Étude de cas cybersécurité machine – CRA

✅ Périmètre : Automates ligne assemblage, robots/cobots, convoyeurs, AGV/AMR, capteurs/actionneurs, réseaux Profinet, EtherNet/IP, Modbus TCP, Ethercat

IAC – Authentification : contrôle d’accès physique renforcé…
UC – Contrôle d’usage : procédure LOTO stricte …
SI – Intégrité : baseline configuration …
DC – Confidentialité : chiffrement …
RDF – Isolation réseau : LAN séparé, diode unidirectionnelle …
TRE – Réponse événements : IDS passif…
RA – Disponibilité : ne rien toucher au SIS existant…
Mesure compensatoire clé : surveillance périmétrique passive …

✅ Accès automates (programmation, diagnostic) :

◆ Comptes nominatifs logiciels engineering : TIA Portal, Studio 5000, Control Expert, TwinCAT
– Pas de compte partagé « maintenance » (traçabilité individuelle obligatoire)
– Intégration Active Directory si possible (SSO, gestion centralisée)
– Logs connexions : qui a connecté quel automate, quand (audit trail)

◆ Mot de passe automate activé :
– Siemens S7-1500 : protection accès CPU (read/write/full), Know-how protection blocs
– Rockwell ControlLogix : Source Key protection (empêche lecture programme sans clé)
– Schneider M340/M580 : Security Editor (4 profils : Operator, Maintenance, Engineer, Administrator)
– Beckhoff TwinCAT : User management avec droits granulaires

◆ Pas de MFA native automate legacy :
– Automates anciens (S7-300, vieux CompactLogix) : pas d’auth individuelle → mesures compensatoires :
– MFA au niveau Jump Server (bastion pour accès automates)
– MFA stations engineering (Windows Hello, Duo, Azure MFA)
– Contrôle accès réseau (firewall whitelist IP sources autorisées)

✅ Accès physique contrôlé :

◆ Armoires automates verrouillées : clés tracées (registre manuscrit ou électronique)
◆ Logs accès physiques : badge RFID entrées ateliers, caméras zones automates (si sensible)
◆ Stations engineering sécurisées :
– Stockage salle dédiée (pas en atelier production, risque vol/sabotage)
– Verrouillage automatique session (timeout 15 min inactivité)
– Chiffrement disque dur (BitLocker, VeraCrypt)

✅ Authentification réseaux terrain (protocoles industriels) :

◆ Profinet avec DCP Security (Siemens TIA Portal V17+) : authentification équipements, pas par défaut legacy
◆ EtherNet/IP avec CIP Security (Rockwell ControlLogix 5580+) : chiffrement TLS, authentification certificats
◆ Modbus TCP non sécurisé : acceptable en brownfield si réseau isolé firewall (pas de chiffrement natif)
◆ Segmentation réseau = sécurité principale : VLAN, firewall (protection périmétrique prioritaire vs protocole)

✅ Limitation réaliste brownfield :

Automates anciens (S7-300/400, Premium, Quantum, vieux CompactLogix) : aucune authentification individuelle
◆ Mesures compensatoires obligatoires :
– Contrôle accès réseau strict (firewall, ACL switch, whitelist IP)
– Logging stations engineering (toute connexion tracée)
– Surveillance IDS passif (alerte téléchargement programme)
– Procédure organisationnelle : validation responsable production avant modif

✅ Gestion des rôles (RBAC – Role-Based Access Control) :

◆ Opérateur :
– Supervision IHM uniquement (lecture états production, acquittement alarmes)
– Pas de modification paramètres process, recettes, programmes
– Accès limité boutons/écrans IHM (configuration TIA Portal, FactoryTalk View)

◆ Technicien maintenance :
– Accès diagnostic automates (TIA Portal mode online, Studio 5000 monitoring)
– Pas de téléchargement programme (lecture seule, ou upload seulement)
– Modification paramètres process autorisée (setpoints, timers) avec validation

◆ Ingénieur méthodes :
– Modification programmes automates (téléchargement, debug)
– Validation responsable production obligatoire avant téléchargement
– Fenêtre maintenance planifiée (pas de modif production running sauf urgence)

◆ Administrateur :
– Gestion utilisateurs, backup/restore, configuration réseau
– Double validation pour actions critiques (reset factory, firmware update)

✅ Traçabilité actions (audit trail) :

◆ TIA Portal :
– Activation audit trail (menu Options → Settings → Audit)
– Logs : qui a téléchargé programme, bloc modifié, timestamp
– Export logs CSV/XML (archivage SIEM ou serveur fichiers)

◆ Studio 5000 :
– Logs changements dans projet (Compare tool, versioning)
– FactoryTalk View / Historian : logs actions opérateur HMI
– Logix Echo (module add-on) : enregistrement checksums programmes, détection modifications

◆ Control Expert (Schneider) :
– Versioning projets avec commentaires obligatoires (décrire modification)
– Cybersecurity Admin Expert (CAE) : audit centralisé actions (qui a connecté, modifié, téléchargé)

◆ Logs centralisés syslog :
– Automates modernes (S7-1500, ControlLogix 5580, M580) : envoi syslog serveur central
– SIEM corrélation (Graylog, Splunk) : détection actions suspectes (hors horaires, séquences anormales)

✅ Validation modifications critiques :

◆ Changement programme automate → validation responsable production écrite (email, signature papier)
◆ Test en simulation si automate le permet :
– PLCSIM (Siemens) : simulation S7-1500 sur PC avant téléchargement réel
– Studio 5000 Emulate (Rockwell) : émulation ControlLogix virtuel
– Control Expert Simulator (Schneider) : test logique hors production
◆ Fenêtre de maintenance planifiée :
– Modifications programmes uniquement arrêts production (nuit, weekend, maintenance programmée)
– Exception urgence : validation direction + documentation a posteriori
– Pas de modif en production running sauf mode « online change » validé (automates récents uniquement)

✅ Limitation accès réseau (principe moindre privilège) :

◆ Téléchargement programmes uniquement depuis stations engineering autorisées :
– Whitelist IP sources sur firewall/ACL switch
◆ Pas d’accès direct automate depuis réseau IT :
– Obligatoire passer par Jump Server OU DMZ relais
– Logs sessions Jump Server (traçabilité, rejouabilité)
◆ Blocage protocoles dangereux :
– Telnet désactivé (SSH v2 si remote nécessaire)
– FTP désactivé (SFTP ou SCP si transfert fichiers)
– HTTP désactivé (HTTPS obligatoire serveurs web automates)

 Protection programmes (baseline + surveillance) :

◆ Configuration de base sauvegardée :

–  Archive projets TIA Portal (.zap15), Studio 5000 (.ACD), Control Expert (.stu, .xef)
– Versioning Git OU serveur fichiers versionné (historique modifications)
– Stockage sécurisé : NAS chiffré, réplication offsite, backup offline
– Rétention 6-12 mois minimum (historique versions, rollback si besoin)

◆ Comparaison périodique (détection modifications non autorisées) :

– Upload mensuel manuel/scripté : récupération programme automate, comparaison vs baseline
– Scripts automatisés :
    * TIA Portal Openness (PowerShell) : upload S7-1500, compare projet (gratuit, développement interne)
    * pycomm3 (Python) : upload ControlLogix L5K, hash MD5 comparaison (open-source)
    * Control Expert API : upload Schneider, compare (inclus logiciel, scripting VBA/Python)

– Schneider M580 avec CAE : scan automatisé conformité baseline (si licence CAE disponible)
– Rapport écarts : alerte si différence détectée (investigation : légitime ou malveillant ?)

 Détection temps réel modifications (monitoring) :

◆ IDS passif OT (Claroty, Nozomi, Dragos) :

– Analyse trafic réseau (span port switch production)
– Détection téléchargement programme (protocoles S7comm Write, CIP Download, Modbus Write)
– Alerte immédiate si téléchargement hors fenêtre maintenance autorisée
– Corrélation : téléchargement + source IP → identification station engineering

◆ Syslog automates récents :

– S7-1500, ControlLogix 5580, M580 : événement « Program – Download » vers SIEM
– Corrélation SIEM : téléchargement hors horaires bureau → alerte équipe cyber

◆ Code applicatif automate (monitoring intégrité embarqué – avancé) :

– FB_IntegrityMonitor : bloc fonctionnel dans programme automate
– Lecture variables système (checksum programme, version blocs, timestamp dernière modif)
– Comparaison vs baseline stockée (DB automate ou serveur externe)
– Alerte si CRC différent : envoi vers SCADA/SIEM (OPC-UA, Modbus TCP, MQTT)
– Limitation : charge CPU (exécution tâche basse priorité 1s-10s, pas cyclique rapide)

 Baseline intégrité (CRC vs SHA-256) :

◆ Niveau 1 – CRC32 automate (détection rapide) :

– Checksum natif automate (léger CPU)
– Comparaison locale vs baseline CRC
– But : détection modification accidentelle ou tentative basique
– Heartbeat (message de vie) horaire : envoi CRC vers SCADA/serveur (OPC-UA, syslog)

◆ Niveau 2 – SHA-256 serveur (validation cryptographique) :

– Upload programme complet vers serveur sécurisé (hebdomadaire ou mensuel)
– Calcul SHA-256 côté serveur (Python, Node.js avec bibliothèques crypto)
– Comparaison avec baseline SHA-256 stocké chiffré (serveur externe, pas automate modifiable)
– But : détection modification malveillante sophistiquée (attaquant ne peut pas recalculer SHA-256 sans accès serveur)
– Pourquoi SHA-256 plutôt que CRC :
    * CRC = détection corruption accidentelle, pas cryptographiquement sûr (attaquant peut recalculer)
    * SHA-256 = hash cryptographique, impossible créer collision intentionnelle
    * HMAC-SHA256 (optimal si implémentable) : hash avec clé secrète, protection maximale

 Protection écriture automate :

◆ Mode RUN protégé :

– Siemens : passage STOP → RUN nécessite mot de passe (configuration TIA Portal)
– Rockwell : Keyswitch position RUN (protection physique) ou password (ControlLogix)
– Schneider : Security Editor (profil Engineer minimum pour passage STOP/RUN)

◆ Protection blocs fonctionnels :

– Know-how protection (Siemens) : blocs FC/FB protégés, lecture code impossible sans password
– Source Key (Rockwell) : protection lecture programme (upload nécessite clé)
– Code encryption (Schneider Control Expert) : chiffrement projet

 Firmware automates (approche ultra-prudente brownfield) :

◆ Ne pas mettre à jour firmware sans raison critique :

– Risque régression fonctionnelle, instabilité process
– Compatibilité matérielle (modules I/O, réseaux terrain)
– Requalification applicative potentiellement nécessaire

◆ Si update obligatoire (CVE critique exploitée, support constructeur obsolescence) :

– Test automate spare identique : validation fonctionnelle complète (1-4 semaines)
– Validation constructeur : bulletin technique, procédure officielle
– Fenêtre maintenance : arrêt production planifié (nuit, weekend)
– Plan retour arrière : procédure rollback firmware ancien testée (backup firmware précédent)

◆ Inventaire versions firmware :

– Documentation papier + fichier Excel/base données
– Asset discovery OT (Claroty, Nozomi) si compatible automates récents
– Audit physique annuel : relevé versions réelles (étiquettes CPU, lecture online)

 Mesure compensatoire legacy (automates anciens sans fonctions intégrité) :

◆ Protection périmétrique maximale :

– Firewall strict entre production et IT (whitelist IP/ports, inspection protocoles)
– IDS passif surveillance permanente (Claroty, Nozomi)
– Isolation réseau : VLAN dédié, pas de routage vers IT

◆ Surveillance accès :

– Logs stations engineering centralisés (GPO Windows Event Forwarding, syslog)
– Caméras salles automates (si sensible, enregistrement 30-90j)
– Alertes IDS si connexion automate hors fenêtre maintenance

◆ Durcissement stations engineering :

– Antivirus OT-compatible (Trend Micro, Kaspersky Industrial)
– Whitelist applications (AppLocker, Device Guard)
– Pas de navigation internet (proxy filtrant strict, sites whitelistés)
– MFA accès session Windows (Hello, Duo, Azure MFA)

 ✅ Chiffrement flux (sélectif, pragmatique) :

◆ TLS 1.2+ pour IHM web :

– Serveurs web automates (WinCC Web Navigator, FactoryTalk View SE, Ignition) : HTTPS obligatoire
– Certificats valides (pas auto-signés) : Let’s Encrypt (gratuit) ou CA interne

◆ VPN IPsec pour accès distant :

– Support constructeur (Siemens Remote Service, Rockwell FactoryTalk TeamONE)
– Tunnel chiffré AES-256, authentification certificats + MFA
– Session temporaire (durée limitée intervention), logs exhaustifs

◆ OPC-UA avec Security :

– Intégration MES/SCADA récente : OPC-UA mode Sign&Encrypt (chiffrement + auth certificats)
– Configuration : TIA Portal OPC-UA Server Security Policy (Basic256Sha256 minimum)
– PKI interne : certificats équipements (autorité certification locale ou constructeur)

◆ Pas de chiffrement natif Profinet/Modbus legacy :

– Acceptable brownfield si réseau isolé firewall
– Profinet avec DCP Security (automates avec TIA V17+) : optionnel si budget/compatibilité
– Chiffrement end-to-end impossible sans remplacement complet → chiffrement au niveau périmètre

 ✅ Chiffrement données sensibles (recettes, programmes) :

◆ Recettes production :

– Stockage serveur MES chiffré (AES-256, base données SQL Server TDE ou Oracle TDE)
– Transmission automate ↔ MES : OPC-UA chiffré (si supporté) OU réseau isolé acceptable

◆ Programmes automates avec protection :

– Know-how protection Siemens (obfuscation, pas chiffrement strict mais acceptable)
– Source Key Rockwell (empêche lecture, équivalent protection IP)
– Schneider Code Encryption (chiffrement projet Control Expert)

◆ Plans machines (si stockés production) :

– Serveurs fichiers chiffrés (BitLocker, VeraCrypt, NAS encryption)
– Transfert PLM → Production : via serveur relais sécurisé (pas de partage réseau direct)

◆ Réalisme brownfield (pas de sur-engineering) :

– Pas de chiffrement end-to-end automate ↔ SCADA sur legacy :
     * Impossible sans remplacement complet équipements
     * Compensation : segmentation réseau stricte, firewall, IDS

– Chiffrement au niveau périmètre prioritaire :
      * VPN accès distant
      * TLS IHM web, OPC-UA moderne
      * Accepter Modbus/Profinet en clair si zone isolée

✅ Segmentation réseau (zones isolées) :

◆ VLAN par ligne de production (si faisable brownfield) :

– Ligne 1 : VLAN 100 (automates assemblage, robots, convoyeurs)
– Ligne 2 : VLAN 200 (automates tests, stations qualité)
– Robots/Cobots : VLAN 300 (îlot robotique centralisé)
– AGV/AMR : VLAN 400 (véhicules guidés)
– MES/SCADA : VLAN 500 (supervision centrale)

◆ Firewall industriel en coupure IT/OT (investissement prioritaire) :

– Inspection protocoles industriels (DPI Modbus, S7comm, CIP, Profinet)
– ACL strictes : whitelist IP/ports autorisées (deny all par défaut)
– Logs exhaustifs : toute traversée firewall loggée SIEM
– Exemples : Fortinet FortiGate 60F/100F, Palo Alto PA-220, Stormshield SN160

◆ Micro-segmentation progressive :

– Ne pas sur-segmenter : VLAN par ligne acceptable, par machine = trop complexe brownfield
– Priorité : séparation IT/OT (firewall global), puis VLAN lignes critiques
– Migration progressive : commencer nouvelles lignes, migrer anciennes lors arrêts maintenance

✅ Conduits contrôlés (flux autorisés explicitement) :

◆ Automates ↔ SCADA/MES :

– Préférer flux unidirectionnel : automates → MES (remontée données process, pas de commande retour)
– Si bidirectionnel nécessaire : inspection firewall, ACL strictes (whitelist registres Modbus, tags OPC)
– Protocoles : OPC-UA (préféré moderne), Modbus TCP, S7comm, EtherNet/IP

◆ Stations engineering ↔ Automates :

– Conduit dédié VLAN engineering ou firewall ACL
– Filtrage IP source : seules stations BE autorisées (192.168.10.50-60)
– Protocoles : S7comm (Siemens), CIP (Rockwell), Modbus TCP (Schneider)
– Logs connexions : timestamp, IP source, automate cible (audit trail)

◆ MES ↔ ERP :

– Pas de connexion directe : via DMZ relais (double firewall)
– Serveur relais : middleware (API REST, message broker RabbitMQ/Kafka)
– Protocoles : HTTPS (API), SQL sécurisé (connexion chiffrée, compte read-only)

✅ Isolation réseaux terrain (protocoles industriels) :

◆ Profinet : 
– VLAN dédié réseau Profinet (pas de routage vers IT, même pas vers MES si possible)
– Multicast flooding : limitation switches (IGMP snooping activé)
– Séparation physique câblage si critique (chemins câbles dédiés)

◆ EtherNet/IP :
– Réseau industriel isolé (VLAN ou switch dédié)
– Passerelle contrôlée vers supervision (firewall ou gateway Rockwell Stratix)

◆ Modbus RTU/RS485 :
– Air-gap naturel (série, pas d’IP)
– Conversion Modbus RTU → TCP : passerelle isolée (Moxa MGate, Anybus)

✅ Pas d’accès internet automates (sécurité maximale) :

◆ Updates firmware :

– Téléchargement manuel PC IT (site constructeur)
– Transfert vers serveur relais OT (scan antivirus, validation)
– Déploiement depuis serveur relais vers automates (contrôlé, loggé)

◆ Support constructeur :

– VPN temporaire via Jump Server (pas d’accès direct automate depuis internet)
– Session enregistrée (Wallix Bastion, CyberArk), rejouable pour audit
– Durée limitée (2-8h intervention), désactivation après

✅ Micro-segmentation progressive (roadmap réaliste) :

◆ Phase 1 (0-6 mois) : Firewall IT/OT global (quick win, protection immédiate)
◆ Phase 2 (6-18 mois) : VLAN lignes critiques (assemblage machines haute valeur, robots)
◆ Phase 3 (18-36 mois) : VLAN toutes lignes + ACL inter-VLAN (défense en profondeur)
◆ Phase 4 (36+ mois) : Micro-segmentation avancée (si ROI justifié, pas systématique)

  ✅ Collecte logs (visibilité événements) :

◆ Automates modernes (S7-1500, ControlLogix 5580, M580) :

– Syslog vers serveur central (Graylog, Splunk, rsyslog)
– Événements : connexions engineering, téléchargements programmes, erreurs CPU, basculements redondance
– Configuration : TIA Portal (Diagnostic → Syslog), Studio 5000 (Controller Properties → Syslog)

◆ Automates legacy (S7-300, vieux CompactLogix) :

– Pas de syslog natif → logs stations engineering (connexions TIA Portal, Studio 5000 tracées Windows Event Log)
– Centralisation : GPO Windows Event Forwarding vers serveur WEF (gratuit, complexe) ou agent SIEM

◆ SCADA/MES :

– Logs événements process + cyber : WinCC Audit (Siemens), FactoryTalk Historian (Rockwell)
– Alarmes process corrélées : déviations paramètres = possible cyber-attack (analyse conjointe)

◆ Firewall, switches, IDS :

– Syslog exhaustif : connexions, blocages ACL, alertes IDS
– Stockage centralisé SIEM (rétention 90j minimum, 1 an recommandé)

✅ Détection anomalies (corrélation événements) :

◆ IDS passif OT (Claroty, Nozomi, Dragos) :

– Alertes scan réseau (Nmap, Shodan), connexions inhabituelles (IP inconnues), téléchargements programmes
– Détection protocoles anormaux (HTTP sur port Modbus, S7comm depuis IT)
– Threat intelligence OT : signatures malwares ICS (Industroyer, Triton, Havex)

◆ SIEM industriel (Splunk, Graylog, Wazuh) :

– Corrélation événements multi-sources (firewall + IDS + automates + stations engineering)
– Règles détection :
   * Téléchargement programme hors horaires (21h-6h) → alerte niveau 2
   * Connexion automate depuis IP inconnue → alerte niveau 1 (investigation immédiate)
   * Scan réseau production (multiples connexions TCP SYN) → alerte niveau 1
   * Succession actions suspectes (scan + connexion + téléchargement) → alerte niveau 3 (incident confirmé)

◆ Monitoring process (corrélation cyber-process) :

– Déviations paramètres process (température, pression, débit, vitesse) = possible cyber-attack
– Exemple : température four augmente sans ordre opérateur → investigation (cyber ou panne ?)
– Équipe production + cyber : analyse conjointe (compétences complémentaires)

✅ Alerting (notification équipes) :

◆ Niveaux alertes :

   * Niveau 1 (info) : événement suspect, investigation non urgente (scan réseau, tentative connexion échouée)
   * Niveau 2 (warning) : anomalie significative, investigation 4h (téléchargement hors horaires, accès non autorisé réussi)
   * Niveau 3 (critical) : incident confirmé, réponse immédiate (ransomware détecté, arrêt ligne inexpliqué, modification programme malveillante)

◆ Canaux notification :

– Email (SIEM → équipe cyber, responsable production)
– SMS/appel (niveau 3 uniquement, astreinte 24/7 si production continue)
– Dashboard SIEM (supervision temps réel SOC interne ou MSSP)

◆ Escalade :

– Niveau 1 → admin réseau (investigation 24h)
– Niveau 2 → RSSI + responsable production (investigation 4h, décision arrêt ligne si nécessaire)
– Niveau 3 → Direction + cellule crise (réponse immédiate, coordination interne/externe)

✅ Procédure incident (graduated response) :

1 ◆ Détection :

– IDS alerte, monitoring détecte anomalie, opérateur signalement
– Horodatage précis (UTC), capture contexte (logs, screenshots)

2 ◆ Analyse initiale (15-60 min) :

– Équipe cyber : vérification alerte (faux positif ? incident réel ?)
– Évaluation criticité : impact production, vol données, propagation possible ?
– Identification source : interne (erreur, malveillance), externe (internet, USB), indéterminé

3 ◆ Confinement (si incident confirmé) :

– Isolation segment réseau : débrancher switch physiquement OU blocage firewall (commande CLI)
– Pas d’arrêt automate sauf validation responsable production (impact CA)
– Préservation preuves : copie logs, capture mémoire (si forensic nécessaire), photos écrans

4 ◆ Éradication :

– Nettoyage malware : antivirus, reinstallation OS si nécessaire
– Restauration backups : programmes automates, serveurs MES/SCADA
– Validation intégrité : scan complet, comparaison baseline (SHA-256)

5 ◆ Récupération :

– Remise en service progressive : tests fonctionnels, validation qualité
– Surveillance renforcée 72h : monitoring continu, détection récidive
– Autorisation reprise production : responsable production + RSSI

6 ◆ Leçons apprises (post-incident, 1-2 semaines) :

– REX (Retour d’Expérience) : causes racines (méthode 5 Pourquoi, diagramme Ishikawa)
– Actions correctives : failles comblées (technique + organisationnel)
– Mise à jour procédures : correction process, formation équipes
– Capitalisation : documentation incident, partage REX (interne, secteur si approprié)

✅ Limitations réalistes (pas de sur-automatisation) :

◆ Pas de réponse automatisée bloquant production : validation humaine obligatoire (faux positifs possibles)
◆ Pas d’EDR sur automates : n’existe pas car dangereux pour process, protection périmétrique + monitoring externe uniquement
◆ Temps réponse acceptable : 15 min détection, 1h analyse, 4h confinement (SL2 brownfield réaliste)

✅ Redondance automates (ne pas modifier si existante) :

◆ Architecture native :

– S7-1500R/H (Siemens) : redondance contrôleur hot-standby, basculement <100ms
– ControlLogix Redundancy (Rockwell) : deux contrôleurs synchronisés, bumpless transfer
– M580 Hot Standby (Schneider) : HSBY redondance, basculement <50ms

◆ Ne jamais modifier redondance native :

– Configuration validée constructeur, modification = risque instabilité
– Tests périodiques redondance (simulation panne, validation basculement) : procédure constructeur

◆ Stock spare (si pas de redondance) :

– CPU + modules I/O critiques (1 spare minimum, 2 si lead time long >6 mois)
– Stockage conditions contrôlées (température, humidité, ESD)
– Pas de redondance forcée si ligne non-critique : coût vs bénéfice (accepter risque panne)

✅ Sauvegarde configurations (protection données) :

◆ Backup avant toute intervention (procédure obligatoire non négociable) :

– Upload programme automate (TIA Portal, Studio 5000, Control Expert)
– Sauvegarde manuelle : fichier daté (nom format : PLC01_2026-11-27_beforeModif.zap15)
– Validation : test restauration backup sur automate spare (si disponible)

◆ Backup hebdomadaire automatisé :

– Scripts TIA Portal Openness (PowerShell), pycomm3 (Python), Control Expert API
– Planification : tâche Windows Scheduler, cron Linux (dimanche 2h du matin)
– Stockage : NAS chiffré, rétention 6 mois (26 versions hebdomadaires)

◆ Backup serveurs SCADA/MES :

– Snapshot quotidien si virtualisé (VMware, Hyper-V) : rétention 7j
– Backup complet hebdomadaire : Veeam, Acronis, rétention 3 mois
– Test restauration trimestriel : validation procédure, mesure temps (RTO réel)

✅ Plan de reprise (RTO/RPO réalistes brownfield) :

◆ RTO (Recovery Time Objective) ligne production :

– Ligne critique (machines haute valeur, goulet) : <4h (restauration automate + tests)
– Ligne secondaire : <8h (acceptable impact CA limité)
– Ligne non-critique : <24h (stock produits finis absorbe)

◆ RPO (Recovery Point Objective) :

– Automates : <7j (backup hebdomadaire acceptable, modifications rares)
– MES/SCADA : <24h (données production perdues acceptables si <1 jour)
– PLM/CAO : <4h (données critiques, backup fréquent obligatoire)

◆ Procédure documentée :

– Step-by-step restauration (screenshots, commandes CLI, temps estimé)
– Contacts constructeurs support (hotline, numéros contrat)
– Validation tests : responsable production signe autorisation reprise

✅ Mode dégradé (continuité partielle) :

◆ Pilotage manuel si IHM down :

– Pupitre local, sélecteurs (mode manuel/auto)
– Procédure papier conduite manuelle (affichée atelier, plastifiée)
– Formation opérateurs : exercices mode dégradé trimestriels

◆ Production ralentie si MES down :

– OF (Ordres Fabrication) papier, traçabilité manuelle
– Saisie données a posteriori (réconciliation après restauration MES)

◆ Accepter arrêt temporaire :

– Mieux arrêter proprement que forcer production (risque qualité, sécurité)
– Communication clients : transparence retards, plan rattrapage

✅ Stock stratégique pièces (gestion obsolescence) :

◆ Modules automates critiques :

– CPU obsolètes (S7-300, Quantum, vieux CompactLogix) : stock 1-2 unités
– Modules I/O spécifiques (analogiques, communication) : 1 spare minimum
Prix 500-5000€/module selon rareté

◆ Pas besoin stock exhaustif :

– Modules standards (TOR, Ethernet) : disponibles constructeur (<1 semaine lead time)
– Focus équipements longs délais (>1 mois) ou obsolètes (EoL End of Life)

✅ Continuité sans sur-engineering (réalisme brownfield) :

◆ Ne pas virtualiser automates : n’a pas de sens (matériel dédié temps réel)
◆ Ne pas cluster serveurs SCADA si ligne non-critique : coût excessif (15-50k€) vs bénéfice
◆ Accepter cold standby + restauration rapide : SL2 standard acceptable (4-8h RTO)
◆ Haute disponibilité (HA) uniquement si justifiée :
– CA >100k€/h perdu
– Pénalités contractuelles clients (>50k€/jour retard)
– Réputation critique (livraison machines stratégiques défense, médical)