Être toujours plus simple à utiliser tout en étant plus performant et plus ouvert pour fournir de nouveaux services et s’interconnecter avec des applications connexes à la gestion de l’eau. Et en même temps, durcir les applications pour éviter les failles de sécurité. Les outils de supervision sont confrontés à des paradoxes qui leur imposent de répondre sans cesse à de nouveaux usages et à de nouvelles exigences, notamment en matière de sécurité. Comment les éditeurs répondent-ils aux enjeux de cybersécurité ? Quelles sont les bonnes pratiques à respecter dans le cadre de l’utilisation de ces outils ou dans leurs interactions avec leur environnement d’exploitation ?
Peu d’outils, dans le domaine de l’eau, ont autant évolué que les superviseurs ces dernières années. Il n’y a pas si longtemps, le rôle d’un outil de supervision se limitait à alerter l’administrateur d’une anomalie sur la chaîne de traitement ou de l’indisponibilité d’un équipement. Puis d’en définir les impacts en détaillant les mesures correctives à adopter. Ensuite, on s’est aperçu que l’administrateur de la supervision devait fournir des éléments d’analyse afin de contrôler la performance des installations sur le long terme. Le développement conjoint de la métrologie, de l’instrumentation et des automatismes a permis de répondre à cette demande et a entraîné une multiplication des points d’acquisition et de mesure, ouvrant la voie à la constitution d’historiques permettant de suivre les performances des équipements sur le terrain. Puis de nouveaux protocoles de communication sont apparus qui ont permis d’interroger un nombre toujours plus important de capteurs de niveau, de débit, les préleveurs d’échantillons et autres loggers… Dans le même temps, les superviseurs ont dû s’ouvrir à des applications tierces toujours plus nombreuses. Puis offrir des solutions de mobilité. L’essor du big data, du cloud et des objets connectés a fini de placer la supervision au cœur de la conduite des installations sur les gros mais aussi sur les petits ouvrages. Car tous en conviennent, on assiste à un élargissement considérable du nombre d’équipements capables de collecter, voire même de traiter localement les données. « Là où on traitait 1.000 informations il y a 10 ans, on en traite 5.000 aujourd’hui », souligne Fabien Rigaud, Marketing Communication Manager chez ARC Informatique.
.jpg)
Un élargissement considérable du nombre de données à traiter
« Il y a quelques années, l’architecture la plus courante se limitait bien souvent à quelques automates chargés d’interagir avec une supervision, confirme Jean-François Ducourtioux chez Technilog. Aujourd’hui, et même sur les applications les plus simples, le nombre d’équipements capables de collecter les données sur le terrain a augmenté autant qu’il s’est diversifié ». « On observe chez la plupart des constructeurs une tendance à fournir de façon systématique des serveurs web embarqués qui permettent de se connecter à l’équipement, de le paramétrer, de le maintenir et finalement d’en tirer le meilleur parti, renchérit Pierre La Marle, P.D.-G. d’Areal. Ce foisonnement entraîne un accroissement très important d’applications auxquelles les outils de supervision doivent savoir se connecter ». Dans le secteur de l’eau, les superviseurs ont très tôt dû prendre en compte les outils de télégestion développés par Lacroix Sofrel, Aqualabo Contrôle (Perax) ou Wit qui permettent de télécontrôler des installations géographiquement dispersées, de télé-mesurer les valeurs physiques essentielles (débit, niveau, pression) et de mettre en place une télésurveillance pour veiller au bon fonctionnement des ouvrages. Mais de nouveaux objets sont apparus sous l’impulsion d’acteurs tels que Ijinus, Mios, IP Systèmes, Connit ou encore nData, exploitant de nouveaux supports de communications pour développer des applications spécifiques. La conséquence ? « Des besoins encore plus importants en matière de centralisation, comme le souligne Pierre La Marle chez Areal. Le développement de capteurs intelligents et des applications associées a modifié sensiblement le rôle des exploitants qui doivent peu à peu passer d’une logique d’exploitation d’un équipement à une autre logique basée sur l’exploitation mais aussi sur l’analyse des données transmises ». Les besoins évoluent donc, et avec eux les outils de supervision qui tendent à devenir tout à la fois plus simples et plus ouverts.
Des outils tout à la fois plus simples plus ouverts
« La supervision avec des protocoles maison ou propriétaires est en entrain de disparaître, souligne Fabrice Renault, directeur du segment eau et énergie urbaine pour Schneider Electric en France. Aujourd’hui, la supervision doit être capable de se connecter à de multiples applications tierces. Elle doit donc être agnostique vis-à-vis des équipements qui se trouvent en dessous, aussi bien que vis-à-vis des systèmes qui se trouvent au dessus. Ce phénomène s’accélère avec le développement de l’IoT et des réseaux Sigfox ou Lora. Notre plateforme Wonderware s’inscrit dans cette dynamique en étant agnostique vers le bas comme vers le haut pour répondre à toutes les problématiques ». Cette plus grande ouverture des outils permet de suivre l’évolution des besoins des utilisateurs qui recherchent des produits tout à la fois plus complets et plus homogènes. « Aujourd’hui, la supervision dans le monde de l’eau n’est pas différente en France, en termes de besoins, de ce qu’elle est à Djakarta ou bien à New-York. L’heure n’est plus aux outils dédiés, les clients recherchent des outils standards capables de répondre à toutes les problématiques. On observe un certain retour vers les standards qui permettent d’être plus homogène et plus efficace » explique Fabrice Renault.
« Dans le domaine de l’eau, les exploitants sont confrontés à des besoins relativement stables et bien identifiés, confirme Antonio Gil, Responsable technique avant-vente chez Codra. On note cependant une appétence particulière par rapport à tout ce qui touche à l’analyse différée, c’est-à-dire à l’archivage des données ainsi qu’au reporting. Mais l’évolutivité du produit reste un sujet central, c’est pourquoi tout est intégré au sein de Panorama. C’est une solution complète, tout en un, et prête à être utilisée qui intègre de façon native l’ensemble des besoins fonctionnels des exploitants ». Pas besoin d’ajouter de modules complémentaires donc, le produit s’adapte aux besoins sans être limité en termes d’évolution. La programmation objet, au cœur de la conception de Panorama, permet de construire des composants complets en les réutilisant facilement. « La possibilité de réutiliser des composants d’architecture ou des composants fonctionnels séduit beaucoup les exploitants à la recherche de simplicité et d’efficacité, souligne Antonio Gil. C’est aussi intéressant en termes de ROI, dans la mesure où beaucoup d’exploitants sont aujourd’hui tenus de faire plus avec moins ».
.jpg)
Le poids des contraintes budgétaires est confirmé par Pierre La Marle chez Areal : « Les tensions budgétaires persistantes entraînent des rationalisations, voire des restructurations qui impliquent des charges de traitement plus importantes ». Les outils doivent donc être plus puissants et plus aboutis. Ils doivent permettre de traiter plus de choses avec moins de monde, et de façon plus rationnelle. Pour répondre à ces enjeux tout en gagnant en facilité d’utilisation, Areal a proposé avec la nouvelle version 6.0 de Topkapi un serveur web 100 % compatible HTML5. « Auparavant, on recourait de manière assez naturelle aux architectures en clients lourds qui reposent sur un soft qu’il faut installer sur chaque machine en la raccordant au serveur, explique Pierre La Marle. Les exploitants ne le souhaitent plus, tout comme les DSI pour des raisons de sécurité. Avec cette nouvelle solution, l’usage de clients lourds est réduit à un nombre restreint de machines. Sur la grande majorité du parc matériel de consultation et de conduite, aucune installation n’est plus nécessaire, ni à l’origine, ni lors de mises à jour de version. Il suffit de saisir une URL ou de cliquer sur un lien pour accéder à Topkapi ». La version 6 de Topkapi s’adresse aussi bien à de petites entités grâce sa facilité d’emploi qu’aux exploitations plus importantes puisqu’elle permet de s’adresser à plusieurs dizaines de postes serveurs de supervision.
Elle s’appuie sur le serveur IIS de Microsoft Windows et utilise les dernières technologies Web (HTML5, Ajax, JavaScript, Json, Jquery mobile…) pour proposer une navigation fluide. Le navigateur Web met en cache les éléments statiques de l’application et émet des requêtes asynchrones vers le serveur pour rafraîchir les données en temps réel. « Ce mode de fonctionnement diminue les temps de latence et permet de s’affranchir des rechargements intempestifs de pages en augmentant la réactivité des consultations, explique Pierre La Marle. De ce fait, le confort d’utilisation reste constant, même sur des réseaux bas-débit ». Topkapi HTML5 a été développé pour s’adapter à l’environnement informatique du client quelles que soient ses contraintes. Une attention particulière a été portée aux écrans tactiles en prenant en compte les contraintes liées aux tailles d’écran et aux interactions utilisateurs liées à ce type d’équipements.
Des solutions intégralement conçues pour le web
Cette technologie 100 % web, IT Mation la propose depuis 2003 avec Ignition, une solution intégralement conçue pour le web. « Cette particularité s’est accentuée en 2010 à l’occasion de la refonte du produit dans son ensemble et l’intégration d’OPC-UA (TCP binaire avec encryptage et authentification) comme protocole de communication privilégié » explique Gilles Nguyen, Business Developer chez IT Mation. Agnostique par rapport au système d’exploitation et au matériel utilisé, Ignition est une plateforme modulaire adossée à une base de données relationnelle qui permet de gérer la supervision à partir d’un seul point en lançant autant de clients d’exploitation et de développement, sans installation sur les postes clients. « Le casse-tête des installations, c’est du passé, souligne Gilles NGuyen, Vous n’avez besoin que d’un navigateur web et de Java. Notre licence est illimitée quel que soit le nombre d’utilisateurs, de variables ou de projets ». L’outil peut donc gérer aussi bien les petites infrastructures que les grandes, même si le coût forfaitaire de la licence (15 k€) ne la prédestine pas a priori aux applications modestes de types mono-client à faible nombre de variables. Ignition, qui intègre désormais de façon native tous les protocoles de télégestion, compte une dizaine de références en France dans le domaine de l’eau et plusieurs centaines dans le monde sur des installations allant jusqu’à 700.000 EH.
.jpg)
Ces solutions 100 % web permettent également de satisfaire aussi un spectre de besoins plus large. Pour répondre aux attentes d’exploitants à la recherche de solutions légères ou peu coûteuses, Technilog a développé Web I/O, une solution de supervision en mode cloud qui repose sur des widgets associés à des fonctionnalités permettant de superviser, contrôler et suivre un parc d’équipements hétérogène (IoT, automates, GTB/GTC). « Cette solution s’adresse à des exploitants ayant des besoins limités ou ne souhaitant pas administrer tout l’environnement d’un produit classique de supervision, explique Jean-François Ducourtioux, Directeur des Opérations chez Technilog. Accessible et facile d’utilisation, elle offre à l’utilisateur la possibilité de modeler son interface comme il le souhaite par le biais des widgets ». Tarifée 1 euro par an et par variable, elle se veut accessible, sécurisée et déployable rapidement, et s’adresse prioritairement aux collectivités de petite ou moyenne taille qui ne disposent pas toujours des moyens nécessaires pour acquérir un outil classique de supervision ou dont les besoins ne nécessiteraient que l’utilisation d’une faible proportion des fonctionnalités proposées par un superviseur classique. « Les outils classiques de supervision sont excellents, mais bien souvent, pour 1 euro de produit, vous avez pour 3 à 5 euros de service, explique Jean-François Ducourtioux. Ce n’est pas la logique de Web I/O dont le business model ne repose pas sur le service. Pour 1 euro de produit, vous avez pour 0,50 euros de service ». Les marchés sont différents et tendent à se fragmenter à mesure que les offres se diversifient. « Dans le domaine de la supervision, le cloud entre cependant par la petite porte » reconnaît Jean-François Ducourtioux.
La sécurité est un autre enjeu qui mobilise les éditeurs soucieux d’aider leurs clients à développer une stratégie de sécurité efficace.
Développer une stratégie de sécurité efficace
Les cyberattaques sur les infrastructures critiques sont en hausse et deviennent une préoccupation croissante partout dans le monde. Les systèmes de traitement de l’eau, les installations de production d’énergie et beaucoup d’autres infrastructures critiques sont devenues la cible de hackers mal intentionnés. Ces systèmes sont touchés par différentes vulnérabilités, qui vont du mot de passe par défaut, voire même du défaut de mot de passe, à des problèmes de configuration, plus rarement des anomalies des logiciels.
Parce qu’elle est issue des secteurs nucléaire et militaire dans lesquels les problématiques de cybersécurité sont prégnantes, Codra revendique une certaine avance dans le domaine. « Nous travaillons depuis plus de 5 ans avec l’ANSII qui nous accompagne dans le cadre de la qualification de nos solutions, explique Antonio Gil. La nouvelle version de Panorama suite 2017 intègre donc des fonctions internes au produit qui permettent de verrouiller l’application, de renforcer la sécurité des mots de passe et des profils, ou de mettre en place une traçabilité beaucoup plus fine à travers des audits trails ». Areal participe également activement au groupe de travail dirigé par l’ANSSI sur la sécurité des systèmes SCADA. « Les développements actuels sur Topkapi prennent en compte les recommandations de l’ANSSI, explique Pierre La Marle. Dans la version 6, ils se traduisent par exemple par une signature et une authentification des exécutables et des programmes par certificat, et une protection contre la modification de ces exécutables par des tiers ». La traçabilité des actions des opérateurs est affinée, de même que celles des sessions et des modifications de configuration. Les rôles d’administrateurs ont été limités pour éviter la propagation sans contrôle de droits d’administration. Quant à la connexion entre le client Web et le serveur Web, elle est sécurisée (https), de même que celle entre le serveur Web et Topkapi (WCF, certificat).
IT Mation souligne de son côté la fiabilité de son approche 100 % web qui repose sur un unique point d’entrée matérialisé par un serveur éventuellement redondant, en opposition à la multiplicité de serveurs et de clients des SCADA traditionnels qui constituent autant de points d’entrées à protéger. « Notre solution, dont l’ensemble des modules qui la constituent sont signés, permet de se concentrer sur une seule entité physique ou logique explique Gilles NGuyen. Le protocole MQTT (Message Queue Telemetry Transport) pour la publication et l’abonnement et HTTPS pour la publication offrent aujourd’hui les mêmes niveaux de disponibilité et de service que les protocoles propriétaires ».
En matière de sécurité, Technilog travaille de son côté sur plusieurs axes, à commencer par l’acquisition des données avec le développement d’un produit baptisé Dev I/O, capable de prendre en charge les ruptures de protocole qui rendent les attaques plus compliquées. L’outil permet également de se connecter à des SIEM (Security Information and Event Management) qui permettent de détecter, au sein de tous les étages d’une infrastructure industrielle (Automates, routeurs, frontal de communication, SCADA), des comportements anormaux via la consolidation croisée d’un grand nombre d’évènements. L’environnement cloud fait également l’objet d’un soin particulier, notamment le choix du serveur. « La première des choses, c’est de s’assurer que la plateforme que l’on a choisie est conforme aux règles de sécurité pour s’appuyer sur la sécurité présente au sein même de la structure d’hébergement », souligne Jean-François Ducourtioux.
Reste que le durcissement des outils ne fait pas tout. La mise en œuvre d’une stratégie de sécurité efficace passe aussi par le développement de bonnes pratiques.
.jpg)
Soigner les méthodologies et les bonnes pratiques
« La mise en place de méthodologies permettant une amélioration des pratiques est essentielle, comme le souligne Antonio Gil chez Codra. Nous attachons une grande importance à ces questions, c’est pourquoi nous avons réalisé un gros travail documentaire à destination de nos clients pour leur expliquer comment ils doivent sécuriser leur installation en suivant les recommandations et parfois les exigences de l’ANSSI, même si celles-ci sont variables en termes de criticité ». Les aspects méthodologiques sont donc essentiels. « Pour qu’ils ne soient pas négligés, il faut veiller à ce qu’ils soient adaptés aux usages et aux contraintes du métier », insiste Antonio Gil.
Un point de vue partagé par Fabien Rigaud chez ARC Informatique : « Comme beaucoup de nos confrères, nous nous sommes attachés à construire une offre PcVue plus respectueuse des règles proposées ou imposées par l’ANSSI pour les opérateurs d’importance vitale (OIV). Mais au-delà de l’outil lui-même, son environnement doit faire l’objet de soins attentifs, de même que les pratiques des exploitants. C’est la raison pour laquelle nous avons noué un accord avec Sentryo qui offre aux exploitants la possibilité de cartographier leurs environnements Ethernet industriels, en identifiant les vulnérabilités et les zones de risques de leurs réseaux et en leur offrant des solutions permettant de protéger les périmètres sensibles ». Car tous les professionnels en conviennent : au sein des exploitations, les conseils de sécurité de base qui semblent aller de soi et permettraient d’éviter les menaces de cybersécurité les plus courantes, ne sont pas toujours appliqués. De nombreux exploitants pensent encore à tort qu’ils ne seront jamais la cible de hackers. Pourtant, suivre les bonnes pratiques de sécurité, même les plus basiques, permettrait de se prémunir de la majorité des attaques. Un lieu commun vaut tout de même d’être rappelé : l’humain, les failles de sécurité et les vulnérabilités de base sont les premières portes ouvertes.
En matière de sécurité, le besoin de supervision s’étend aujourd’hui à l’ensemble de l’infrastructure OT, c’est pourquoi Rockwell Automation déploie un portefeuille de produits et de services dans le cadre d’une ingénierie globale des risques liés à la sécurité (Defense in Depth). Cette approche repose sur le fait que chaque mesure de protection à vocation à être vaincue, d’où la nécessité de mettre en place plusieurs niveaux de protection par l’association de moyens physiques, électroniques et de procédures très précises. À la manière d’une banque qui utilise plusieurs mesures de sécurité telles que des caméras vidéo, des gardiens et des coffres, cette approche permet de faire face aux menaces avec plusieurs lignes de défense.
.jpg)
Les contraintes liées à la cybersécurité n’empêchent pas les outils de supervision d’évoluer sous la double pression des besoins, en constante évolution, servis par de nouvelles technologies.
Des besoins en constante évolution, servis par de nouvelles technologies
« Nous allons réaliser encore plus de développements pour proposer des outils encore plus simples », indique Pierre La Marle chez Areal. Le paradoxe n’est qu’apparent. La simplification des outils passe par le développement de fonctionnalités libérant les utilisateurs de tâches répétitives.
À plus long terme, Gilles Nguyen, IT Mation, voit des évolutions importantes liées à l’évolution des besoins, des usages, et au développement de protocoles de communication propres à l’Internet des objets. « Les centres de contrôles importants vont peu à peu s’alléger au fur et à mesure que des fonctionnalités aujourd’hui centrales deviendront peu à peu natives, entraînant une évolution des indicateurs utilisés, et un déplacement de la valeur vers le service rendu par l’installation, explique-t-il. L’essor de protocoles liés à l’Internet des objets permettra de substituer aux connexions point à point de vraies infrastructures, interopérables, sécurisées, et économes en bande passante ».
Un point de vue partagé par Fabien Rigaud, ARC Informatique, pour qui l’IoT ne se substituera pas forcément aux automatismes actuels. « Nous croyons plutôt au développement de systèmes hybrides avec des infrastructures plus intelligentes car gérées tout à la fois en contrôle-commande classique et en instrumentation IoT ».
L’IoT est bien sûr un sujet pour tous les éditeurs. « La question n’est pas de s’interfacer avec ces objets, nous savons tous le faire depuis longtemps, indique Antonio Gil, Codra. L’idée est plutôt de réfléchir sur des services ou des nouveaux outils qui permettraient à l’exploitant d’optimiser ses ressources ». Reporting, maintenance prédictive, business intelligence sont les axes de développement les plus cités.
Alimenté par les systèmes et les matériels existants (SCADA, compteurs, capteurs et automates), Elutions offre aux exploitants l’occasion de tirer parti des investissements déjà consentis en atténuant les risques et créant un milieu de travail plus efficace grâce à une sensibilisation opérationnelle. Maestro™ n’est pas une simple interface présentant des barres graphes, camembert ou autres mises en forme analytique : il génère de façon automatique des scénarios de fonctionnement permettant d’approcher l’excellence énergétique en identifiant et en corrigeant automatiquement les anomalies opérationnelles et les inefficiences en temps réel. L’ensemble des économies potentielles ou réalisées sont quantifiées et chiffrées, ce qui permet à Elutions de s’engager sur des résultats et de proposer un mode de financement uniquement basé sur les économies réalisées. Ce nouveau “Business Modèle” apporte aux exploitants la garantie d’un risque zéro dans la mise en place une solution d’optimisation énergétique en mode “Cloud Service”.
Les solutions mobiles sur lesquelles reposent de nombreux outils développés par Schneider Electric, Rockwell Automation, Wonderware, Elutions ou Aréal, devraient également se diversifier et gagner en interopérabilité. ARC Informatique a ainsi développé une solution brevetée, la mobilité contextuelle, qui permet de pousser l’information utile en fonction de la position géographique de l’utilisateur mais aussi de ses besoins. « La supervision requiert désormais un système présentant pro-activement et de manière sécurisée, la bonne information, à la bonne personne, au bon endroit et au bon moment, explique Fabien Rigaud. La mobilité contextuelle permet à l’opérateur mobile de disposer d’une interface intelligente sur son mobile affichant automatiquement et sans navigation complexe des informations pertinentes en fonction de sa position et de son rôle ». Ce système de mobilité contextuelle s’interface naturellement avec PcVue mais aussi avec n’importe quel autre produit du marché. Les premiers déploiements ont été réalisés en Chine dans le transport et à Taïwan dans le domaine de la gestion de l’eau.
Chez IT Mation, les nouveaux usages sont variés et suivent l’adoption des technologies par les entreprises : fonctionnement dans le cloud, on-premise ou hybride, utilisation de microservices de type container, intégration des données issues de LoRa/Sigfox/MQTT aux côtés des données temps réel et en bordure de réseau (Edge Computing). Le traitement des données localement en bordure de réseau gagne en popularité, comme le fait Ignition Edge qui s’exécute sur de toutes petites configurations comme de l’ARM (Edgeware X400, Hilscher netIP, Moxa UC8100, Advantech UNO 2271, Opto 22 Groov…) tout en permettant une mise en réseau automatique, sécurisée et efficace, comme tout objet IoT en résumé.
Le Edge Computing permet de moderniser à faible coût des installations, d’économiser de la bande passante vers le cloud et du stockage, ce qui garantit des économies importantes.
Les usages pourraient également évoluer, notamment les modes Saas, déjà mis en œuvre par Wonderware inTouch, Technilog ou Clever Technologies. ARC Informatique y réfléchit également. « Les exploitants y étaient réticents, mais les perceptions évoluent. Ils s’aperçoivent que gérer l’IT, l’installation et la maintenance des superviseurs peut parfois s’avérer contraignant ». En Italie, ARC Informatique a développé une offre en mode Saas qui repose sur un partage de ressources multisites permettant à de petites communes de superviser leurs ouvrages sur un espace propre. La formule, qui repose sur une mutualisation des coûts, contribue à rendre la supervision accessible à des petits budgets. C’est aussi une réponse aux tensions budgétaires qui touchent les collectivités plus importantes.
La convergence de la supervision avec les métiers de l’IT pousse les outils de supervision à se virtualiser pour se fondre dans cette maquette numérique qui est en quelque sorte le jumeau virtuel de l’usine du futur. Schneider Electric est entrain de déployer un démonstrateur reposant sur une supervision totalement connectée avec les métiers de l’IT. « Cette solution est déjà déployée sur l’une de nos usines, explique Fabrice Renault. Nous la présentons actuellement aux premiers opérateurs de l’eau ».
