Your browser does not support JavaScript!

Télégestion : réévaluer les supports de communication
Christophe Bouchet de EDITIONS JOHANET 30 avril 2018 Paru dans N°411 - à la page 71

C’est désormais officiel. Les réseaux de télécommunications analogiques (RTC et GSM Data CSD) vont progressivement s’arrêter. En France, ces supports de communication restent encore très utilisés sur le terrain dans le domaine de la télégestion des réseaux d’eau. Quelles sont les conséquences de ces arrêts ? Faut-il préparer dès maintenant les installations au basculement vers les technologies numériques (IP) ? Explications.

La télégestion regroupe un ensemble de solutions technologiques permettant de piloter à distance des ouvrages géographiquement dispersés. Pour permettre le contrôle à distance de ces installations, elle met en œuvre et associe les technologies de l’informatique industrielle, de l’électronique et des télécommunications, ces dernières prenant, au sein des équipements, une place de plus en plus importante. Car ces outils doivent être capables de se connecter à des équipements divers, via des liaisons permanentes ou non (RTC, GSM data, radio, ...) et d’intégrer dans leurs historiques des informations et des évènements ponctuels ou périodiques qui ont été horodatés et stockés dans des postes locaux de différentes natures tels que des automates de télégestion, des automates industriels, RTU, Data loggers, etc.... À cette grande diversité de postes locaux correspond une non moins grande diversité de supports de communications permettant aux exploitants, selon de nombreux paramètres tels que la nature de l’application, le flux et la fréquence des communications, la sécurité et la criticité des données, de rester en contact avec leurs installations et de contrôler en permanence leurs ouvrages.


Une grande diversité de supports de communication

Lignes spécialisées (LS), Lignes pilotes (LP), Réseau Téléphonique Commuté (RTC), radio, GSM-data, GSM-SMS, GSM-IP et ses déclinaisons 2,5G/3G/4G et 5G demain (GPRS, EDGE, UMTS, HSDPA, LTE,…), Série, xDSL, Ethernet… Les supports de communication en matière de télégestion sont nombreux et permettent de répondre à tous les cas de figure.
Le réseau téléphonique commuté (ou RTC) a longtemps constitué l’essentiel des supports de communication supportant la télégestion. Jusqu’au milieu des années 1995, marquées par l’apparition des réseaux GSM (Global System for Mobile Communications) qui vont bouleverser les supports de communications appliqués à la télégestion.

Parmi les supports les plus anciens, les lignes spécialisées en point à point à continuité métallique, louées par France Telecom, étaient encore jusqu’à une période pas si lointaine, considérées comme l’un des vecteurs privilégiés du transfert des données dans le domaine de l’eau, au moins pour les sites ayant besoin de communiquer de manière permanente. Leur coût, devenu prohibitif au fil des années, et l’émergence de solutions alternatives les a peu à peu marginalisées. Ce n’est pas le cas des lignes pilotes. Ces lignes privées, qui appartiennent aux collectivités qui les exploitent, ont le plus souvent été créées à l’occasion de la construction d’un réseau pour permettre à deux sites reliés hydrauliquement de communiquer entre eux par une liaison filaire gainée. Leur intérêt ? Une ligne entièrement dédiée à la gestion d’un ouvrage, au coût avantageux du fait de l’absence de tout abonnement. Le réseau téléphonique commuté (ou RTC), réseau historique des téléphones fixes, déployé autour des années 80 par France Telecom devenu depuis Orange, a longtemps dominé parmi les supports de communication dédiés à la télégestion. C’est lui qui a permis, au milieu des années 1980, le développement du minitel qui a été le premier terminal d’exploitation de bon nombre d’exploitants dans le domaine de l’eau… Avec le développement des systèmes de radio avec ou sans licence, le RTC a longtemps constitué l’essentiel des supports de communication supportant la télégestion. Au moins jusqu’au milieu des années 1995, marquées par l’apparition des réseaux GSM (Global System for Mobile Communications) qui vont bouleverser les supports de communications appliqués à la télégestion. D’abord avec le GSM-SMS en mode PDU (Packet Data Unit) puis avec le développement du GSM-Data CSD (Circuit Switched Data), un mode de transmission de données issu de la 1G, qui va ouvrir la voie aux transmissions sans fil en donnant la possibilité de s’affranchir des limites du réseau commuté qui imposait, pour accéder à des sites isolés de tirer une ligne téléphonique.

La gamme S500 de Lacroix Sofrel est capable de gérer tous les supports de communication, du RTC et GSM Data aux réseaux IP 2G/3G ou ADSL. Les postes les plus anciens peuvent faire l’objet d’une remise à niveau via une carte GSM-3 capable de gérer le SMS, le GSM-Data, la 2G, la 3G et tous les supports de communication du GSM-IP.

Mais, comme avec le RTC, on reste dans le monde analogique avec des échanges point à point, la facturation se faisant sur la base d’un temps de connexion.

Les choses vont changer avec l’arrivée du GPRS (General Packet Radio Service), une extension du protocole GSM utilisant le protocole IP (Internet Protocol) parfois appelée 2,5G car à mi-chemin entre la 2G et la 3G (UMTS). « Le mode de connexion GSM repose sur une connexion utilisant la commutation de circuit, explique Jean-Marie Laurendeau, chef de marché télégestion Eau chez Lacroix-Sofrel. Une fois la communication établie, le canal de données est monopolisé par cette connexion, y compris lorsqu’aucune donnée ne transite par ce canal. Sa monopolisation, outre qu’elle créait une indisponibilité pour les autres utilisateurs, générait un coût de connexion élevé. La technologie GPRS a permis de contourner le problème en exploitant une communication par paquets d’informations qui permet à plusieurs utilisateurs de se servir du même canal de communication en ne l’occupant que lorsqu’ils ont des données à transmettre ». Le résultat ? un temps d’établissement des communications rapide, des débits plus importants et une connexion permanente, sans que l’usager ait à payer pour les périodes d’inactivité, et une facturation plus avantageuse car liée au volume et non plus à la durée. Mais aussi plus d’intégrité dans le transfert des données et des mécanismes de sécurité plus sophistiqués. « Sur des sites sensibles, le GPRS va permettre de détecter immédiatement la rupture de communication alors qu’en RTC ou GSM Data, elle ne l’est qu’au moment où l’équipement doit transmettre ses données où lorsqu’on souhaite l’interroger ». Ces avantages techniques et financiers vont élargir le champ d’applications de la télégestion (vers la sectorisation des réseaux d’eau potable, par exemple), en même temps que le déploiement des PC portables, des smartphones et des tablettes va banaliser l’accès aux informations pour les techniciens d’exploitation et d’intervention en les ouvrant à la mobilité. Les réseaux 3G puis 4G, en améliorant le débit notamment accentueront ces avantages. Quant au développement, en filaire, de l’ADSL (Asymetric Digital Subscriber Line) au début des années 2000, il contribuera à banaliser les connexions permanentes.

Aujourd’hui ou en est-on ? Pour Jean-Marie Laurendeau, Lacroix Sofrel, la place occupée par le RTC a fortement baissé ces deux dernières années, pour ne plus représenter qu’environ 30 % des supports de communications utilisés. Cette inflexion aurait profité au GSM IP à hauteur de 80 %, autour de 10 % pour l’ADSL, et autant pour la radio qui profite d’un certain nombre d’avantages. « Sur des petites distances, les coûts de communication sont très avantageux puisque les solutions radio sans licence que l’on propose ne nécessitent pas d’abonnement télécom. C’est l’exploitant qui est son propre opérateur sur la base de solutions simples à mettre en œuvre qui ne nécessitent pas d’être des experts de la radio, ce qui séduit les exploitants », explique-t-il.

Chez Aqualabo, le P400xi a été développé en natif IP dès 2004 pour se substituer aux solutions de communication GSM-Data, voire au réseau téléphonique commuté.

« Il ne faut pas négliger la solution radio, avec ou sans licence, car si son déploiement est plus coûteux en investissement, elle a l’avantage de ne pas être tributaire des opérateurs de communication, confirme Jérôme Boulud chez Electreau. Par ailleurs, les moyens de communication évoluent plus vite que le matériel et obligent les collectivités à renouveler leur parc de télégestion pour des raisons de compatibilité, ce qui n’est pas le cas avec des modems radio qui communiquent souvent en liaison RS 232 ou 485 disponibles même sur des anciennes générations d’équipements de télégestion. De plus, c’est un système éprouvé, avec peu de maintenance, qui reste extrêmement fiable ».

À terme, les supports de communication utilisés en télégestion pourraient donc reposer sur le GSM-IP à hauteur d’environ 75 %, sur l’ADSL a hauteur de 10 % et sur la radio, avec ou sans licence, à hauteur de 10 % également. Car c’est désormais officiel : les réseaux de télécommunications analogiques (RTC et GSM-Data CSD) vont progressivement s’arrêter, ayant pour conséquence la nécessité de préparer les installations au basculement vers les technologies numériques (IP).

Un basculement vers les technologies IP

« Concernant le RTC, Orange donne une bonne visibilité en annonçant au moins 5 ans à l’avance l’arrêt technique pour chacune de ses zones géographiques », explique Jean-Marie Laurendeau. En conséquence, les fermetures de lignes débuteront au plus tôt en 2023. Mais l’arrêt du GSM-Data CSD interviendra plus tôt : Orange annonce la fermeture au 1er janvier 2019 des communications des objets Data-CSD Orange vers les objets RTC et Data-CSD des autres opérateurs. Ainsi, attention cependant à bien prendre en compte l’installation dans sa globalité, les supports étant parfois multiples et associés les uns aux autres. « Les arrêts de ces deux technologies sont souvent liés car nombre de sites en GSM-Data communiquent avec des sites en RTC, soit en inter-sites, soit vers la centralisation » souligne ainsi Jean-Marie Laurendeau.
ScadaPack de Schneider Electric est optimisé pour
les applications IP et sait s’intégrer avec de nombreux réseaux de communication, notamment les radios Trio ou encore les réseaux mobiles 3G.

Le calendrier n’est donc pas si souple qu’il y paraît aux premiers abords. D’abord parce que des dizaines de milliers de lignes sont directement concernées, avec bien souvent des risques importants en cas de dysfonctionnement le jour venu (continuité du service). Ensuite parce que ce basculement va nécessiter un réexamen global de l’ensemble des architectures qui ne sont pas toujours bien connues des exploitants eux-mêmes. Il sera également porteur d’inévitables problèmes de financement à un moment ou nombre de collectivités sont engagées dans des processus de fusion découlant de la loi NOTRe dont le calendrier est sensiblement similaire à cette migration. « Qu’en sera-t-il réellement des collectivités les plus modestes qui n’ont déjà pas les moyens d’investir dans la maintenance des solutions en place, s’interroge Damien Ferrant chargé d’opérations techniques chez FluksAqua, fournisseur de tableaux de bord pour le suivi de la performance d’exploitation. On voit de nombreuses collectivités qui ont des postes locaux télégérés pour la remontée d’alarme, mais pas forcément de SCADA jugés trop chers et pas adaptés à leur besoin ». Enfin parce qu’au-delà d’une simple modification des supports de communication, cette migration vers l’IP induit des changements bien plus profonds qui touchent aux installations et aux équipements eux-mêmes, mais aussi à la façon de les exploiter. « Initialement, on établissait une communication ponctuelle entre deux sites, et lorsque les données étaient transmises, on raccrochait, un peu comme lorsqu’on se parle au téléphone, explique Jean-Marie Laurendeau. Ces supports de communication étaient utilisés pour transmettre des alarmes et faire de l’inter-sites, par exemple pour transmettre des commandes de pompage depuis un château d’eau. Les communications étaient donc locales et ponctuelles. Ce sont ces deux caractéristiques qui vont changer puisqu’avec l’IP, on est connecté en permanence et potentiellement visible d’internet ». De là découlent les deux impératifs qui vont mobiliser bon nombre d’exploitants ces prochains mois : faire évoluer leurs installations pour qu’elles soient capables de supporter le protocole IP. « Il faut aussi profiter de cette refonte de l’infrastructure de communication pour mettre en place des technologies de communication ouvertes, souligne Gilles Nguyen chez IT Mation. Le protocole open source MQTT est un protocole ouvert largement adopté par les constructeurs et les éditeurs et bien adapté aux applications de télégestion ». IT Mation l’intègre dans sa supervision Ignition et ses RTU/M2M Edgeware.

Dans tous cas, il faut aussi prendre en compte les risques associés en protégeant ces installations désormais exposées aux risques de cyber-attaques.

Faire évoluer les installations pour qu’elles soient capables de supporter le protocole IP

Qu’ils soient fournis par Lacroix-Sofrel, Aqualabo (Perax), Schneider Electric, WIT ou qu’il s’agisse d’équipements achetés sur étagère, deux cas de figure peuvent se présenter : premier cas, l’équipement peut faire l’objet d’une modification, par exemple un simple changement de modem suivi d’une légère reconfiguration qui lui permettra de gérer l’IP et ainsi de poursuivre son exploitation. C’est le cas pour les postes locaux récents. Deuxième hypothèse, l’équipement est trop ancien pour être susceptible d’être mis à niveau et c’est alors son remplacement qui doit être envisagé.
L’uniStream 5 de PL SYSTEMS UNITRONICS comporte un écran couleur tactile et supporte les protocoles de communications SNMP, VNC, FTP, SMS, e-mail et GSM / GPRS ce qui en fait un automate adapté aux exigences du secteur de la gestion de l’eau.

Chez Lacroix Sofrel, les S10 et S50, qui représentent entre 20 et 25 % du parc de postes d’acquisition Sofrel, devront être remplacés. « Sur ces produits, on ne peut pas parler d’obsolescence programmée, glisse en souriant Jean-Marie Laurendeau, car les plus récents ont déjà une douzaine d’années de bons et loyaux services quand les plus anciens atteignent la trentaine. Ils seront donc poussés vers la sortie, non pas à cause de leurs qualités intrinsèques, mais des évolutions technologiques ». Les S10 et S50 devront être remplacés, ce qui n’est pas le cas de la gamme S500, capable de gérer tous les supports de communication, du RTC et GSM Data aux réseaux IP 2G/3G ou ADSL et dont les postes les plus anciens peuvent faire l’objet d’une remise à niveau. Lacroix Sofrel propose pour ceci une carte GSM-3 capable de gérer le SMS, le GSM-Data, la 2G, la 3G et tous les supports de communication du GSM-IP. « L’opération ne prend pas plus d’une heure sur site, indique Jean-Marie Laurendeau. Il suffit de remplacer le modem RTC par ce modem IP sans qu’il soit nécessaire ni de reconfigurer, ni de recâbler le produit. L’utilitaire de configuration Softools permet de remplacer rapidement les numéros de téléphone par des adresses IP ». Mais l’opération peut aussi être l’occasion de renouveler l’équipement, soit en optant pour la dernière génération des postes S500 prééquipés de cette carte GSM-3, soit en optant pour la gamme S4W, le poste local tout IP de Lacroix Sofrel sorti en 2017.

Chez Aqualabo Perax, pas d’inquiétude sur le dernier né de la gamme. Le P400xi a été développé en natif IP dès 2004 pour se substituer aux solutions de communication GSM-Data, voire au réseau téléphonique commuté. Mais ce n’est pas le cas de ses prédécesseurs, les P200X et XM et du P16xt qui communiquent via le réseau RTC ou le GSM Data et qui devront être remplacés avant 2023.

Schneider Electric, qui s’est rapproché des marchés de la télégestion et du télécontrôle en s’appuyant notamment sur les technologies Web embarquées et la généralisation de l’IP n’est que peu affecté par ce basculement. « Historiquement, nous n’étions pas présents sur le segment des RTU purs qui faisaient de l’acquisition et du transfert de données, explique Laurent Druo, Directeur commercial segments industriels chez Schneider Electric. Nos RTUs utilisent des modems externes pour leur communication sur les différents réseaux de télécommunication qui se connectent à ces réseaux. Cette rupture impacte donc peu notre base installée dans la mesure où il suffit de changer le modem sans toucher au RTU ». Quant à la gamme d’automates de télégestion SCADAPack, elle est optimisée pour les applications IP et sait s’intégrer à de nombreux réseaux de communication, notamment les radios Trio ou encore les réseaux mobiles 3G. Son Software fait actuellement l’objet d’une mise à niveau qui la rendra plus ergonomique tout en permettant d’utiliser les mêmes outils de programmation que l’ensemble de la gamme d’automatismes industriels du constructeur, avec les mêmes fonctionnalités. « Le fait d’utiliser la même plateforme de programmation Unity Pro de l’usine au poste distant est intéressant pour les clients comme pour les installateurs », souligne Laurent Druo. Cette évolution, effective sur la gamme SCADAPack 500, le sera en 2019 pour le SCADAPack 300, et en 2020 pour la gamme ScadaPack 100.
Le S4W de Lacroix Sofrel s’insère dans un écosystème visant à sécuriser l’exploitation.

L’usage du protocole Internet (IP) dans la gestion des métiers client permet une simplification des communications et des connexions associées. Le support de communication IP facilite ainsi le portage de protocoles différents. Pour répondre à cette convergence IP des nouveaux supports de communication et des métiers, Mios a développé depuis de nombreuses années une gamme de produits MiosCube conçue nativement en IP. Les produits issus de cette gamme communiquent donc sur les supports filaire IP (TCP/IP) et/ou sans fil (3G/4G/LORA/868 MHz) avec une alimentation PoE+ si nécessaire. Cette gamme est destinée à faciliter l’émergence des services numériques grâce à une approche R2S (ReadytoServices). Tous les produits MIOS sont composés d’une couche logicielle de protection des données permettant de garantir la sécurité du capteur jusqu’à la supervision et intègrent les applications métiers telles que le contrôle d’accès, le smart metering, la VOIP,….

Chez WIT, la dernière gamme d’automates REDY permet une réelle ouverture via une API http de type REST utilisant le format JSON. Une première application développée par WIT est déjà disponible pour l’exploitation d’un poste de relèvement depuis un smartphone ou une tablette en local via une connexion Wi-Fi ou à distance grâce à un média IP (3G/4G, ADSL).

Issu du monde de la télégestion RTC et GPRS, eWON a évolué en même temps que les technologies de communication. Avec le Flexy, la télégestion est devenue modulaire et évolutive grâce à des cartes d’extension (3G+, 4G…) qui viennent directement s’insérer sur le modem.

L’Edgeware EW-X400 d’IT Mation est un RTU complet (entrées-sorties TOR et ANA, écran tactile, liaisons série et CAN, Ethernet, modem 3G pentabandes, batterie et chargeur intégrés) orienté internet des objets ; l’utilisation du protocole MQTT de type infrastructure assure de bonnes performances, une frugalité en bande passante et sécurité et intégrité de la transmission des données.

JS automation, distributeur de la marque Seneca, au travers de sa gamme de passerelles/routeurs VPN, permet de rendre les installations prochainement obsolètes, en installations “UpToDate”. Pour cela, il est possible, entre autres, d’utiliser le Z-PASS2 qui permet une liaison simple avec les équipements locaux (via du Modbus par exemple) et le système supérieur tel qu’un superviseur comme zenon, ou même une solution Cloud. Cette liaison se fera via du filaire en Ethernet et/ou par les airs en 3/4G. Ce module intègre également un automate logiciel qui est Straton (répondant à la norme CEI 61131-3). Seneca a fait le choix, comme d’autres constructeurs, d’utiliser un standard.
ASEM, également distribué par JS automation, offre au travers de sa nouvelle solution, UNIQLOUD, la possibilité de rendre les installations 4.0. Pour cela, la passerelle GR10/11 permet de répondre à deux problématiques : la téléassistance sécurisée et l’envoi des données dans le cloud via les protocoles MQTT et AMQT.
Les solutions proposées par Technilog, Mios, PL SYSTEMS UNITRONICS, Ixel ou encore IP Systèmes avec TBox ou l’IP-Control, ont également été développées nativement en IP. Chez HMS, la plateforme eWon Netbiter Argos, basée sur le cloud, propose un point de déploiement, une configuration et une présentation des données centralisés. La passerelle EC310 propose un accès sécurisé aux équipements industriels protégé par pare-feu sans ouvrir de ports pour le trafic entrant. La passerelle communique via Ethernet et évite l’utilisation d’adresses IP fixes et publiques, ainsi que de tunnels VPN tiers.


Les offres sur les différents supports de communication sont très larges et vont continuer à s’élargir. « On tend vers un continuum du SDSL à fort débit et à forte garantie de service jusqu’au LPWAN très bas débit, précise Didier Bruneau chez Technilog. Il faut prendre en compte le besoin d’une optimisation qui va devenir continue des moyens de communication ».
L’Edgeware EW-X400 d’IT Mation est un RTU complet orienté internet des objets ; l’utilisation du protocole MQTT de type infrastructure assure de bonnes performances, une frugalité en bande passante sans oublier la sécurité et l’intégrité de la transmission des données.

Avec, à la clé, des mutations encore plus profondes. « L’émergence des solutions IoT peut permettre de pallier les coûts d’installation des équipements de télégestion, souligne ainsi Damien Ferrant chez Fluksaqua. La particularité est que chaque type de solution IoT transmet les données vers des plateformes propriétaires. On passe ainsi du contrôle et de l’acquisition de données (SCADA dans une usine) à une solution d’agrégation de données provenant de sources hétérogènes, pas complètement standardisées, par des modes de communications variés. La solution qui saura agréger les données de ces différents systèmes prendra la suite des SCADA d’aujourd’hui en matière de télégestion ».

Reste que l’intégration de plus en plus marquée de l’informatique dans les métiers de l’eau pose une vraie question de compétence. « L’informatique industrielle n’est ni le métier des exploitants, ni le métier des DSI qui gèrent avant tout les postes bureautiques, souligne Damien Ferrant, chez Fluksaqua. Les intégrateurs eux-mêmes doivent adapter leurs méthodes de travail aux contraintes informatiques qui jusqu’alors ne les concernaient pas directement ».

Par ailleurs, la généralisation des connexions permanentes dans le monde de la télégestion va rendre encore plus prégnante la nécessité de se protéger contre les cyberattaques.

Se protéger contre les cyber-attaques

Une évidence qui vaut tout de même d’être rappelée : le passage en IP ne génère pas, en termes de sécurité, que des points négatifs. Ainsi, une interruption du service en RTC ou en GSM-Data n’est perceptible, au plus tôt, qu’au moment où la communication doit être établie alors que la communication en IP permet un contrôle permanent de l’état de liaison. C’est un aspect important sur les installations sensibles, notamment en eau potable par exemple. « C’est dans ce contexte qu’un protocole IoT comme MQTT montre ses avantages, souligne Gilles Nguyen, IT Mation. Reposant sur TCP/IP, ce protocole qui date de 1999 et qui est maintenant open source, propose des services de QoS (qualité de service) et de connaissance permanente de l’état des installations et des équipements (stateful awareness). Il permet non seulement de connaître l’état de la liaison, mais aussi de l’équipement en lui même avec des métriques détaillées : Birth, Last Will and Testament (LWT), par exemple ».
Les appareils Seneca Z-PASS2, S6001, constituent une combinaison intéressante entre le monde de l’automatisation et celui du contrôle à distance et de la télégestion. Le modèle Z-PASS2, avec modem 3G+/4G LTE, fonctionne également comme un routeur, DynDNS Server et redondante de communication. L’une des principales innovations de la plate-forme est l’intégration des fonctions d’accès à distance avec celles de l’automatisme Straton répondant à la norme IEC 61131-3

De même, l’accroissement des performances dû à des rafraîchissements plus fréquents peut permettre de sécuriser la gestion d’installations sensibles.

Mais le passage de communications locales et ponctuelles à des communications permanentes et potentiellement visibles depuis l’Internet, la multiplication des réseaux de communication, des objets connectés provoque une multiplication des portes d’entrées des systèmes et créent sans cesse de nouvelles failles dont il faut se protéger.

En mettant d’abord en œuvre un ensemble de bonnes pratiques. Le simple bannissement des identifiants et des mots de passe par défaut, des ports USB non protégés, ou de petits automates équipés de petits serveurs web embarqués dépourvus d’accès spécifique, permet de réduire le niveau de risque sans présenter de coût trop important. Ensuite, la mise en œuvre de produits assez simples tels que des pares-feux permettent de diminuer un peu plus encore les risques d’intrusion. C’est par exemple le cas des produits mGuard de Phoenix Contact, simples à mettre en œuvre, qui contiennent des fonctionnalités de pare-feu, de routage et VPN et assurent une télémaintenance sécurisée via des réseaux publics.

Reste que ces mutations doivent être anticipées. « Les changements technologiques imposés permettent d’optimiser les coûts de nos clients mais nécessitent des modifications techniques des installations, témoigne Denis Lies, Président de Tricot SAS, une société d’électricité industrielle et d’automatisme de l’Est de la France. D’autres problématiques apparaissent qui ne sont pas toujours anticipées par nos clients. Le fait de passer sur des réseaux dit “informatiques” nécessite d’étudier et de mettre en place des solutions de cybersécurité sur les installations ainsi que sur les systèmes de gestion des données. Lorsque nous sommes amenés à migrer des installations, nous évaluons avec nos clients, les risques liés à la sécurité des données. Les intrusions informatiques et les virus, de plus en plus perfectionnés, démontrent qu’il est impératif de protéger les installations. La prise de conscience chez les clients est présente mais le développement des solutions prend du temps et peuvent s’avérer onéreuses. Dernièrement, nous avons migré un parc d’une vingtaine de postes de télégestion vers des liaisons de type GPRS pour le compte d’un syndicat des eaux. Nous avons dû étudier et installer des systèmes de protection informatique avant la migration des postes. Notre mot d’ordre est “évaluer avant d’évoluer”. Même s’il n’existe pas de solutions parfaitement hermétiques aux attaques informatiques, les risques sont largement réduits ».


La méthode de déploiement a bien sûr son importance. « Sur un projet global de migration, le déploiement est toujours délicat, souligne Didier Bruneau chez Technilog. Il faut assurer la continuité de service pendant le temps des interventions sur site. En fonction des contraintes venant du terrain, il faut mettre à jour les postes centraux avant de commencer la migration, si possible avec des outils qui permettent le changement de canal indépendamment du reste (protocoles, modèles…) comme le permet notre produit DevI/O ».
Côté systèmes, les fabricants d’outils de télégestion ont très tôt pris en compte la dimension cybersécurité. Le S4W de Lacroix Sofrel s’insère ainsi dans un écosystème visant à sécuriser l’ensemble de l’exploitation. Le serveur VPN SG4000 gère et sécurise les communications utilisant l’internet public. Le logiciel S4-View permet de consulter les données gérées par S4W et le diagnostic de ses équipements à distance. S4-Manager est un outil d’administration centralisée des utilisateurs et configurations du réseau de télégestion. Enfin, S4-Keys, outil de création de certificats, complète le dispositif.
Avec l’EW-X400 et le protocole MQTT intégré, IT Mation propose une architecture entièrement sécurisée : transport des données avec TLS (Transport Layer Security) et certificats X509, contrôle des utilisateurs (ACL), chiffrement du payload (le message utile qui contient les données). Par ailleurs, la plateforme logicielle Edgeware repose sur Linux et dispose d’un pare-feu et du VPN OpenVPN.
La dernière gamme d’automates REDY de WIT permet une réelle ouverture via une API HTTP de type REST utilisant le format JSON.

L’ouverture au monde de l’IP ne doit pas se faire au détriment de la sécurité des accès et des données. WIT a donc intégré dans sa gamme REDY les protocoles et technologies standards répondant aux nouvelles réglementations en termes de cybersécurité (ISO27001, RGPD, LPM) et notamment le protocole LDAP qui permet de s’interfacer avec un annuaire centralisé de l’entreprise cliente. « L’utilisation de ce protocole permet de renforcer la sécurité de la gestion des utilisateurs et de leurs accès aux automates », explique Paul Raad, Directeur des ventes chez WIT. De même, l’automate REDY utilise un système d’exploitation qui intègre des fonctions de sécurité natives (cryptage, firewall, journal des connexions, …) et évolutives permettant le déploiement de mises-à-jour en cas de détection de failles. Par ailleurs, et dans le cadre des renouvellements massifs des installations prévus dans la perspective de changement des moyens de communications (RTC, GSM data CSD), WIT a développé un service de gestion et d’aide à la maintenance de parc d’automates. Cette solution peut être proposée en mode SaaS ou installée sur une infrastructure propre. « Elle optimise le temps de mise en service de nos automates grâce à la possibilité de déploiement massif de versions logicielles et d’applicatifs, souligne Paul Raad. De même, elle permet de piloter à distance les opérations liées à la maintenance des automates : suivi des états des équipements, planification de sauvegardes automatiques récurrentes des programmes et des versions logicielles des automates sur un serveur centralisé ».

La gamme Z-PASS, mais également le S6001, le MiniRTU répondent aussi aux exigences nouvelles de sécurités. Les liaisons établies via l’Open VPN intègrent sécurité et cryptographie réseau. De nombreux acteurs de marchés sensibles tels que l’eau et l’énergie utilisent cette solution. « Grâce à Straton, nous sommes une référence dans la télégestion de smartgrid et de boucle CEI61850 » souligne-t-on chez JS Automation.


Schneider Electric a également très tôt pris en compte la dimension cybersécurité au sein de ces architectures. « Notre gamme SCADAPack utilise le protocole de télégestion normalisé DNP3 (Distributed Network Protocol) qui intègre un certain nombre de mécanismes de cybersécurité tels que le DNP3 SA (Secure Authentification) qui émet des clés de sécurité entre le maitre et l’organe distant, explique Martin Degrave, Ingénieur Commercial chez Schneider Electric. Il évolue actuellement vers le DNP3 TLS, un protocole permettant de crypter les échanges entre un site distant et une supervision, et même entre deux sites distants. Ces protocoles évoluent régulièrement pour prendre en compte les derniers standards de cybersécurité ». Schneider Electric dispose également d’un service dédié, NEC (Network Engineering and Cybersecurity), lequel propose aux clients des services étendus en matière de cybersécurité. « Ces services vont de l’audit à l’implémentation de solutions en passant par l’identification des vulnérabilités sur tous types de réseaux informatiques, explique Martin Degrave. Nous effectuons régulièrement, pour le compte d’OIV dans le secteur de l’eau, des tests de robustesse et des mises en œuvre d’architectures cybersécurisées pour verrouiller au maximum leur système industriel ». Tous les systèmes industriels sont concernés, puisque tous, indépendamment de leur taille, sont exposés aux mêmes menaces avec les mêmes conséquences potentielles.