Cet article approfondit la sécurité du protocole CEI 60870-5-104
L’IEC 60870‑5‑104 est devenu indispensable dans le monde de l’énergie et de l’industrie. Le protocole est robuste, largement supporté et constitue la colonne vertébrale de nombreux systèmes SCADA et de télémesure. Mais c’est aussi un protocole d’une autre époque : avant les exigences de sécurité modernes, l’intégration OT/IT et le travail axé sur les données. Aujourd’hui, l’accès à distance IEC 60870‑5‑104 et la sécurité exigent une approche différente.
Pour de nombreuses organisations, cela mène aux mêmes questions :
- Comment rendre l’accès à distance sécurisé et gérable ?
- Comment obtenir une visibilité sur mes données IEC 60870‑5‑104 sans tout transformer ?
- Comment éviter une prolifération de solutions ad hoc par site ?
Dans cet article, nous expliquons comment nous abordons précisément ces problématiques – grâce à une combinaison de routeurs et de contrôleurs matériels industriels, notre portail distant (Remote Portal) et la surveillance des données.
Vous souhaitez d’abord connaître le contexte technique du protocole lui-même ?
Consultez notre page de documentation complète : Documentation du protocole IEC 60870‑5‑104
Les défis de l’accès à distance IEC 60870‑5‑104 dans la pratique
L’IEC 60870‑5‑104 n’est pas « mauvais », mais il ne s’adapte pas automatiquement à l’environnement dans lequel vous travaillez actuellement. Les principaux défis que nous observons sur le terrain sont :
1. La sécurité et l’accès exigent une attention particulière
L’IEC 60870‑5‑104 n’a pas été conçu avec les principes de sécurité modernes à l’esprit. Situations typiques :
- connexions directes à Internet ou au réseau informatique (IT)
- VPN distincts par fournisseur ou ingénieur
- segmentation limitée entre les domaines OT et IT
- peu de journalisation (logging) sur qui a accédé à quoi et quand
Cela rend difficile le respect des exigences de sécurité et des audits, et augmente le risque de mauvaises configurations ou d’incidents – surtout lorsqu’il s’agit de l’accès à distance IEC 60870‑5‑104.
Approfondir les risques de sécurité ?
Lisez notre article : Sécurité IEC 60870‑5‑104
2. Vous n’exploitez pas encore pleinement les données disponibles
Le protocole fournit un flux constant de valeurs de mesure, de messages d’état et d’événements. En pratique, nous constatons souvent que :
- les données restent « enfermées » dans les systèmes SCADA
- il y a peu de tableaux de bord centraux ou de surveillance globale
- l’analyse historique et le suivi des tendances sont limités
- beaucoup de développements sur mesure sont nécessaires pour transférer les données vers d’autres systèmes
Pourtant, ces mêmes données IEC 60870‑5‑104 peuvent être précieuses pour la gestion des actifs, l’optimisation de la maintenance ou le reporting aux autorités de régulation.
En savoir plus sur ce que vous pouvez faire avec les données ?
Consultez : Lecture et visualisation des données IEC 60870‑5‑104
3. Gestion complexe de nombreux sites dispersés
Les organisations possédant des dizaines ou des centaines de stations, sous-stations ou sites distants reconnaissent ceci :
- chaque site est configuré de manière légèrement différente
- différents fournisseurs, types de matériel et configurations
- aucune méthode uniforme d’accès à distance et de collecte de données
- beaucoup de temps perdu lors de pannes ou de modifications
La combinaison d’un ancien protocole, d’exigences modernes et d’une infrastructure dispersée rend la gestion complexe et sujette aux erreurs.
Notre approche : du défi protocolaire à la solution gérable
Nous ne considérons pas seulement l’IEC 60870‑5‑104 comme un protocole, mais nous examinons votre architecture OT globale. Le cœur de notre approche repose sur quatre piliers qui répondent ensemble aux défis de l’IEC 60870‑5‑104 et rendent votre accès à distance et vos flux de données gérables.
1. Une base stable et sécurisée sur site : matériel industriel
La situation
Les équipements réseau anciens ou génériques ne sont souvent pas conçus pour les environnements industriels et ne supportent que de manière limitée les exigences spécifiques à l’OT. La sécurité, la segmentation et le support des protocoles sont alors difficiles à organiser correctement.
Ce que nous faisons
- Déploiement de routeurs et passerelles industriels adaptés aux environnements difficiles et à un fonctionnement 24h/24, 7j/7
- Séparation logique entre :
- les équipements de terrain (RTU, IED, PLC)
- le SCADA local
- les connexions externes (vers les centres de données, le portail distant, le cloud)
- Configuration de :
- tunnels VPN
- règles de pare-feu
- contrôle d’accès et journalisation
Ce matériel constitue la « couche edge » standard pour tous vos sites IEC 60870‑5‑104. Ainsi, vous n’avez pas besoin de réinventer la roue pour chaque site ; vous travaillez avec une architecture de référence reproductible pour un accès à distance IEC 60870‑5‑104 et un trafic de données sécurisés.
2. Une porte d’accès centrale unique : Remote Portal
La situation
Si chacun gère son propre petit VPN et sa méthode d’accès, vous perdez la vue d’ensemble :
- qui peut accéder à quel site ?
- quel compte appartient à quel prestataire externe ?
- quelles connexions sont ouvertes en permanence ?
- comment prouver ce qui s’est passé lors des audits ?
Notre solution : Remote Portal
Avec notre Remote Portal, vous transformez l’accès à distance IEC 60870‑5‑104 aux sites en un processus géré de manière centrale, au lieu d’une collection de solutions isolées. Cela inclut notamment :
- Gestion centrale des autorisations
- définir par utilisateur et par rôle quels sites, appareils ou services peuvent être consultés
- Vue d’ensemble de toutes les connexions actives
- Journalisation et piste d’audit
- qui s’est connecté à quel site et à quel moment ?
- Intégration avec votre matériel industriel
- le portail communique avec les routeurs/passerelles sur site, de sorte que l’accès passe toujours par une route contrôlée
Vous évitez ainsi que des connexions IEC 60870‑5‑104 ne se créent « sous le radar » et vous gardez le contrôle sur l’ensemble de votre paysage d’accès à distance.
3. Des données brutes IEC 60870‑5‑104 aux informations exploitables
La situation
Sans une bonne couche de données, l’IEC 60870‑5‑104 reste un « protocole de transport » qui ne fait qu’alimenter votre SCADA. Les possibilités d’analyse, de reporting et d’intégration restent alors limitées.
Notre solution : surveillance des données et intégration
Nous mettons en place une infrastructure vous permettant de :
- collecter structurellement les données IEC 60870‑5‑104
- événements, mesures, états, alarmes
- stocker ces données dans un format et sur une plateforme appropriés
- visualiser les données dans des tableaux de bord et une surveillance globale
- créer des passerelles si nécessaire vers :
- le SCADA central
- des outils de BI
- des systèmes de gestion d’actifs et de maintenance
- d’autres plateformes OT et IT
Vous continuez à utiliser l’IEC 60870‑5‑104 là où c’est nécessaire, mais les données deviennent disponibles d’une manière adaptée à une gestion moderne et axée sur les données.
Vous voulez voir des exemples ?
Consultez également : Lecture et visualisation des données IEC 60870‑5‑104
À qui s’adresse cette solution ?
Notre approche concernant l’IEC 60870‑5‑104 et l’accès à distance sécurisé est particulièrement adaptée aux :
- Gestionnaires de réseau / GRD avec de nombreuses sous-stations et actifs distants
- Clients finaux industriels dans les secteurs de l’énergie, de l’eau, des infrastructures et de l’industrie de transformation
- Intégrateurs de systèmes devant intégrer l’IEC 60870‑5‑104 dans des environnements modernes
- Responsables OT et responsables de la sécurité chargés de l’accès sécurisé et de la conformité
Vous reconnaissez les défis liés à la sécurité, à l’accès à distance ou à l’exploitation de vos données IEC 60870‑5‑104 ? Nos solutions sont probablement faites pour vous.
Mettre de l’ordre ensemble dans votre environnement IEC 60870‑5‑104 ?
Vous travaillez avec l’IEC 60870‑5‑104 et :
- vous vous inquiétez de la sécurité de vos connexions à distance ?
- vous manquez de visibilité et de contrôle sur qui peut accéder à quoi ?
- vous voulez faire plus avec les données que ce que permet actuellement le SCADA ?
Nous serions ravis de vous montrer, lors d’une courte session, comment notre matériel, notre Remote Portal, notre application Remote Connect Control et notre surveillance des données rendent l’accès à distance IEC 60870‑5‑104 sécurisé et gérable dans la pratique.
Planifiez une démonstration ou une session d’échange via notre page de contact ou contactez-nous directement.
Nous réfléchirons volontiers avec vous à une solution IEC 60870‑5‑104 adaptée à votre organisation – aujourd’hui et demain.
