the second device, said method comprising:

La présente demande concerne aussi un support d’informations lisible par un processeur d’un premier dispositif électronique et sur lequel est enregistré un programme d’ordinateur comprenant des instructions pour la mise en œuvre, lorsque le programme est exécuté par le processeur, d’un procédé de protection d’un équipement d’un réseau de communication partitionné en une pluralité de portions comprenant au moins une première portion, comprenant ledit équipement, et au moins une seconde portion interconnectée avec ladite première portion via le premier dispositif et un second dispositif en communication unidirectionnelle avec le premier dispositif, de façon à permettre uniquement des communications du premier dispositif vers le second dispositif, ledit procédé comprenant :

This application also relates to a processor-readable information carrier of a first electronic device on which is stored a computer program comprising instructions for implementing, when the program is executed by the processor, a method for protecting equipment in a communication network partitioned into a plurality of portions comprising at least a first portion, comprising said equipment, and at least a second portion interconnected with said first portion via the first device and a second device in unidirectional communication with the first device, so as to permit only communications from the first device to the second device, said method comprising:

La présente demande concerne par ailleurs un support d’informations lisible par un processeur d’un second dispositif électronique et sur lequel est enregistré un programme d’ordinateur comprenant des instructions pour la mise en œuvre, lorsque le programme est exécuté par le processeur, d’un procédé d’un procédé de fourniture de données en provenance d’au moins un équipement d’un réseau de communication partitionné en une pluralité de portions comprenant au moins une première portion, et au moins une seconde portion interconnectée avec ladite première portion via un premier dispositif électronique et le second dispositif électronique en communication unidirectionnelle, de façon à permettre uniquement des communications du premier dispositif vers le second dispositif, ledit procédé comprenant :

This application also relates to a data carrier readable by a processor of a second electronic device and on which is recorded a computer program comprising instructions for the implementation, when the program is executed by the processor, of a method for supplying data from at least one piece of equipment in a communication network partitioned into a plurality of portions comprising at least a first portion, and at least a second portion interconnected with said first portion via a first electronic device and the second electronic device in unidirectional communication, so as to permit only communications from the first device to the second device, said method comprising:

Les programmes mentionnés ci-dessus peuvent utiliser n’importe quel langage de programmation, et être sous la forme de code source, code objet, ou de code intermédiaire entre code source et code objet, tel que dans une forme partiellement compilée, ou dans n’importe quelle autre forme souhaitable.The programs mentioned above can use any programming language, and be in the form of source code, object code, or code intermediate between source code and object code, such as in a partially compiled form, or in any other desirable form.

Les supports d'informations (ou d’enregistrement) mentionnés dans la présente demande peuvent être n'importe quelle entité ou dispositif capable de stocker le programme. Par exemple, un support d’informations peut comporter un moyen de stockage, tel qu'une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore un moyen d'enregistrement magnétique.The information (or recording) media referred to in this application may be any entity or device capable of storing the program. For example, an information medium may include a storage means, such as a ROM, for example a CD-ROM or a microelectronic circuit ROM, or a magnetic recording means.

Un tel moyen de stockage peut par exemple être un disque dur, une mémoire flash, etc.Such a storage device could be, for example, a hard drive, a flash memory, etc.

D'autre part, un support d'informations peut être un support d'informations transmissible tel qu'un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par radio ou par d'autres moyens. Un programme selon l'invention peut être en particulier téléchargé sur un réseau de type Internet.On the other hand, an information carrier can be a transmissible information medium such as an electrical or optical signal, which can be transmitted via an electrical or optical cable, by radio, or by other means. A program according to the invention can, in particular, be downloaded onto a network such as the Internet.

Alternativement, un support d'informations peut être un circuit intégré dans lequel un programme est incorporé, le circuit étant adapté pour exécuter ou pour être utilisé dans l'exécution de l’un quelconque des modes de réalisation d’au moins un des procédés objets de la présente demande de brevet.Alternatively, an information carrier may be an integrated circuit in which a program is incorporated, the circuit being adapted to execute or to be used in the execution of any of the embodiments of at least one of the methods that are the subject of this patent application.

De façon générale, par obtention d’un élément, on entend dans la présente demande par exemple une réception de cet élément depuis un réseau de communication, une acquisition de cet élément (via par exemple des éléments d’interface utilisateur , des capteurs,etc.), une création de cet élément par divers moyens de traitement tels que par copie, encodage, décodage, transformation etc et/ou un accès de cet élément depuis un support de stockage local ou distant accessible à au moins un appareil (comme le premier et/ou le second dispositif) mettant en œuvre, au moins partiellement, cette obtention.In general, obtaining an element means in this application, for example, receiving that element from a communication network, acquiring that element (via, for example, user interface elements, sensors, etc.), creating that element by various processing means such as copying, encoding, decoding, transformation, etc., and/or accessing that element from a local or remote storage medium accessible to at least one device (such as the first and/or second device) implementing, at least partially, that obtaining.

3. Brief description of the drawings

D’autres caractéristiques et avantages de l’invention apparaîtront plus clairement à la lecture de la description suivante de modes de réalisation particuliers, donnés à titre de simples exemples illustratifs et non limitatifs, et des dessins annexés, parmi lesquels :Other features and advantages of the invention will become clearer upon reading the following description of particular embodiments, given by way of simple illustrative and non-limiting examples, and the accompanying drawings, among which:

LaFIG. 1présente une vue simplifiée d’un système, cité à titre d’exemple, dans lequel au moins certains modes de réalisation des procédés de la présente demande peuvent être implémentés,There FIG. 1 presents a simplified view of a system, cited as an example, in which at least some embodiments of the processes of this application can be implemented,

LaFIG. 2présente une vue simplifiée d’un dispositif adapté à mettre en œuvre au moins certains modes de réalisation d’au moins un des procédés de la présente demande,There FIG. 2 presents a simplified view of a device adapted to implement at least certain embodiments of at least one of the processes in this application,

LaFIG. 3présente un aperçu du procédé de protection de la présente demande, dans certains de ses modes de réalisationThere FIG. 3 presents an overview of the process for protecting this application, in some of its embodiments

LaFIG. 4présente un aperçu du procédé de fourniture de données de la présente demande, dans certains de ses modes de réalisationThere FIG. 4 presents an overview of the data provision process for this application, in some of its implementations

LaFIG. 5présente une vue simplifiée d’un système 500, cité à titre d’exemple, dans lequel au moins certains modes de réalisation du procédé de la présente demande peuvent être implémentésThere FIG. 5 presents a simplified view of a 500 system, cited as an example, in which at least some embodiments of the process of the present application can be implemented

5. Description of the implementation methods

La présente demande vise à fournir une solution simple et efficace permettant à la fois de protéger un ou plusieurs équipements d’un réseau de communication contre des attaques informatiques, notamment externes à ce réseau de communication, tout en permettant d’obtenir (par exemple sur demande), notamment depuis l’extérieur du réseau de communication, et de manière sécurisée, des données en provenance de ces équipements à protéger. Pour cela, la demande propose d’équiper le réseau de communication d’au moins deux dispositifs, réalisant une partition du réseau de communication en au moins deux portions.This application aims to provide a simple and effective solution for protecting one or more devices on a communication network against cyberattacks, particularly those originating from outside the network, while also enabling secure retrieval (for example, on demand), including from outside the network, of data from these devices. To achieve this, the application proposes equipping the communication network with at least two devices, partitioning the network into at least two segments.

Par partition, on entend ici un partage du réseau de communication en une pluralité de portions comprenant chacune au moins un appareil électronique, disjointes deux à deux (hormis certains éléments d’interconnexion entre les au moins deux dispositifs comme précisé ci-après) et dont la réunion reconstitue le réseau de communication.By partition, we mean here a division of the communication network into a plurality of portions each comprising at least one electronic device, separated in pairs (except for certain interconnection elements between the at least two devices as specified below) and whose reunion reconstitutes the communication network.

Au moins une première de ces portions est une portion (dite « protégée ») inaccessible depuis un appareil électronique situé à l’extérieur de cette première portion, cette première portion comprenant au moins un équipement à protéger. Au moins une seconde portion dite « exposée » est accessible, directement ou via des équipements d’interconnexion, à des appareils extérieurs à la première portion (comme des appareils situés dans une autre « première » portion protégée que la première portion « protégée » où se situe l’équipement, et/ou des appareils de la seconde portion, et/ou des appareils extérieurs au réseau de communication).At least one of these portions is a portion (called "protected") inaccessible from an electronic device located outside of this first portion, this first portion including at least one piece of equipment to be protected. At least one second portion, called "exposed," is accessible, directly or via interconnection equipment, to devices outside the first portion (such as devices located in a different "first" protected portion than the first "protected" portion where the equipment is located, and/or devices in the second portion, and/or devices outside the communication network).

Le réseau de communication peut notamment être un réseau privé ou local. Le ou les équipement(s) à protéger peuvent par exemple être des machines industrielles. Selon la présente demande, un premier dispositif appartenant à une portion protégée accède, en lecture, à des données d’un équipement à protéger situé dans cette portion protégée, et les transmet à un second dispositif, situé dans une portion exposée (ie externe à cette portion protégée), où ces données sont accessibles à un appareil tiers (comme un appareil n’appartenant pas au réseau de communication, ou appartenant à la portion exposée du réseau de communication. ) et/ou susceptibles d’être fournies (systématiquement, sur abonnement et/ou sur demande) à un appareil tiers. Une duplication au moins partielle des données accessibles en lecture de l’équipement à protéger est ainsi mise en œuvre sur le second dispositif. Le premier dispositif et le second dispositif communiquent uniquement via des moyens de communication unidirectionnelle, de façon à ne rendre possible que les communications émises depuis le premier dispositif (depuis la portion protégée) vers le second dispositif (dans la portion exposée).The communication network may be, in particular, a private or local network. The equipment to be protected may, for example, be industrial machines. According to this application, a first device belonging to a protected portion accesses, in read mode, data from equipment to be protected located in that protected portion, and transmits it to a second device, located in an exposed portion (i.e., outside that protected portion), where this data is accessible to a third-party device (such as a device not belonging to the communication network, or belonging to the exposed portion of the communication network) and/or may be provided (systematically, by subscription, and/or on demand) to a third-party device. At least partial duplication of the readable data from the equipment to be protected is thus implemented on the second device. The first and second devices communicate only via unidirectional means of communication, so that only communications originating from the first device (from the protected portion) to the second device (in the exposed portion) are possible.

Ainsi, selon la présente demande, il est possible de recevoir (au niveau du second dispositif) des requêtes d’un appareil tiers souhaitant obtenir des données en provenance de l’équipement à protéger, et de lui fournir en retour ces données (précédemment obtenues via le premier dispositif), en toute sécurité pour l’équipement à protéger.Thus, according to this application, it is possible to receive (at the level of the second device) requests from a third-party device wishing to obtain data from the equipment to be protected, and to provide it in return with this data (previously obtained via the first device), in complete security for the equipment to be protected.

L’ensemble logique comprenant les au moins un premier et second dispositifs et les moyens de communication unidirectionnelle est également appelé dans la présente demande « ensemble électronique», ou « ensemble électronique de protection », ou encore « Diode intelligente » (ou Smart Diode selon la terminologie anglaise). Selon les modes de réalisation, il peut s’agir d’un ensemble virtuel, encapsulant virtuellement les premier et seconds dispositifs et leurs moyens de communication unidirectionnels ou d’un ensemble physique (comme un élément hardware), ayant par exemple un boîtier dans lequel sont installés les au moins un premier et second dispositifs et leurs moyens de communication unidirectionnels. Cet ensemble peut comprendre selon les modes de réalisation, et la topologie du réseau (par exemple le nombre d’équipements à protéger) un nombre variable de « premier » dispositif et de « second » dispositif.The logical assembly comprising at least one first and second devices and the unidirectional communication means is also referred to in this application as an "electronic assembly," "electronic protection assembly," or "smart diode." Depending on the embodiment, it may be a virtual assembly, virtually encapsulating the first and second devices and their unidirectional communication means, or a physical assembly (such as a hardware component), for example, having a housing in which at least one first and second device and their unidirectional communication means are installed. This assembly may comprise, depending on the embodiment and the network topology (for example, the number of devices to be protected), a variable number of "first" and "second" devices.

Un tel ensemble électronique offre l’avantage d’être facile à installer dans un réseau de communication, par exemple en « intermédiaire » entre un équipement (particulier) à protéger et le reste du réseau de communication., ou de façon à limiter les accès à cet équipement à protéger aux seuls accès effectués par le premier dispositif ou simplement pour limiter les accès à l’équipement à protéger aux appareils situés dans une portion (protégée) du réseau de communication, à laquelle appartient cet équipement. Un tel ensemble peut également aider à proposer un produit « clé en main » à un administrateur du réseau de communication.Such an electronic system offers the advantage of easy installation within a communication network, for example, as an "intermediary" between a specific piece of equipment to be protected and the rest of the communication network, or to restrict access to that equipment to only those accessed by the first device, or simply to limit access to the equipment to devices located within a protected portion of the communication network to which that equipment belongs. Such a system can also help provide a "turnkey" solution for a communication network administrator.

Un tel ensemble électronique peut ainsi aider, au moins dans certains modes de réalisation, à sécuriser un équipement à protéger, sans nécessiter de modification et/ou de remplacement de cet équipement.Such an electronic assembly can thus help, at least in certain embodiments, to secure equipment to be protected, without requiring modification and/or replacement of that equipment.

Par souci de clarté, on utilise dans la présente demande le terme « équipement électronique », ou « équipement », pour se référer à des équipements susceptibles d’être protégés par l’ensemble électronique. On utilisera le terme « dispositif électronique », ou « dispositif », pour se référer au premier ou au second dispositif électronique de l’ensemble électronique 160 introduits ci-avant. Le terme « appareil électronique » ou « appareil » est relatif à un appareil électronique quelconque (il peut s’agir parfois d’un équipement à protéger ou d’un dispositif de l’ensemble électronique)For clarity, the term "electronic equipment," or "equipment," is used in this application to refer to equipment that may be protected by the electronic assembly. The term "electronic device," or "device," will be used to refer to the first or second electronic device of the electronic assembly 160 introduced above. The term "electronic device" or "device" refers to any electronic device (this may sometimes be equipment to be protected or a device within the electronic assembly).

On décrit à présent, en lien avec laFIG. 1, de façon plus détaillée la présente demande.We now describe, in connection with the FIG. 1 , in more detail the present request.

LaFIG. 1représente un système 100 dans lequel certains modes de réalisation de l’invention peuvent être mis en œuvre. Le système 100 comporte un ou plusieurs appareils électroniques, certains au moins pouvant communiquer entre eux via un ou plusieurs réseaux de communication 110, 120, 130 éventuellement partitionnés et/ou interconnectés. Dans l’exemple illustré, le système comprend ainsi un réseau privé partitionné en deux portions 110, 120. L’une des portions 120 est en outre interconnectée avec un autre réseau 130 (comme un réseau étendu et/ou public, permettant ainsi des communications, entre des appareils électroniques 150, 164, 170 de cette portion 120 et des appareils électroniques 180 n’appartenant pas au réseau privé.There FIG. 1 represents a system 100 in which certain embodiments of the invention can be implemented. The system 100 comprises one or more electronic devices, at least some of which can communicate with each other via one or more communication networks 110, 120, 130, possibly partitioned and/or interconnected. In the illustrated example, the system thus comprises a private network partitioned into two portions 110, 120. One of the portions 120 is further interconnected with another network 130 (such as a wide area network and/or public network), thus enabling communication between electronic devices 150, 164, 170 of this portion 120 and electronic devices 180 not belonging to the private network.

Le réseau privé peut par exemple être un réseau privé d’entreprise ou domestique, par exemple un réseau privé local (ou LAN pour Local Area Network, selon la terminologie anglaise). L’autre réseau 130 peut par exemple être un autre réseau local, ou un réseau « étendu » de couverture géographique importante, comme un réseau métropolitain (ou MAN, pour Metropolitan Area Network, selon la terminologie anglaise) ou un réseau dont la zone géographique couvre au moins une région d’un pays, ou un pays (ou WAN, pour Wide Area Network, selon la terminologie anglaise). Il peut s’agir par exemple d’un réseau WAN de type internet, ou cellulaire, GSM - Global System for Mobile Communications, UMTS - Universal Mobile Telecommunications System, Wifi - Wireless, etc.).The private network can, for example, be a private business or home network, such as a local area network (LAN). The other network (130) can be another local network, or a wide area network with significant geographical coverage, such as a metropolitan area network (MAN) or a network whose geographical area covers at least one region of a country, or even a country (WAN). Examples include internet-based WANs, cellular networks (GSM - Global System for Mobile Communications, UMTS - Universal Mobile Telecommunications System, Wi-Fi - Wireless, etc.).

Comme illustré enFIG. 1, le système 100 peut également comprendre plusieurs équipements électroniques 140 dans une portion 110 non interconnectée du réseau privé, comme un terminal (tel qu’un ordinateur portable, un smartphone, une tablette ou un objet connecté), un objet connecté (comme un robot, un dispositif mobile guidé automatiquement et/ou à distance, un compteur d’énergie, une machine-outil dans le cas d’un réseau privé industriel, et/ou un équipement électroménager dans le cas d’un réseau domestique), un serveur, par exemple un serveur d’applications, et/ou un dispositif de stockage.As illustrated in FIG. 1 , the system 100 may also include several electronic devices 140 in a non-interconnected portion 110 of the private network, such as a terminal (such as a laptop, smartphone, tablet or connected object), a connected object (such as a robot, an automatically guided and/or remotely controlled mobile device, an energy meter, a machine tool in the case of an industrial private network, and/or a household appliance in the case of a home network), a server, for example an application server, and/or a storage device.

Le système comprend au moins un ensemble électronique 160 tel qu’introduit ci-avant visant à protéger au moins certains équipements électroniques 140 du réseau privé 110. Le premier dispositif 162 de l’ensemble électronique 160 est situé dans une portion 110 dite « à protéger » du réseau privé comportant l’équipement 140 à protéger. Le premier dispositif 162 communique avec le second dispositif 164 (situé dans la portion interconnectée 120) via des moyens 168 de communication unidirectionnelle, ne permettant pas une communication dans la direction opposée. De tels moyens de communication unidirectionnels peuvent varier selon les modes de réalisation (et notamment selon les capacités hardware du premier et/ou du second dispositif). Dans certains modes de réalisation, les moyens de communication unidirectionnels peuvent comprendre au moins un optocoupleur, et/ou encore des moyens de communication bidirectionnels ayant été limités à un seul sens de transmission, comme un câble Ethernet une liaison série et/ou ou une fibre optique et/ou au moins un isolateur digital (Digital isolator selon la terminologie anglaise) à isolation galvanique, capacitive, inductive et/ou optique.The system comprises at least one electronic assembly 160, as described above, designed to protect at least some electronic equipment 140 of the private network 110. The first device 162 of the electronic assembly 160 is located in a portion 110, referred to as the "protected" portion, of the private network containing the equipment 140 to be protected. The first device 162 communicates with the second device 164 (located in the interconnected portion 120) via unidirectional communication means 168, which do not allow communication in the opposite direction. Such unidirectional communication means may vary depending on the embodiment (and in particular on the hardware capabilities of the first and/or second device). In some embodiments, the unidirectional communication means may include at least one optocoupler, and/or bidirectional communication means limited to a single direction of transmission, such as an Ethernet cable, a serial link and/or an optical fiber and/or at least one digital isolator (Digital isolator according to English terminology) with galvanic, capacitive, inductive and/or optical isolation.

La présence d’optocoupleur(s) permet de séparer les deux dispositifs de manière physique (aucun flux électrique n’est échangé, simplement de la lumière), et donc de renforcer la sécurité des échanges. L’isolation électrique des dispositifs entre eux peut aider par exemple à prévenir des attaques par injection de courant ou de signal électrique sur la seconde portion dudit réseau.The presence of optocoupler(s) allows the two devices to be physically separated (no electrical current is exchanged, only light), thus enhancing the security of the exchanges. Electrical isolation of the devices from each other can help, for example, to prevent attacks by injecting current or electrical signals into the second part of the network.

Le système peut également comprendre des éléments 164, 170 de gestion et/ou d’interconnexion réseau. Notamment (et même si non illustré enFIG. 1), dans certains modes de réalisation, l’ensemble électronique 160 peut comprendre une passerelle d’interconnexion avec un autre réseau. Dans certains modes de réalisation, cette passerelle peut par exemple être connectée au deuxième dispositif de l’ensemble électronique (et donc permettre une interconnexion entre la portion « exposée » du réseau privé et l’autre réseau). Dans d’autres modes de réalisation, le deuxième dispositif peut jouer lui-même un rôle de passerelle d’interconnexion entre la portion « exposée » du réseau privé et l’autre réseau.The system may also include network management and/or interconnection elements (164, 170). In particular (and even though not illustrated in FIG. 1 In some embodiments, the electronic assembly 160 may include an interconnection gateway with another network. In some embodiments, this gateway may, for example, be connected to the second device of the electronic assembly (and thus allow interconnection between the "exposed" portion of the private network and the other network). In other embodiments, the second device may itself act as an interconnection gateway between the "exposed" portion of the private network and the other network.

Le réseau privé peut par exemple utiliser des liaisons filaires comme au moins une liaison série et/ou une liaison Ethernet, ou des moyens de communication sans fil. Le réseau peut implémenter un protocole de communication comme ModBus Série, ou CAN (acronyme anglophone pour «Controller Area Network») dans le cas d’une liaison série, ou comme (ModBus TCP, OPC-UA, MQTT (pour Message Queuing Telemetry en anglais), Siemens S7) dans le cas d’une liaison Ethernet.The private network can, for example, use wired connections such as at least one serial and/or Ethernet connection, or wireless communication methods. The network can implement a communication protocol such as Modbus Serial, or CAN ( Controller Area Network ) in the case of a serial connection, or such as Modbus TCP, OPC-UA, MQTT (Message Queuing Telemetry), or Siemens S7 in the case of an Ethernet connection.

LaFIG. 2illustre une structure simplifiée d’un appareil électronique 200 du système 100, par exemple le premier dispositif 162, le premier dispositif 162, et/ou l’équipement à protéger 140 de laFIG. 1. Selon les modes de réalisation, il peut s’agir d’un serveur, et/ou d’un terminal, ou encore d’un micro-ordinateur avec une interface homme-machine simple comme un RaspberryPi ©, un OrangePi © ou encore un NanoPI NEO.There FIG. 2 illustrates a simplified structure of an electronic device 200 of the system 100, for example the first device 162, the first device 162, and/or the equipment to be protected 140 of the FIG. 1 Depending on the implementation, it may be a server, and/or a terminal, or even a microcomputer with a simple human-machine interface such as a Raspberry Pi ©, an Orange Pi © or a Nano Pi NEO.

L’appareil 200 comprend notamment au moins une mémoire M 210. L’appareil 200 peut notamment comprendre une mémoire tampon, une mémoire volatile, par exemple de type RAM (pour « Random Access Memory » selon la terminologie anglaise), et/ou une mémoire non volatile (par exemple de type ROM (pour « Read Only Memory » selon la terminologie anglaise). L’appareil 200 peut également comprendre une unité de traitement UT 220, équipée par exemple d'au moins un processeur P 222, et pilotée par un programme d'ordinateur PG 212 stocké en mémoire M 210. A l'initialisation, les instructions de code du programme d'ordinateur PG sont par exemple chargées dans une mémoire RAM avant d'être exécutées par le processeur P. Dans le cas où l’appareil est le premier dispositif 162 et/ou du second dispositif 164 de l’ensemble électronique, ledit au moins un processeur P 222 de l'unité de traitement UT 220 peut notamment mettre en œuvre, individuellement ou collectivement, l'un quelconque de modes de réalisation d’au moins un des procédés de la présente demande (décrits notamment en relation avec les figures 3 et 4), selon les instructions du programme d'ordinateur PG.Device 200 includes, in particular, at least one memory M 210. Device 200 may include, in particular, a buffer memory, volatile memory (e.g., RAM, for "Random Access Memory"), and/or non-volatile memory (e.g., ROM, for "Read Only Memory"). Device 200 may also include a processing unit UT 220, equipped, for example, with at least one processor P 222, and driven by a computer program PG 212 stored in memory M 210. At initialization, the code instructions of the computer program PG are, for example, loaded into RAM before being executed by the processor P. In the case where the device is the first device 162 and/or the second device 164 of the electronic assembly, said at least one processor P 222 of the processing unit UT 220 may, in particular, implement, individually or collectively, any one of the embodiments of at least one of the processes of this application (described in particular in relation to Figures 3 and 4), according to the instructions of the PG computer program.

L’appareil peut également comporter, ou être couplé à, au moins un module d’entrée/ sortie I/O 230. L’au moins un module d’entrée/ sortie I/O 230 de l’appareil peut comprendre, dans certains modes de réalisation, au moins un module d’interfaçage avec un utilisateur de l’appareil (aussi appelé plus simplement dans cette demande « interface utilisateur ». Par interface utilisateur de l’appareil, on entend par exemple une interface intégrée à l’appareil 200, ou une partie d’un appareil tiers avec lequel il est couplé par des moyens de communication filaires ou sans fils. Par exemple, il peut s’agir d’un écran secondaire de l’appareilThe device may also include, or be coupled to, at least one I/O input/output module 230. The device's at least one I/O input/output module 230 may, in certain embodiments, include at least one user interface module for the device (also referred to more simply in this application as a "user interface"). The device user interface is understood to mean, for example, an interface integrated into the device 200, or a part of a third-party device with which it is coupled by wired or wireless communication means. For example, it could be a secondary display of the device.

Une interface utilisateur peut notamment être une interface utilisateur, dite «de sortie », adaptée à un rendu (ou au contrôle d’un rendu) d’un élément de sortie d’une application informatique utilisée par l’appareil 200, par exemple une application s’exécutant au moins partiellement sur l’appareil 200 ou une application « en ligne » s’exécutant au moins partiellement à distance, par exemple sur un serveur. Des exemples d’interface utilisateur de sortie de l’appareil incluent un ou plusieurs écrans, notamment au moins un écran graphique (tactile par exemple), un ou plusieurs haut-parleurs, un objet connecté.A user interface can be, in particular, an "output" user interface adapted for rendering (or controlling the rendering) of an output element of a computer application used by the device 200, for example, an application running at least partially on the device 200 or an "online" application running at least partially remotely, for example, on a server. Examples of device output user interfaces include one or more screens, including at least one graphical display (such as a touchscreen), one or more speakers, and a connected device.

Par rendu, on entend ici une restitution (ou « output » selon la terminologie anglaise) sur au moins une interface utilisateur, sous une forme quelconque, par exemple comprenant des composantes textuelle, audio et/ou vidéo, ou une combinaison de telles composantes.By rendering, we mean here a display (or "output" according to English terminology) on at least one user interface, in any form, for example including text, audio and/or video components, or a combination of such components.

Par ailleurs, une interface utilisateur peut être une interface utilisateur, dite «d’entrée», adaptée à une acquisition d’une commande d’un utilisateur de l’appareil 200. Il peut s’agir notamment d’une action à effectuer en lien avec un item restitué, et/ou d’une commande à transmettre à une application informatique utilisée par l’appareil 200, par exemple une application s’exécutant au moins partiellement sur l’appareil 200 ou une application « en ligne » s’exécutant au moins partiellement à distance, par exemple sur un serveur. Des exemples d’interface utilisateur d’entrée de l’appareil peut également comporter, ou être couplé à, au moins un module d’entrée/ sortie I/O 230, 200 incluent un capteur, un moyen d’acquisition audio et/ou vidéo (microphone, caméra (webcam) par exemple), un clavier, une souris.Furthermore, a user interface can be an "input" user interface adapted for receiving a command from a user of device 200. This could include an action to be performed in relation to a returned item, and/or a command to be sent to a computer application used by device 200, for example, an application running at least partially on device 200 or an "online" application running at least partially remotely, for example, on a server. Examples of device input user interfaces may also include, or be coupled to, at least one I/O module 230, 200, such as a sensor, an audio and/or video acquisition device (microphone, camera (webcam), for example), a keyboard, and a mouse.

L’appareil peut également comporter, ou être couplé à, au moins un module d’entrée/ sortie I/O 230, tel qu’un module de communication, permettant à l’appareil 200 de communiquer avec au moins un autre appareil du système 100, via des interfaces de communication filaires ou sans fils. Par exemple, il peut s’agir d’au moins une interface de type Ethernet, et/ou de type Wifi, Bluetooth.The device may also include, or be coupled with, at least one I/O module 230, such as a communication module, enabling the device 200 to communicate with at least one other device in the system 100, via wired or wireless communication interfaces. For example, this could be at least one Ethernet interface, and/or a Wi-Fi or Bluetooth interface.

Dans le cas où l’appareil est le premier dispositif 162 ou le second dispositif 164 de l’ensemble électronique, les moyens de communication comportent une interface 1622, 1642 de communication unidirectionnelle entre les deux dispositifs, comme une interface de type Ethernet, ou une interface série avec un optocoupleur 166 de l’ensemble électronique 160.In the case where the device is the first device 162 or the second device 164 of the electronic assembly, the means of communication include a unidirectional communication interface 1622, 1642 between the two devices, such as an Ethernet type interface, or a serial interface with an optocoupler 166 of the electronic assembly 160.

Dans l'exemple de laFIG. 1, l’optocoupleur peut être connecté directement à l'interface série. Par exemple, le port de transmission du premier dispositif (portion protégée) peut être connecté à une broche de l'optocoupleur et le port de réception du second dispositif (portion exposée) peut être connecté à une autre broche de l’optocoupleur. Chaque côté de l'optocoupleur peut être alimenté en tension par les premier et second dispositifs respectivement (par exemple avec une tension de 3.3V).In the example of the FIG. 1 The optocoupler can be connected directly to the serial interface. For example, the transmit port of the first device (protected portion) can be connected to one pin of the optocoupler, and the receive port of the second device (exposed portion) can be connected to another pin of the optocoupler. Each side of the optocoupler can be supplied with voltage by the first and second devices respectively (for example, with a voltage of 3.3V).

Dans certains modes de réalisation, lorsque l’appareil 200 appartient à une première portion à protéger, les moyens de communication de l’appareil (hormis éventuellement les moyens de communication unidirectionnelle ci-dessus lorsque l’appareil est l’un des premier et second dispositifs) peuvent être uniquement des moyens de communication filaires, de façon à limiter physiquement les possibilités d’accès (directement ou via cet appareil) à un équipement à protéger situé dans la même portion à protéger du réseau (et donc les possibilités d’attaques de tiers) . Ainsi, au moins l’un des premier et second dispositifs 162, 164 peut être un micro-ordinateur de type « NanoPi NEO » ©, équipé uniquement d'un port Ethernet (et pas de WiFi) Ledit au moins un microprocesseur du premier dispositif 162 peut notamment être adapté pour :

une transmission au second dispositif d’un identifiant d’adressage de l’équipement sur la première portion du réseau de communication ;
lors d’une connexion (ou d’une communication) entre ledit équipement à protéger et le premier dispositif, une obtention de la valeur courante d‘au moins une donnée dudit équipement ;
une transmission audit second dispositif, via ladite communication unidirectionnelle, de la valeur courante obtenue.

In certain embodiments, when device 200 belongs to a first protected segment, the device's communication means (except possibly for the unidirectional communication means mentioned above when the device is one of the first and second devices) may be solely wired, so as to physically limit the possibilities of access (directly or via this device) to equipment to be protected located in the same protected segment of the network (and therefore the possibilities of third-party attacks). Thus, at least one of the first and second devices 162, 164 may be a "NanoPi NEO" © type microcomputer, equipped only with an Ethernet port (and no WiFi). Said at least one microprocessor of the first device 162 may, in particular, be adapted to:

a transmission to the second device of an addressing identifier of the equipment on the first portion of the communication network;
during a connection (or communication) between said equipment to be protected and the first device, obtaining the current value of at least one data point of said equipment;
a transmission to said second device, via said unidirectional communication, of the current value obtained.

Ledit au moins un microprocesseur du second dispositif 164 peut notamment être adapté pour :

Said at least one microprocessor of the second device 164 can in particular be adapted for:

Certains des modules d‘entrée -sorties ci-dessus sont optionnels et peuvent donc être absents de l’équipement à protéger, du premier dispositif et/ou du second dispositif dans certains modes de réalisation.Some of the above input/output modules are optional and may therefore be absent from the equipment to be protected, the first device and/or the second device in some embodiments.

L’ensemble électronique introduit ci-dessus peut comprendre, dans certains modes de réalisation, un boîtier physique dans lequel sont logés le premier et le second dispositif et les moyens de communication unidirectionnels du premier dispositif vers le second dispositif. Le boîtier peut par exemple limiter ou empêcher les accès physiques aux premier et second dispositifs et à leurs moyens de communication unidirectionnels. Il peut notamment s’agir d’un boîtier fermé par une bande de garantie non repositionnable, ou d’un boîtier scellé, de façon à rendre visible toute ouverture du boîtier, du fait de la détérioration d’un scellé ou de la bande de garantie, ou de rendre son ouverture difficile. Le boîtier peut par exemple laisser un accès physique à au moins certaines interfaces de communication du premier et/ou du second dispositif (autres que les moyens de communication unidirectionnels entre ces deux dispositifs par exemple) et/ou comporter des interfaces de communication reliées à au moins certaine(s) des interface(s) de communication du premier et du second dispositif.The electronic assembly described above may, in certain embodiments, include a physical enclosure housing the first and second devices and the unidirectional communication means from the first device to the second device. The enclosure may, for example, restrict or prevent physical access to the first and second devices and their unidirectional communication means. It may, in particular, be an enclosure secured by a tamper-evident seal, or a sealed enclosure, designed to make any opening of the enclosure visible due to damage to the seal or the tamper-evident seal, or to make it difficult to open. The enclosure may, for example, allow physical access to at least some of the communication interfaces of the first and/or second device (other than the unidirectional communication means between these two devices, for example) and/or include communication interfaces connected to at least some of the communication interface(s) of the first and second device.

Dans certains modes de réalisation, le boîtier peut ne donner accès qu’à certaine(s) interface(s) de communication filaire(s) du premier dispositif. Par exemple, il peut s’agir de « forcer » ainsi l’usage de certaines interfaces de communication entre l’équipement et le premier dispositif offrant par exemple des avantages en termes de sécurité (par exemple du fait du protocole que mettent en jeu de tels interfaces) ou pour privilégier l’usage d’interfaces « filaires ». Dans certains modes de réalisation, le boîtier peut laisser l’accès à plusieurs interfaces de communication des premiers et seconds dispositifs, de façon à proposer un ensemble adapté à différents environnements réseaux.In some embodiments, the enclosure may only provide access to certain wired communication interface(s) of the first device. For example, this may involve "forcing" the use of certain communication interfaces between the equipment and the first device, offering advantages in terms of security (for example, due to the protocol used by such interfaces) or prioritizing the use of wired interfaces. In other embodiments, the enclosure may allow access to several communication interfaces of the first and second devices, so as to offer a configuration suitable for different network environments.

Dans certains modes de réalisation, par exemple lorsque l’ensemble électronique introduit ci-dessus n’empêche pas l’accès à certaines interfaces du premier dispositif, certaines de ces interfaces peuvent être désactivées de façon logicielle (par exemple ne fournir aucun service), de façon à ce qu’un équipement tiers ne puisse pas accéder en lecture et/ou en écriture (via une connexion SHH dans le cas d’une liaison Ethernet par exemple) au descriptif du premier dispositif et à des données de l’équipement mémorisées par le premier dispositif.In some embodiments, for example when the electronic assembly introduced above does not prevent access to certain interfaces of the first device, some of these interfaces can be disabled by software (for example, by not providing any service), so that a third-party device cannot access by reading and/or writing (via an SHH connection in the case of an Ethernet link for example) the description of the first device and data of the equipment stored by the first device.

Par le terme « module » ou le terme « composant » ou « élément » du dispositif, on entend ici un élément matériel, notamment câblé, ou un élément logiciel, ou une combinaison d’au moins un élément matériel et d’au moins un élément logiciel. Le procédé selon l’invention peut donc être mis en œuvre de diverses manières, notamment sous forme câblée et/ou sous forme logicielle.The terms "module," "component," or "element" of the device refer to a hardware element, particularly a wired one, a software element, or a combination of at least one hardware element and at least one software element. The method according to the invention can therefore be implemented in various ways, including in wired and/or software form.

LaFIG. 3illustre certains modes de réalisation du procédé 300 de protection de la présente demande. Le procédé 300 peut par exemple être mis en œuvre par un premier dispositif situé dans une portion protégée d’un réseau de communication comme le premier dispositif 162 de l’ensemble électronique 160 du système 100.There FIG. 3 illustrates some embodiments of the protection method 300 of this application. The method 300 can, for example, be implemented by a first device located in a protected portion of a communication network, such as the first device 162 of the electronic assembly 160 of the system 100.

Selon les modes de réalisation, le procédé peut être mise en œuvre automatiquement au démarrage du premier dispositif (via un script exécuté au démarrage (« boot ») du dispositif) ou plus tard, par exemple suite au lancement, manuel ou automatique (via une tâche de fond par exemple) d’un exécutable implémentant au moins un mode de réalisation du procédé. Le procédé peut notamment comprendre comme illustré enFIG. 3, une phase dite d’initialisation 310 (lors d’un démarrage du dispositif par exemple ou ultérieurement, sur réception d’une commande utilisateur par exemple). Cette phase d’initialisation 310 comprend une obtention 312 d’un descriptif relatif à au moins un équipement (à protéger) situé dans une même « première » portion que le premier dispositif. Le descriptif peut prendre la forme d’un ou plusieurs fichiers par exemple, au format YAML, XML ou JSON par exemple. Le descriptif peut notamment comprendre des informations nécessaires à l’identification de l’équipement, et/ou des informations nécessaires à l’établissement d’une communication entre le premier dispositif et l’équipement et/ou des informations décrivant les données (emplacement, taille, type, structure, etc.) auxquelles le premier dispositif doit accéder sur l’équipement ou que celui-ci est susceptible de fournir au premier dispositif. Selon les modes de réalisation, et selon les moyens de communication unidirectionnelles mises en œuvre entre le premier et le second dispositif, le descriptif peut en outre comprendre des informations nécessaires à l’établissement d’une communication unidirectionnelle entre le premier dispositif et le second dispositif (comme une adresse du second dispositif sur le réseau de communication, un protocole à utiliser, etc.)Depending on the embodiment, the process can be implemented automatically at the startup of the first device (via a script executed at device startup ("boot") or later, for example following the manual or automatic launch (via a background task, for example) of an executable implementing at least one embodiment of the process. The process may include, in particular, as illustrated in FIG. 3 An initialization phase (310) occurs (for example, when the device starts up or later, upon receipt of a user command). This initialization phase (310) includes obtaining (312) a description of at least one piece of equipment (to be protected) located in the same "first" portion as the first device. The description can take the form of one or more files, for example, in YAML, XML, or JSON format. The description may include information necessary to identify the equipment, and/or information necessary to establish communication between the first device and the equipment, and/or information describing the data (location, size, type, structure, etc.) that the first device must access on the equipment or that the equipment is likely to provide to the first device. Depending on the embodiments, and depending on the unidirectional communication means implemented between the first and second devices, the description may also include information necessary for establishing unidirectional communication between the first and second devices (such as an address of the second device on the communication network, a protocol to be used, etc.).

Les informations nécessaires à l’identification d’un équipement à protéger peuvent comprendre au moins une des informations d’identification suivantes :

un libellé textuel ;
une adresse (ou identifiant d’adressage) de l’équipement sur la première portion (par exemple selon les protocoles une adresse IP, une adresse MAC d’au moins un point d’accès de l’équipement, une URL (pour Uniform Resource Allocator selon la terminologie anglaise), etc.) ;
une référence constructeur de l’équipement ;
un numéro de série de l’équipement ;
une combinaison d’au moins deux des informations d’identification ci-dessus.

The information required to identify equipment to be protected may include at least one of the following identifying pieces of information:

a textual label;
an address (or addressing identifier) of the equipment on the first portion (for example, depending on the protocols, an IP address, a MAC address of at least one access point of the equipment, a URL (for Uniform Resource Allocator according to English terminology), etc.);
a manufacturer's reference for the equipment;
a serial number of the equipment;
a combination of at least two of the above identifying information.

Les informations nécessaires à l’établissement d’une communication entre le premier dispositif et l’équipement (en complément aux informations d’identification) comprennent notamment au moins une des informations, dites de communication, suivantes :

une information désignant un protocole utilisable pour dialoguer avec l’équipement ;
un port de l’équipement utilisable pour dialoguer avec l’équipement selon ledit protocole ;
au moins un élément de sécurisation de connexion (comme un identifiant d’accès, un mot de passe, une clé publique ou privée etc..) ;
des paramètres complémentaires spécifiques à certain(s) protocoles(s) (comme un « topic » dans le cas du protocole MQTT ou une URL dans le cas du protocole OPC-UA) ;
une combinaison d’au moins deux des informations de communication ci-dessus.

The information required to establish communication between the first device and the equipment (in addition to identification information) includes, in particular, at least one of the following pieces of information, known as communication information:

information designating a protocol that can be used to communicate with the equipment;
a port on the equipment that can be used to communicate with the equipment according to said protocol;
at least one connection security element (such as an access ID, a password, a public or private key, etc.);
additional parameters specific to certain protocol(s) (such as a "topic" in the case of the MQTT protocol or a URL in the case of the OPC-UA protocol);
a combination of at least two of the above communication information.

Des exemples de protocoles incluent des protocoles hiérarchisés, utilisant des structures de données standardisées, comme les protocoles Open Platform Communications Unified Architecture (OPC UA) ModBus, ou des protocoles non hiérarchisés comme MQTT ou Direct UDP.Examples of protocols include hierarchical protocols, using standardized data structures, such as the Open Platform Communications Unified Architecture (OPC UA) Modbus protocol, or non-hierarchical protocols such as MQTT or Direct UDP.

Les informations décrivant les données (emplacement, taille, type, structure, etc.) auxquelles le premier dispositif doit accéder sur l’équipement ou que celui-ci est susceptible de fournir au premier dispositif comprennent notamment, pour au moins un protocole utilisé, au moins une des informations descriptives de données suivantes :

un libellé textuel ;
une information dite d’adressage relative à un emplacement à au moins une de ces données (comme une ou plusieurs adresses, une plage d’adresses, une désignation d’un ou plusieurs registres, etc.) ;
une indication d’un type d’au moins une de ces données (booléen, entier, etc.) ;
une information relative à une taille mémoire d’au moins une de ces données ;
une information relative à une structure d’au moins une de ces données ;
une clé de décryptage d’au moins une de ces données ;

un intervalle de temps entre deux accès à au moins une de ces données (par exemple une durée minimale, maximale, ou nominale entre deux accès) (par exemple de l’ordre de quelques millisecondes ou de quelques secondes comme 100 ms, 1 s, 2s, ou 5s ) ;
une information temporelle (heure, plage temporelle etc..) limitant l’accès à un au moins une de ces données ;
une combinaison d’au moins deux des informations descriptives de données ci-dessus.

The information describing the data (location, size, type, structure, etc.) that the first device must access on the equipment or that the equipment is likely to provide to the first device includes, in particular, for at least one protocol used, at least one of the following descriptive data pieces of information:

a textual label;
addressing information relating to a location with at least one of these data (such as one or more addresses, a range of addresses, a designation of one or more registers, etc.);
an indication of the type of at least one of these data (boolean, integer, etc.);
information relating to the memory size of at least one of these data points;
information relating to a structure of at least one of these data;
a decryption key for at least one of these data points;

a time interval between two accesses to at least one of these data (for example a minimum, maximum, or nominal duration between two accesses) (for example on the order of a few milliseconds or a few seconds such as 100 ms, 1 s, 2s, or 5s);
temporal information (time, time range etc.) limiting access to at least one of these data points;
a combination of at least two of the above descriptive data information.

On note que les informations décrivant des données peuvent varier selon le(s) protocole utilisé(s).Note that the information describing data may vary depending on the protocol(s) used.

Dans certains modes de réalisation, l’intervalle de temps entre deux accès peut varier selon les données concernées, par exemple selon la fréquence attendue de variation de ces données (de façon à accéder plus fréquemment aux données susceptibles de varier le plus souvent qu’à d’autres données variant moins fréquemment), ou selon la criticité des données (de façon à accéder plus fréquemment aux données les plus critiques, dont la variation peut refléter une situation alarmante).In some embodiments, the time interval between two accesses may vary depending on the data concerned, for example according to the expected frequency of variation of this data (so as to access more frequently the data likely to vary most often than other data varying less frequently), or according to the criticality of the data (so as to access more frequently the most critical data, the variation of which may reflect an alarming situation).

Une limitation temporelle d’accès aux données de l’équipement peut permettre par exemple d’éviter des accès aux données de l’équipement dans des moments où ces accès seraient susceptibles de nuire au bon perfectionnement de l’équipement (par exemple en ajoutant une charge de traitement à l’équipement pendant des périodes de forte utilisation de l’équipement). Une limitation temporelle d’accès aux données de l’équipement peut aussi permettre, dans certains modes de réalisation, d’exclure des accès dans des périodes (comme la nuit ou le week-end) où l’équipement n’est pas utilisé et donc où des données relatives à son fonctionnement seraient non significatives et/ou ne sont pas susceptibles de varier. Un tel mode de réalisation peut aider à économiser les ressources CPU de l’équipement et/ou du premier dispositif et donc à limiter leur consommation d’énergie. Une limitation temporelle d’accès aux données de l’équipement peut aussi permettre par exemple d’éviter des accès aux données de l’équipement dans des moments où les données seraient inaccessibles ou incohérentes (lors de mises à jour programmées de l’équipement par exemple).A time limit on equipment data access can, for example, prevent access to equipment data at times when such access could negatively impact the equipment's performance (e.g., by adding a processing load to the equipment during periods of high usage). In some embodiments, a time limit on equipment data access can also exclude access during periods (such as nighttime or weekends) when the equipment is not in use and therefore data relating to its operation would be insignificant and/or unlikely to change. Such an embodiment can help conserve the equipment's and/or the first device's CPU resources and thus limit their energy consumption. A time limit on equipment data access can also prevent access to equipment data at times when the data would be inaccessible or inconsistent (e.g., during scheduled equipment updates).

On notera que les informations décrivant des données incluses dans le descriptif peuventNote that the information describing data included in the description may

ne concerner que certaines des données accessibles en lecture dudit équipement.only concern some of the data accessible for reading from said equipment.

Un tel mode de réalisation peut permettre de filtrer ainsi les données d’un équipement accessibles audit premier dispositif. Ainsi, dans certains modes de réalisation, il peut être possible de choisir (ou de filtrer) les données qu’il est possible d’obtenir depuis une portion autre que la portion protégée, de façon par exemple à ne pas fournir de données ayant un caractère confidentiel.Such an embodiment can thus filter the data from a piece of equipment accessible to said first device. Therefore, in certain embodiments, it may be possible to choose (or filter) the data that can be obtained from a portion other than the protected portion, so as, for example, to avoid providing confidential data.

Certaines de ces informations d’identification, de communication et/ou décrivant des données peuvent être optionnelles dans certains modes de réalisation. Par exemple, des informations de communication comme des éléments de sécurisation de connexion peuvent être absents lorsque l’accès à l’équipement n’est pas restreint à l’intérieur de la première portion. De plus, certaines des informations descriptives de données peuvent dépendre du ou des protocole(s) désigné(s) dans les informations de communication.Some of this identification, communication, and/or data-describing information may be optional in certain embodiments. For example, communication information such as connection security elements may be absent when access to the equipment is not restricted within the first portion. Furthermore, some of the data-describing information may depend on the protocol(s) specified in the communication information.

Un exemple de descriptif est présenté ci-dessous. Dans cet exemple, le descriptif, par simplicité, ne concerne qu’un seul équipement à protéger et décrit plusieurs protocoles.An example of a description is presented below. In this example, for simplicity, the description only concerns a single piece of equipment to be protected and describes several protocols.

config_version : 1.0config_version: 1.0

config_date: 2023-05-04config_date: 2023-05-04

modules:modules:

"Modbus 1":"Modbus 1":

type: modbustype: modbus

ip: 192.168.0.5IP address: 192.168.0.5

port: 9400port: 9400

interval: 1interval: 1

registers:registers:

- 0-105- 0-105

coils:coils:

- 0-1- 0-1

"SiemensTest":"SiemensTest":

type: opcuatype: opcua

ip: 192.168.0.5IP address: 192.168.0.5

endpoint: 'opc.tcp://192.168.0.5:4840/endpoint'endpoint: 'opc.tcp://192.168.0.5:4840/endpoint'

interval: 1interval: 1

nodes:nodes:

- 'ns=1;s=UI-A@supervision|exports-4-0-4statistics-1:sigma2'- 'ns=1;s=UI-A@supervision|exports-4-0-4statistics-1:sigma2'

- 'ns=2;i=1234'- 'ns=2;i=1234'

"Opc-UA server test":"Opc-UA server test":

type: opcuatype: opcua

ip: 192.168.0.20IP address: 192.168.0.20

endpoint: 'opc.tcp://192.168.0.20:4840/endpoint'endpoint: 'opc.tcp://192.168.0.20:4840/endpoint'

auth:auth:

username: 'admin'username: 'admin'

password: 'admin'password: 'admin'

nodes:nodes:

- 'ns=2;i=1234'- 'ns=2;i=1234'

"Siemens S7":"Siemens S7":

type: opcuatype: opcua

ip: 192.168.0.10IP address: 192.168.0.10

endpoint: 'opc.tcp://192.168.0.10:4840/endpoint'endpoint: 'opc.tcp://192.168.0.10:4840/endpoint'

auth:auth:

caCert: '/certs/truc.pem'caCert: '/certs/truc.pem'

privateKey: '/certs/private.key'privateKey: '/certs/private.key'

interval: 1interval: 1

nodes:nodes:

- 'ns=2;i=1234'- 'ns=2;i=1234'

"MqttBroker":"MqttBroker":

type: mqtttype: mqtt

ip: 192.168.0.50IP address: 192.168.0.50

port: 1883port: 1883

auth:auth:

username: 'admin'username: 'admin'

password: 'admin'password: 'admin'

topics:topics:

- '#'- '#'

Dans certains modes de réalisation, le descriptif peut par exemple être obtenu par accès à une zone de stockage accessible au premier dispositif (comme une zone de stockage locale au premier dispositif ou située dans la première portion du réseau ou encore une zone de stockage amovible (telle une clé USB) couplée au premier dispositif ou accessible via une connexion série sur un port micro-USB du premier dispositif. Il peut s’agir notamment d’un port micro-USB inaccessible à un tiers lorsque le boîtier de l’ensemble électronique comportant le premier dispositif est fermé.In some embodiments, the description can, for example, be obtained by accessing a storage area accessible to the first device (such as a local storage area on the first device or located in the first segment of the network, or a removable storage area (such as a USB flash drive) connected to the first device or accessible via a serial connection on a micro-USB port of the first device). This could include a micro-USB port inaccessible to a third party when the casing of the electronic assembly containing the first device is closed.

Dans certains modes de réalisation, le descriptif peut être créé, ou complété, dynamiquement (et au moins partiellement automatiquement) par le dispositif lui-même.In some embodiments, the description can be created, or completed, dynamically (and at least partially automatically) by the device itself.

Dans un tel mode de réalisation, le procédé peut comprendre une scrutation (ou exploration) (ou scan selon la terminologie anglaise) de la première portion, pour découvrir les appareils présents dans la première portion, puis au moins une tentative de connexion à ces appareils en utilisant un ou plusieurs protocole(s) candidat(s) (selon les modes de réalisation), permettant, quand une tentative de connexion réussit, de détecter au moins un protocole utilisé par l’équipement. La scrutation peut utiliser dans certains modes de réalisation un protocole permettant d’associer l'adresse de protocole de couche réseau (typiquement une adresse IPv4) d'un hôte distant, à son adresse de protocole de couche de liaison (typiquement une adresse MAC), comme le protocole ARP (pour Address Resolution Protocol selon la terminologie anglaise). La scrutation peut par exemple tester toutes les adresses IP (de 0.0.0.0 à 255.255.255.255) pour découvrir les machines présentes , y compris celles situées dans un sous-réseau de la première portion.In such an embodiment, the process may include a scan of the first portion to discover the devices present in that portion, followed by at least one attempt to connect to those devices using one or more candidate protocols (depending on the embodiment). When a connection attempt is successful, at least one protocol used by the equipment is detected. In some embodiments, the scan may use a protocol that associates the network layer protocol address (typically an IPv4 address) of a remote host with its link layer protocol address (typically a MAC address), such as the Address Resolution Protocol (ARP). For example, the scan may test all IP addresses (from 0.0.0.0 to 255.255.255.255) to discover the machines present, including those located in a subnet of the first portion.

Une fois les machines identifiées, le procédé peut comprendre une scrutation (scan) des ports ouverts et un test de connexion avec les protocoles supportésOnce the machines are identified, the process may include scanning open ports and testing connections with supported protocols.

Les tentatives de connexion peuvent éventuellement utiliser des éléments complémentaires (comme au moins une valeur de port (pour découvrir au moins un port ouvert sur l’appareil concerné) et/ou des paramètres complémentaires en cohérence avec ce (ou ces) protocole candidat (s)). Des exemples de protocoles candidates incluent MQTT, UPC-UA, ModBus, UDP, etc. Par exemple, le procédé peut comprendre, pour chaque appareil découvert de la première portion, une tentative de connexion avec un ensemble de protocoles candidats définis par configuration (manuelle ou automatique) du dispositif.Connection attempts may optionally use additional elements (such as at least one port value (to discover at least one open port on the device in question) and/or additional parameters consistent with the candidate protocol(s)). Examples of candidate protocols include MQTT, UPC-UA, Modbus, UDP, etc. For example, the process might involve, for each device discovered in the first phase, a connection attempt using a set of candidate protocols defined by the device's configuration (manual or automatic).

Lorsqu’au moins une tentative de connexion a été menée avec succès pour au moins un appareil découvert, le procédé peut comprendre un enregistrement de l’adresse de l’appareil découvert en association avec les protocoles ayant permis la connexion, et les éventuels éléments complémentaires dans ledit descriptif.When at least one connection attempt has been successfully made for at least one discovered device, the process may include recording the address of the discovered device in association with the protocols that enabled the connection, and any additional elements in said description.

Un tel mode de réalisation peut permettre, non seulement de créer un descriptif, mais également de mettre à jour automatiquement un descriptif existant, en ajoutant des informations ayant trait à un équipement nouvellement découvert ou en modifiant des informations du descriptif relatives à un équipement, par exemple pour ajouter des informations relatives à un nouveau protocole accepté par cet équipement (suite à une mise à jour logicielle de l’équipement par exemple), ou pour supprimer la désignation d’un port devenu inaccessible (défectueux par exemple).Such an embodiment can not only create a description, but also automatically update an existing description, by adding information relating to newly discovered equipment or by modifying information in the description relating to equipment, for example to add information relating to a new protocol accepted by this equipment (following a software update of the equipment for example), or to remove the designation of a port which has become inaccessible (defective for example).

Dans certains modes de réalisation, le procédé peut comprendre de plus une mise à jour (optionnelle) du descriptif obtenu, soit automatiquement par le premier dispositif (par l’application de règles de paramétrage par exemple) ou soit par un opérateur, via une interface utilisateur du premier dispositif. Il peut s’agir par exemple de la suppression, dans un descriptif créé automatiquement par le premier dispositif, d’informations décrivant certains protocoles (jugés peu sécurisés par exemple), ou de certaines données (jugées trop critiques pour permettre leur accès dans certaines mises en œuvre). il peut s’agir aussi de compléter manuellement un fichier descriptif créé automatiquement par le premier dispositif.In some embodiments, the process may also include an (optional) update of the resulting description, either automatically by the first device (for example, by applying parameter rules) or by an operator via a user interface of the first device. This might involve, for example, deleting information describing certain protocols (deemed insecure, for example) or certain data (deemed too critical to allow access in certain implementations) from a description automatically created by the first device. It might also involve manually completing a description file automatically created by the first device.

Comme illustré enFIG. 3, le procédé peut comprendre une transmission 316 d’au moins une portion du descriptif obtenu 312 au second dispositif.As illustrated in FIG. 3 , the process may include a transmission 316 of at least a portion of the description obtained 312 to the second device.

Dans de tels modes de réalisation, le procédé peut comprendre une initialisation de cette communication unidirectionnelle, préalablement à cette transmission, tenant éventuellement compte de données de paramétrage, locales ou distantes, accessible au premier dispositif.In such embodiments, the process may include an initialization of this unidirectional communication, prior to this transmission, possibly taking into account local or remote parameter data accessible to the first device.

La transmission 316 peut notamment comprendre la transmission d’au moins une information d’identification de l’équipement comme une adresse de l’équipement sur la première portion (par exemple selon les protocoles une adresse IP, une adresse MAC, etc..). (aussi appelé identifiant d’adressage sur la première portion dans la présente demande).Transmission 316 may include the transmission of at least one piece of equipment identification information, such as an equipment address on the first portion (for example, depending on the protocol, an IP address, a MAC address, etc.). (also referred to as the addressing identifier on the first portion in this application).

Elle peut également comprendre au moins certaines informations de communication (par exemple celles relatives à un protocole et/ou un port de communication) et/ou certaines informations descriptives de données.It may also include at least some communication information (for example, information relating to a communication protocol and/or port) and/or some descriptive data information.

En particulier dans certains modes de réalisation, la portion du descriptive transmise peut comprendre des informations du descriptif susceptibles d’aider le second dispositif de « se faire passer » pour l’équipement, vis-à-vis d’appareils de la seconde portion ou externes au réseau de communication.In particular, in certain embodiments, the portion of the description transmitted may include information from the description that may help the second device to "pass itself off" as the equipment, vis-à-vis devices of the second portion or external to the communication network.

Dans certaines modes de réalisation, par exemple lorsque la communication unidirectionnelle entre le premier et le second dispositif est mise en œuvre via au moins un optocoupleur, le procédé peut comprendre une sérialisation 314 des informations à transmettre du descriptif avant leur transmission via l’optocoupleur.In some embodiments, for example when unidirectional communication between the first and second device is implemented via at least one optocoupler, the method may include a serialization 314 of the information to be transmitted from the description before its transmission via the optocoupler.

Le format de transmission peut différer selon les modes de réalisation. Par exemple il, peut s’agir d’un format XML ou JSON. Le pseudo-code ci-dessous illustre à titre d’exemple la transmission du descriptif de façon sérialisée dans le cas du protocole JSON :The transmission format may differ depending on the implementation. For example, it may be in XML or JSON format. The pseudocode below illustrates, as an example, the serial transmission of the description in the case of the JSON protocol:

{‘m’ : ’description’, {JSON description}}où dans cet exemple

mannonce le type des données transmises (ici annonce de données correspondant à un descriptif)
descriptionest un libellé textuel annonçant la transmission d’un descriptif{JSON description}en format JSON.

{'m' : 'description', {JSON description}} where in this example

m announces the type of data transmitted (here, an announcement of data corresponding to a description)
description is a text label announcing the transmission of a {JSON description} description in JSON format.

Comme illustré enFIG. 3, le procédé peut comprendre une obtention 320 d’au moins une des données dudit équipement, désignée par les informations descriptives de données dudit équipement, et une transmission 340 d’au moins une des données obtenues au second dispositif (via les moyens unidirectionnels).As illustrated in FIG. 3 , the process may include obtaining 320 at least one of the data from said equipment, designated by the data descriptive information from said equipment, and transmitting 340 at least one of the data obtained to the second device (via unidirectional means).

La façon dont sont obtenues les données de l’équipement peut varier selon les modes de réalisation et en particulier selon le descriptif obtenu 312.The way in which equipment data is obtained may vary depending on the embodiment and in particular depending on the description obtained 312.

Par exemple, le premier dispositif peut se connecter à l’équipement à protéger via au moins un protocole décrit dans le descriptif (OPC-UA, ModBus, MQTT, Ethernet, etc.) et accéder en lecture à au moins une des données (comme un nœud (pour OPC-UA), un « coil » ou un « registre » (pour ModBus)) décrites dans le descriptif. Par exemple, lors de l’initialisation du dispositif, toutes les données de l’équipement décrites dans le descriptif peuvent être obtenues 320 et transmises 350 au second dispositif.For example, the first device can connect to the equipment to be protected via at least one protocol described in the specification (OPC-UA, Modbus, MQTT, Ethernet, etc.) and read at least one of the data points (such as a node (for OPC-UA), a coil, or a register (for Modbus)) described in the specification. For example, during device initialization, all the equipment data described in the specification can be retrieved and transmitted to the second device.

L’obtention 320 et la transmission 350 d’au moins une donnée peuvent être effectuées plusieurs fois.Obtaining 320 and transmitting 350 at least one piece of data can be done several times.

Cette transmission 350 d’au moins une donnée peut être optionnelle dans certains modes de réalisation. Dans de tels modes de réalisation, le procédé peut comprendre une mémorisation 360 des données obtenues (au moins lors de la première obtention des données) et, après une autre obtention de données suivant cette première obtention, une comparaison 330 de la « nouvelle » valeur d’au moins une donnée obtenue avec la valeur couramment mémorisée (donc avec la dernière valeur obtenue précédemment pour cette donnée). La transmission 350 et/ou la mémorisation 360 de la « nouvelle » valeur peuvent alors être effectuées de façon conditionnelle, par exemple uniquement lorsque la nouvelle valeur est différente de la valeur précédente.This transmission 350 of at least one piece of data may be optional in certain embodiments. In such embodiments, the process may include storing 360 the data obtained (at least during the first data acquisition) and, after a further data acquisition following this first acquisition, comparing 330 the "new" value of at least one piece of data obtained with the currently stored value (i.e., with the last value previously obtained for that data). The transmission 350 and/or the storage 360 of the "new" value may then be performed conditionally, for example, only when the new value is different from the previous value.

La transmission 350 et/ou la mémorisation 360 peuvent être effectuées dans un ordre quelconque.The 350 transmission and/or 360 memorization can be performed in any order.

La transmission 350, et éventuellement la mémorisation 360, peuvent être effectuées selon les modes de réalisation soit au fil de l’eau soit après obtention de l’ensemble des données.The transmission 350, and possibly the memorization 360, can be carried out according to the embodiments either in real time or after obtaining all the data.

Selon les modes de réalisation, l’obtention de la valeur d’une donnée peut se faire via une interrogation de l’équipement (par exemple une demande de lecture du contenu d’au moins un registre ou d’une zone de stockage de telles données sur l’équipement), et/ou par une réception de la valeur sur une interface de communication de premier dispositif, à l’initiative de l’équipement lui-même (par exemple via un mécanisme d’enregistrement (ou abonnement) du premier dispositif auprès de l’équipement pour recevoir la valeur de la donnée).Depending on the embodiment, obtaining the value of a data can be done via a query of the equipment (for example, a request to read the contents of at least one register or a storage area for such data on the equipment), and/or by receiving the value on a communication interface of the first device, at the initiative of the equipment itself (for example, via a registration (or subscription) mechanism of the first device with the equipment to receive the value of the data).

Par exemple, dans certains modes de réalisation, l’interrogation de l’équipement, pour obtenir au moins une donnée, peut être effectuée en tenant compte d’informations du descriptif, comme un intervalle de temps requis entre deux accès à l’au moins une donnée et/ou d’une éventuelle information temporelle limitant l’accès à l’au moins une de ces données.For example, in some embodiments, querying the equipment to obtain at least one data item can be done taking into account information from the description, such as a time interval required between two accesses to at least one data item and/or possible temporal information limiting access to at least one of these data items.

On note que le procédé peut comprendre dans certains modes de réalisation, (par exemple lorsque la communication unidirectionnelle entre le premier et le second dispositif est mise en œuvre via au moins un optocoupleur) une sérialisation 340 des données à transmettre avant leur transmission via l’optocoupleur. Une telle sérialisation peut aider à améliorer la sécurité du procédé, puisque les données une fois sérialisées ne laissent plus apparaître leur structure peuvent donc être plus difficiles à interpréter par un tiers malveillant qui les intercepterait et n’aurait pas connaissance du protocole (propriétaire par exemple, ou standard) à utiliser pour les interpréter.It should be noted that the process may, in certain embodiments (for example, when unidirectional communication between the first and second devices is implemented via at least one optocoupler), include serialization of the data to be transmitted before its transmission via the optocoupler. Such serialization can help improve the security of the process, since the data, once serialized, no longer reveals its structure and can therefore be more difficult to interpret by a malicious third party who might intercept it and not be aware of the protocol (proprietary, for example, or standard) to be used for interpretation.

Le format de transmission peut différer selon les modes de réalisation. Par exemple il, peut s’agir d’un format XML ou JSON.The transmission format may differ depending on the implementation. For example, it may be in XML or JSON format.

Par exemple, les données sérialisées suivantes peuvent être transmises par le premier dispositif selon un format comprenant notamment en entête une annonce du type de données transmis (protocole employé ou annonce de données correspondant à un descriptif, etc.) , un libellé identifiant ce type de données, ainsi que d’éventuel libellés textuels ou code numérique annonçant la signification des éléments qui les suivent.For example, the following serialized data can be transmitted by the first device in a format including in the header an announcement of the type of data transmitted (protocol used or announcement of data corresponding to a description, etc.), a label identifying this type of data, as well as possible text labels or numeric code announcing the meaning of the elements that follow them.

A titre d’exemple non limitatif, les données sérialisées suivantes peuvent être transmises par le premier dispositif dans le cas du protocole OPC-UA lorsqu’une connexion entre le premier dispositif et l’équipement a été établie pour la première fois (lors ou après l’initialisation par exemple) :By way of non-limiting example, the following serialized data can be transmitted by the first device in the case of the OPC-UA protocol when a connection between the first device and the equipment has been established for the first time (during or after initialization, for example):

{‘m’: ‘opcua’, ‘ns’ : [ListNamespaces]où

mannonce le type des données transmises (le protocole employé ici)
opcuaest un libellé textuel désignant l’utilisation du protocole OPC-UA
nsannonce la transmission des « namespaces » à créer par le second dispositif
[ListNamespaces]désigne la liste des « namespaces » de l’équipement en format JSON

{'m': 'opcua', 'ns' : [ListNamespaces] where

m indicates the type of data transmitted (the protocol used here)
opcua is a textual label designating the use of the OPC-UA protocol
ns announces the transmission of the "namespaces" to be created by the second device
[ListNamespaces] refers to the list of equipment namespaces in JSON format.

{‘m’ : ‘opcua’, ‘x’ : [ListNodes]}où

xannonce la transmission de nœuds à créer par le second dispositif

[ListNodes]désigne la liste des nœuds OPC-UA, de leurs attributs et de leur valeur en format JSON

{'m': 'opcua', 'x': [ListNodes]} where

x announces the transmission of nodes to be created by the second device

[ListNodes] refers to the list of OPC-UA nodes, their attributes, and their values in JSON format.

Selon un autre exemple, les données sérialisées suivantes peuvent être transmises par le premier dispositif dans le cas du protocole OPC-UA suite à une mise à jour du descriptif :According to another example, the following serialized data can be transmitted by the first device in the case of the OPC-UA protocol following a description update:

{‘‘m’ : ‘opcua’, ‘n’ : [ListNodes], ‘del’ : [true/false]}où :

nannonce une désignation de nœuds ajoutés ou supprimés
‘del’ :annonce un booléen[true/false]précisant s’il s’agit d’un nœud ajouté ou supprimé

{''m': 'opcua', 'n': [ListNodes], 'del': [true/false]} where:

n announces a designation of added or deleted nodes
'del': announces a boolean [true/false] specifying whether it is an added or deleted node

Selon un autre exemple, les données sérialisées suivantes peuvent être transmises par le premier dispositif dans le cas du protocole OPC-UA suite à une mise à jour d’au moins un nœud :According to another example, the following serialized data can be transmitted by the first device in the case of the OPC-UA protocol following an update of at least one node:

{‘m’ : ‘opcua’, ‘u’ : {‘node’ : [Id-Node], ‘value’ : [NewValue]}}{‘m’: ‘opcua’, ‘u’: {‘node’: [Id-Node], ‘value’: [NewValue]}}

u announces an update of at least one node
node announces a node identifier ( [Id-Node]) and value announces the value [NewValue] of that node

Selon un autre exemple, les données sérialisées suivantes peuvent être transmises par le premier dispositif après une interrogation de l’équipement dans le cas du protocole modBus :In another example, the following serialized data can be transmitted by the first device after a query of the equipment in the case of the ModBus protocol:

{‘‘m’ : ‘modbus’, ‘r’ : [RegisterKey], ‘c’ : [CoilKey]}où :

modbusest un libellé textuel désignant l’utilisation du protocole ModBus
rannonce la transmission des valeurs de « registres »
[RegisterKey],désigne la liste des registres de l’équipement et de leurs valeurs en format JSON
rannonce la transmission des valeurs de « coils »
[CoilKey]désigne la liste des coils de l’équipement et de leurs valeurs en format JSON

{''m' : 'modbus', 'r' : [RegisterKey], 'c' : [CoilKey]} where:

Modbus is a textual label designating the use of the Modbus protocol.
r announces the transmission of "register" values
[RegisterKey] refers to the list of equipment registers and their values in JSON format.
r announces the transmission of the "coil" values
[CoilKey] refers to the list of coils in the equipment and their values in JSON format.

Selon un autre exemple, les données sérialisées suivantes peuvent être transmises par le premier dispositif après une réception d’un évènement en provenance de l’équipement dans le cas du protocole MQTT relatif à un topic auquel a souscrit le premier dispositifIn another example, the following serialized data can be transmitted by the first device after receiving an event from the equipment in the case of the MQTT protocol related to a topic to which the first device has subscribed.

{‘m’ : ‘mqtt’, ‘t’ : [Topic], ‘pl’ : [payload]}où :

mqttest un libellé textuel désignant l’utilisation du protocole MQTT
tannonce une transmission relative au topic[Topic]et
plannonce une transmission du contenu[payload]du message reçu

{'m': 'mqtt', 't': [Topic], 'pl': [payload]} where:

MQTT is a textual label designating the use of the MQTT protocol.
t announces a transmission related to the topic [Topic] and
pl announces a transmission of the content [payload] of the received message

Selon un autre exemple, les données sérialisées suivantes peuvent être transmises par le premier dispositif après réception d’un paquet UDP en provenance de l’équipement :According to another example, the following serialized data can be transmitted by the first device after receiving a UDP packet from the equipment:

{‘m’ : ‘direct’, ‘p’ : [packet]}{‘m’: ‘direct’, ‘p’: [packet]}

direct is a text label designating the use of the UDP protocol
p announces the transmission of a network packet [packet] in Base64 format.

La sérialisation 340 des données avant leur transmission peut être optionnelle dans certains modes de réalisation. Par exemple lorsque la communication entre l’équipement et le premier dispositif comme la communication unidirectionnelle utilise une liaison Ethernet (sans sélection d’un protocole particulier), les données provenant de l’équipement peuvent être simplement obtenues et transmises sous forme de paquets réseau. En d’autres termes, il peut s’agir d’un simple transfert de données de l’équipement protégé vers le second dispositif.Serializing the data before transmission may be optional in some embodiments. For example, when communication between the equipment and the first device, such as unidirectional communication, uses an Ethernet link (without selecting a specific protocol), the data from the equipment can simply be retrieved and transmitted as network packets. In other words, it can be a simple data transfer from the protected equipment to the second device.

LaFIG. 4illustre certains modes de réalisation du procédé 400 de fourniture de données de la présente demande. Le procédé 400 peut par exemple être mis en œuvre par un second dispositif situé dans une portion d’un réseau de communication totalement distincte d’une portion protégée de ce réseau, comme le second dispositif 164 de l’ensemble électronique 160 du système 100.There FIG. 4 illustrates some embodiments of the data supply method 400 of this application. The method 400 can, for example, be implemented by a second device located in a portion of a communication network that is completely separate from a protected portion of that network, such as the second device 164 of the electronic assembly 160 of the system 100.

Similairement à ce qui a été décrit ci-avant pour le procédé 300 mis en œuvre le premier dispositif, le procédé 400 peut être mise en œuvre, selon les modes de réalisation, lors du démarrage du second dispositif, ou plus tard, et peut comprendre, comme illustré enFIG. 4, une phase dite d’initialisation 410 (lors d’un démarrage du dispositif par exemple ou ultérieurement, sur réception d’une commande utilisateur par exemple).Similar to what was described above for process 300 implemented with the first device, process 400 can be implemented, according to the embodiments, during the start-up of the second device, or later, and can include, as illustrated in FIG. 4 , a so-called initialization phase 410 (during a device start-up for example or later, upon receipt of a user command for example).

Cette phase d’initialisation 410 comprend une obtention 416 d’un descriptif relatif à des données que va recevoir le second dispositif. Ces données proviendront d’un équipement situé dans une « première » portion protégée du réseau, inaccessible au second dispositif. Elles seront reçues via une communication unidirectionnelle établie avec un premier dispositif, et via ce premier dispositifThis initialization phase 410 includes obtaining 416 a description of data that the second device will receive. This data will originate from equipment located in a "first" protected portion of the network, inaccessible to the second device. It will be received via unidirectional communication established with a first device, and via this first device

Dans certains modes de réalisation le descriptif peut être obtenu 416 par réception, via une communication unidirectionnelle entre les premier et second dispositif. Dans de tels modes de réalisation, le procédé peut comprendre une initialisation 412 (et/ou un établissement) de cette communication unidirectionnelle, préalablement à cette réception, tenant éventuellement compte de données de paramétrage, locales ou distantes, accessible au second dispositif. Le procédé peut aussi comprendre une désérialisation 414 des données reçues (si celles-ci ont été sérialisées avant leur transmission au second dispositif).In some embodiments, the description can be obtained 416 by reception, via unidirectional communication between the first and second devices. In such embodiments, the process may include initialization 412 (and/or establishment) of this unidirectional communication prior to this reception, possibly taking into account local or remote parameter data accessible to the second device. The process may also include deserialization 414 of the received data (if this data was serialized before its transmission to the second device).

Dans certains modes de réalisation, le descriptif obtenu 416 peut être identique au descriptif décrit en liaison avec le procédé 300 mis en œuvre dans le premier dispositif. Par exemple, les deux descriptifs peuvent être obtenus 312, 416 par copie d’un même support de stockage amovible, ou le second dispositif peut recevoir du premier dispositif l’intégralité du descriptif qu’a précédemment lui-même obtenu 312 le premier dispositif. Dans de tels modes de réalisation, le descriptif du second dispositif peut alors contenir certaines informations non utiles au second dispositif (comme un mot de passe, ou une clé publique ou privée nécessaire à une connexion à l’équipement dont proviennent les données). Un tel mode de réalisation peut offrir des avantages en termes de simplicité de traitement (côté premier dispositif) et /ou de simplicité de configuration, donc de gain de temps, côté second dispositif, puisqu’il n’est pas nécessaire de prévoir un « descriptif » particulier au second dispositif.In some embodiments, the resulting description 416 may be identical to the description described in connection with the process 300 implemented in the first device. For example, both descriptions may be obtained 312, 416 by copying the same removable storage medium, or the second device may receive from the first device the entire description that the first device itself previously obtained 312. In such embodiments, the description of the second device may then contain certain information not useful to the second device (such as a password, or a public or private key necessary for connecting to the equipment from which the data originates). Such an embodiment can offer advantages in terms of ease of processing (on the side of the first device) and/or ease of configuration, and therefore time savings, on the side of the second device, since it is not necessary to provide a specific "description" for the second device.

Dans d’autres modes de réalisation, le descriptif du second dispositif peut être différent de celui précédemment obtenu par le premier dispositif. En particulier, certaines informations contenues dans le descriptif précédemment par le premier dispositif peuvent être omises du descriptif du second dispositif.In other embodiments, the description of the second device may differ from that previously obtained for the first device. In particular, certain information contained in the description previously provided by the first device may be omitted from the description of the second device.

Le descriptif obtenu 416 par le second dispositif peut notamment comprendre des informations d’identification de l’équipement dont proviennent les données, et notamment l’adresse de l’équipement sur la première portion du réseau.The description obtained 416 by the second device may include information identifying the equipment from which the data originates, and in particular the address of the equipment on the first portion of the network.

Le descriptif obtenu 416 peut notamment comprendre des informations décrivant les données (emplacement, taille, type, structure, etc.) que le second dispositif est susceptible de recevoir du premier dispositif, similaires par exemple à celles décrites en lien avec le procédé mis en œuvre par le premier dispositif, certaines informations (comme un intervalle de temps entre deux accès ou une information temporelle limitant l’accès à au moins une donnée) pouvant être omises.The description obtained 416 may include information describing the data (location, size, type, structure, etc.) that the second device is likely to receive from the first device, similar for example to those described in connection with the process implemented by the first device, some information (such as a time interval between two accesses or temporal information limiting access to at least one piece of data) may be omitted.

Dans certains modes de réalisation, par exemple selon les moyens de communication unidirectionnels mis en œuvre entre le premier et le second dispositif, le descriptif obtenu 416 peut en outre comprendre des informations nécessaires à l’établissement d’une communication unidirectionnelle depuis le premier dispositif vers le second dispositif. Ces informations peuvent être optionnelles, notamment lorsqu’elles sont accessibles par ailleurs au second dispositif, par exemple via des données de paramétrage du dispositif (et ont par exemple été précédemment utilisées pour initier la communication unidirectionnelle entre les deux dispositifs comme évoqué ci-avant).In certain embodiments, for example depending on the unidirectional communication means implemented between the first and second devices, the resulting description 416 may also include information necessary for establishing unidirectional communication from the first device to the second device. This information may be optional, particularly when it is otherwise accessible to the second device, for example via device configuration data (and has, for example, been previously used to initiate unidirectional communication between the two devices as mentioned above).

Optionnellement, le descriptif peut également comprendre des informations relatives au format de sortie d’au moins certaines données avant leur fourniture à un appareil tiers.Optionally, the description may also include information relating to the output format of at least some of the data before it is provided to a third-party device.

Dans certains modes de réalisation, comme expliqué plus haut, le descriptif peut être reçu du premier dispositif. Dans d’autres modes de réalisation, le descriptif peut être obtenu par accès à une zone de stockage accessible au second dispositif (comme une zone de stockage locale au second dispositif ou accessible depuis la seconde portion du réseau ou encore une zone de stockage amovible (telle une clé USB) couplée au second dispositif).In some embodiments, as explained above, the description can be received from the first device. In other embodiments, the description can be obtained by accessing a storage area accessible to the second device (such as a local storage area on the second device or accessible from the second part of the network, or a removable storage area (such as a USB key) attached to the second device).

Similairement à ce qui a été décrit en liaison avec le procédé 300 de protection, dans certains modes de réalisation, le procédé 400 de fourniture peut comprendre une mise à jour (optionnelle) du descriptif obtenu 416, soit automatiquement par le second dispositif, soit via une interface utilisateur du second dispositif, pour supprimer certaines informations du descriptif ou en ajouter des nouvelles.Similar to what has been described in connection with the protection process 300, in some embodiments the supply process 400 may include an (optional) update of the description obtained 416, either automatically by the second device or via a user interface of the second device, to delete some information from the description or add new information.

Comme illustré enFIG. 4, le précédé peut comprendre une obtention 420 de la valeur d’au moins une donnée de l’équipement protégé. Cette obtention peut comprendre une réception 422 de l’au moins une donnée via la communication unidirectionnelle entre le premier dispositif et el second dispositif. En outre, lorsque les données reçues 422 par le second dispositif sont sérialisées, le procédé peut comprendre une désérialisation 424 des données. Cette désérialisation peut par exemple utiliser les informations du descriptif obtenu 416 (notamment des informations descriptives de données), afin de retrouver la structure des données avant leur transmission par le premier dispositif. Le procédé peut comprendre un stockage des données obtenues en cohérence avec les informations descriptives de données obtenues. Par exemple, dans certains modes de réalisation, il peut s’agir d’un stockage des données de façon identique à leur stockage sur l’équipement (même adresse(s), même taille, etc.). Dans d’autres modes de réalisation, il peut s’agir d’un stockage sous une forme différente (par exemple compressée, de façon à gagner en occupation mémoire).As illustrated in FIG. 4 The method may include obtaining 420 the value of at least one piece of data from the protected equipment. This obtaining may include receiving 422 the value of at least one piece of data via unidirectional communication between the first device and the second device. Furthermore, when the data received 422 by the second device is serialized, the method may include deserializing 424 the data. This deserialization may, for example, use the information from the obtained description 416 (in particular, descriptive data information) to recover the structure of the data before its transmission by the first device. The method may include storing the obtained data in a manner consistent with the descriptive data information obtained. For example, in some embodiments, this may involve storing the data in the same way as it is stored on the equipment (same address(es), same size, etc.). In other embodiments, it may involve storing it in a different form (for example, compressed, so as to save memory).

Le procédé peut en outre comprendre une transmission 430 d’au moins certaines des données obtenues à un appareil tiers (sur demande de cet équipement et/ou sur abonnement de l’appareil aux mises à jour de cette donnée par exemple). Cette transmission peut être précédée d’un transcodage (par exemple une décompression), lorsque les données à transmettre sont stockées sous une forme (format, structure ...) différente de celle sous laquelle elles sont stockées sur l’équipement protégé.The process may also include transmitting at least some of the obtained data to a third-party device (at the request of that device and/or upon the device's subscription to updates of that data, for example). This transmission may be preceded by transcoding (for example, decompression) when the data to be transmitted is stored in a form (format, structure, etc.) different from that in which it is stored on the protected device.

Dans certains modes de réalisation, le descriptif obtenu 416 par le second dispositif peut comprendre, outre les informations nécessaires à l’obtention et au traitement par le second dispositif des données de l’équipement, d’autres informations. Par exemple, le descriptif obtenu peut comprendre. en complément par exemple à l’adresse de l’équipement sur la première portion du réseau, certaines autres informations nécessaires à l’établissement d’une communication avec l’équipement comme une information désignant un protocole utilisable pour dialoguer avec l’équipement, un port de l’équipement utilisable pour dialoguer avec l’équipement selon ce protocole, des paramètres complémentaires spécifiques à certain(s) protocoles(s). Il peut s’agir selon les modes de réalisation d’informations identiques à celles contenues dans le descriptif décrit en liaison avec le procédé 300 de laFIG. 3, ou d’informations déduites d’au moins certaines des informations contenues dans le descriptif obtenu 312 par le premier dispositif.In some embodiments, the description obtained 416 by the second device may include, in addition to the information necessary for the second device to obtain and process the equipment data, other information. For example, the description obtained may include, in addition to the equipment address on the first segment of the network, certain other information necessary for establishing communication with the equipment, such as information designating a protocol that can be used to communicate with the equipment, a port on the equipment that can be used to communicate with the equipment according to this protocol, and additional parameters specific to certain protocol(s). Depending on the embodiment, this information may be identical to that contained in the description described in connection with method 300 of the FIG. 3 , or information deduced from at least some of the information contained in the description obtained 312 by the first device.

Par exemple, le descriptif peut comprendre les informations nécessaires au second dispositif pour recevoir des sollicitations d’appareil tiers destinées à l’équipement, et à y répondre comme si ces réponses provenaient de l’équipement.For example, the description may include the information necessary for the second device to receive third-party device solicitations intended for the equipment, and to respond to them as if those responses originated from the equipment.

En particulier, le descriptif peut comprendre l’adresse de l’équipement sur la première portion et le procédé peut comprendre une affectation au second dispositif d’une adresse, sur la seconde portion, identique à celle de l’équipement sur la première portion. De tels modes de réalisation peuvent ainsi aider un administrateur du réseau de communication à disposer d’une solution « plug and play ». Ainsi, l’insertion de l’ensemble électronique dans le réseau, pour la protection d’un équipement, peut-être transparente aux autres appareils déjà présents dans le réseau et peut ne pas nécessiter de modifier un plan de routage (ou d’adressage) de l’ensemble du réseau ou de modifier le logiciel de l’un des appareils tiers souhaitant obtenir des données provenant de l’équipement.In particular, the description may include the equipment's address on the first segment, and the method may involve assigning the second device an address on the second segment identical to that of the equipment on the first segment. Such embodiments can thus help a communication network administrator to have a "plug and play" solution. Therefore, the insertion of the electronic assembly into the network, for the purpose of protecting a piece of equipment, can be transparent to other devices already present on the network and may not require modifying the routing (or addressing) plan of the entire network or modifying the software of any of the third-party devices wishing to obtain data from the equipment.

Par exemple, dans certains modes de réalisation, l’ensemble électronique peut être installé dans un réseau existant comportant un équipement qu’il s’agit (nouvellement) de protéger. Lorsque l’ensemble électronique est installé de façon à pouvoir communiquer (par exemple via une liaison filaire) avec l’équipement à protéger, constituant ainsi une première portion du réseau (comprenant au moins l’équipement et le premier dispositif), un opérateur du réseau peut n'avoir aucune action à effectuer (hormis cette installation). Les données de l’équipement décrites dans le descriptif peuvent être dupliquées automatiquement sur le second dispositif, et rendues ainsi accessibles à l'extérieur de la première portion, protégée, du réseau via une adresse du second dispositif identique à celle de l’équipement. De ce fait, les appareils et logiciels extérieurs à la portion protégée du réseau peuvent continuer à accéder aux données de l’équipement, sans modification de la routine d’accès qu’ils utilisaient avant l’installation de l’ensemble électronique pour protéger l’équipement. En effet, la connexion, du point de vue de ces appareils et logiciels, peut être identique à une connexion directe avec l’équipement.For example, in some embodiments, the electronic assembly can be installed in an existing network containing equipment that is (newly) to be protected. When the electronic assembly is installed in such a way as to be able to communicate (for example, via a wired connection) with the equipment to be protected, thus constituting a first portion of the network (comprising at least the equipment and the first device), a network operator may not need to take any action (apart from this installation). The equipment data described in the specification can be automatically duplicated on the second device, and thus made accessible outside the first, protected portion of the network via an address on the second device identical to that of the equipment. As a result, devices and software outside the protected portion of the network can continue to access the equipment data without changing the access routine they used before the electronic assembly was installed to protect the equipment. Indeed, from the perspective of these devices and software, the connection can be identical to a direct connection with the equipment.

La présente demande propose un ensemble électronique constituant, au moins dans certains de ses modes de réalisation, une solution simple et efficace pour remonter des données de manière sécurisée à partir d'une machine industrielle connectée à un réseau public comme Internet. En particulier, dans au moins certains modes de réalisation, la configuration d’au moins un des premier et second dispositif de l’ensemble électronique peut être facile (notamment lorsqu’elle est automatique) et l’un ou l’autre des dispositifs de l’ensemble électronique peut être utilisable avec plusieurs protocoles différents, ce qui peut donc permettre d’offrir une solution adaptable à différents environnements industriels.This application proposes an electronic assembly that, at least in some of its embodiments, provides a simple and efficient solution for securely transmitting data from an industrial machine connected to a public network such as the Internet. In particular, in at least some embodiments, the configuration of at least one of the first and second devices of the electronic assembly can be easy (especially when automated), and either device of the electronic assembly can be used with several different protocols, thus offering a solution adaptable to various industrial environments.

Dans certains modes de réalisation détaillées en lien avec les figures 3 et 4, le premier dispositif et un second dispositif peuvent être adaptés à communiquer selon plusieurs protocoles avec, respectivement, au moins un équipement à protéger et au moins un appareil tiers.In some detailed embodiments related to Figures 3 and 4, the first device and a second device can be adapted to communicate according to several protocols with, respectively, at least one piece of equipment to be protected and at least one third device.

Dans une variante (illustrée enFIG. 5), le premier dispositif et le second dispositif peuvent communiquer respectivement avec un équipement à protéger et un appareil tiers avec un seul protocole.In one variant (illustrated in FIG. 5 ), the first device and the second device can communicate respectively with equipment to be protected and a third-party device with a single protocol.

Dans une variante, le premier dispositif peut sélectionner le second dispositif avec lequel communiquer selon la communication unidirectionnelle en fonction du protocole utilisé pour communiquer avec un équipement à protéger (le système 100 comportant par exemple plusieurs « second dispositifs » utilisant respectivement des protocoles différents pour communiquer avec des appareils tiers.In one variant, the first device can select the second device with which to communicate according to unidirectional communication based on the protocol used to communicate with equipment to be protected (system 100 for example comprising several "second devices" using different protocols respectively to communicate with third-party devices.

Dans une autre variante, plusieurs « premier dispositifs » peuvent communiquer avec un même second dispositif, celui-ci pouvant par exemple disposer de plusieurs adresses différentes, choisies chacune pour correspondre à celle d’un équipement à protéger reçue d’un des premiers dispositifs.In another variant, several "first devices" can communicate with the same second device, the latter being able, for example, to have several different addresses, each chosen to correspond to that of a piece of equipment to be protected received from one of the first devices.

LaFIG. 5présente un exemple d’implémentation de la solution objet de la présente demande pour protéger trois équipements. Dans l’exemple illustré, chaque équipement utilise un protocole de communication différent et est protégé par un ensemble électronique (smart diode) selon l’invention spécifique à ce protocole. Les données mises à disposition par une smart diode sur une portion exposée du réseau (et interconnectée avec internet) peuvent être utilisées (interrogation, abonnement etc..) par des appareils de monitoring du réseau.There FIG. 5 This document presents an example of an implementation of the solution described in this application for protecting three devices. In the illustrated example, each device uses a different communication protocol and is protected by an electronic assembly (smart diode) according to the invention, specific to that protocol. The data made available by a smart diode on an exposed portion of the network (interconnected with the internet) can be used (querying, subscribing, etc.) by network monitoring devices.

La solution présentée dans la présente demande peut trouver des applications dans de nombreux domaines, et notamment dans des domaines cibles privilégiées d’attaques informatiques. Ainsi, dans l’industrie manufacturière, la solution objet de la présente demande peut aider à protéger des machines industrielles (pour empêcher leur corruption par exemple), en empêchant les accès à certaines données sensibles de ces machines comme des données relatives aux processus industriels mis en œuvre, tout en rendant d’autres données (comme des données de production) disponibles à des applications de surveillance et de contrôle.The solution presented in this application can find applications in numerous fields, particularly in areas that are prime targets for cyberattacks. For example, in the manufacturing industry, the solution described in this application can help protect industrial machinery (preventing corruption, for instance) by blocking access to certain sensitive data on these machines, such as data relating to the industrial processes implemented, while making other data (such as production data) available to monitoring and control applications.

Un autre exemple de mise en œuvre concerne le domaine de la distribution. La solution objet de la présente demande peut en effet être utilisée pour aider à protéger des équipements électroniques de points de vente, en limitant les possibilités d’accès à des données stockées sur ces équipements, comme des données de vente et/ou à des informations sensibles sur des clients.Another example of implementation concerns the field of distribution. The solution that is the subject of this application can indeed be used to help protect electronic point-of-sale equipment, by limiting access to data stored on this equipment, such as sales data and/or sensitive customer information.

Encore un autre exemple de mise en œuvre concerne le domaine de la finance (banque, service financiers) et notamment les informations financières et personnelles sensibles manipulées, que la solution objet de la présente demande peut aider à protéger d’attaques (tout en offrant des possibilités d'accès à d’autres données, moins sensibles par exemple).Yet another example of implementation concerns the field of finance (banking, financial services) and in particular the handling of sensitive financial and personal information, which the solution subject to this request can help to protect from attacks (while offering possibilities of access to other, less sensitive data for example).

La solution objet de la présente demande peut également trouver des applications dans le domaine de la santé, pour protéger les données médicales sensibles de patients tout en laissant des possibilités d'accès à au moins certaines de ces données à des professionnels de la santé.The solution that is the subject of this application may also find applications in the field of health, to protect sensitive medical data of patients while allowing access to at least some of this data to health professionals.

Claims

A method for protecting equipment in a communication network partitioned into a plurality of portions comprising at least a first portion, including said equipment, and at least a second portion interconnected with said first portion via a first electronic device and a second electronic device in unidirectional communication, so as to permit only communications from the first device to the second device, said method comprising:

a transmission to said second device of an addressing identifier for said equipment on said first portion of said communication network;

during a communication between said equipment to be protected and said first device, obtaining the current value of at least one data point of said equipment;
a transmission to said second device, via said unidirectional communication, of the current value obtained.

A protection method according to claim 1 comprising obtaining a description relating to said equipment to be protected and comprising at least:

said addressing identifier of said equipment to be protected on said first portion of said communication network;
a designation of at least one communication protocol with said equipment;
said addressing information of at least one piece of data of said equipment accessible for reading via said equipment.

A protection method according to claim 2 comprising transmitting to said second device information identifying said protocol.

A protection method according to claim 2 or 3 wherein said description is obtained dynamically by said first device by scanning said first portion.

A protection method according to any one of claims 1 to 4 comprising, upon updating at least one first of said at least one accessible data, a transmission to said second device, via said unidirectional communication, of said updated value.

A protection method according to any one of claims 1 to 5 wherein said current value and/or update of said first data is obtained by querying said equipment.

A protection method according to claims 2 and 6, wherein said interrogation of said equipment is carried out several times and wherein a time interval between two successive interrogations of said equipment takes into account a time information included in said description.

A method for supplying data from at least one piece of equipment in a communication network partitioned into a plurality of portions comprising at least a first portion, and at least a second portion interconnected with said first portion via a first electronic device and a second electronic device in unidirectional communication, so as to permit only communications from the first device to the second device, said method comprising:

A method for supplying data according to claim 8, said method comprising:
obtaining a description relating to at least one piece of equipment on said first portion of said communication network, including said at least one addressing identifier for said at least one piece of equipment on said first portion of said communication network.

Supply method according to claim 9 wherein said description is obtained via said one-way communication.

Supply method according to claim 9 or 10, wherein said description comprises:

a designation of at least one communication protocol with said equipment;
a designation of at least one addressing information of at least one data item of said equipment accessible for reading via said equipment of said first portion of said network;

and where said request is received according to said protocol and relates to said addressing information.

An electronic assembly of a communication network partitioned into a plurality of portions comprising at least a first portion, including equipment to be protected, and at least a second portion interconnected with said first portion via a first device of said electronic assembly and a second device of said electronic assembly in unidirectional communication with the first device of said electronic assembly, via unidirectional communication means of said electronic assembly so as to permit only communications from the first device of said electronic assembly to the second device of said electronic assembly, said at least a first device of said electronic assembly comprising at least a first processor configured to:

an assignment to said second device, as an addressing identifier on said second portion of said network, of at least one addressing identifier, on said first portion of said communication network, of at least one piece of equipment on said first portion;