Comment assurer la cybersécurité des solutions robotiques
L’avenir de la robotique passe par la mise en œuvre de technologies de cybersécurité adaptés aux cyber-menaces. La mise en œuvre de mesures appropriées, telles qu’une authentification sécurisée, des communications chiffrées et la sécurisation de la chaîne d’approvisionnement, sont indispensables pour se protéger contre les cybermenaces. Manoj Rajashekaraiah, ingénieur principal, chez Analog Devices Inc. (ADI) détaille quelles sont les fonctions de sécurité qui peuvent garantir l’intégrité et la fiabilité des systèmes robotiques.
www.analog.com
Le développement de systèmes robotiques sécurités exige la mise en œuvre de diverses technologies et capacités techniques :
• authentification sécurisée : intégration d’authentificateurs sécurisés pour vérifier l’identité des appareils et des composants ;
• coprocesseurs sécurisés : utilisation d’équipements dédiés pour gérer le stockage sécurisé et le chiffrement ;
• communications sécurisées : mise en œuvre de protocoles chiffrés pour protéger l’échange de données ;
• contrôle d’accès : application d’autorisations granulaires en vue de restreindre les risques d’accès non autorisé au système ;
• mesures de sécurité physiques : application de mesures de protection contre les falsifications physiques.
De plus, les développeurs de systèmes doivent adopter une approche structurée du développement sécurisé qui inclue la collecte des exigences, la modélisation des menaces, la conception sécurisée, la mise en œuvre, les essais, la certification et la maintenance. Le respect d’un cycle de développement sécurisé (SDL — Secure Development Cycle) garantit que la sécurité est intégrée d’emblée au processus de développement.
Composants utilisés dans les cobots et les robots industriels
Exploiter un automate programmable industriel et protéger la passerelle
L’association d’automates programmables et de contrôleurs robotiques assure un contrôle de haute précision dans les installations d’automatisation industrielle, avec à la clé un contrôle minutieux de divers processus. Ces dernières années, les avancées accomplies dans le secteur de la robotique ont conduit au développement de contrôleurs intégrés dotés de fonctionnalités analogues à celles des automates programmables. Garantir la fiabilité et la sécurité de fonctionnement d’un API revêt dès lors une importance capitale pour assurer le fonctionnement d’une installation d’automatisation industrielle en toute sécurité (figure 2).
Figure 2. Assurer un niveau de sécurité maximum avec un API.
L’incorporation dans un automate programmable de composants tels que le circuit MAXQ1065 (un coprocesseur de chiffrement basse consommation avec technologie ChipDNA® pour appareils embarqués) permet de prendre en charge les cas d’utilisation suivants :
• identification sécurisée et prévention du clonage des automates programmables (API) ;
• démarrage et téléchargement sécurisés du micrologiciel ;
• authentification mutuelle par clé asymétrique entre les modules et les serveurs d’API ;
• établissement d’une session de communications sécurisée avec échange de clés Diffie-Hellman basé sur les courbes elliptiques (ECDH) ;
• utilisation du protocole AES pour le chiffrement et le déchiffrement des paquets échangés sur le réseau.
A noter : La technologie ChipDNA exploite les caractéristiques propres à chaque composant électronique pour générer une clé de chiffrement sécurisée. Cette clé n’est pas stockée en mémoire ou dans un état fixe, ce qui renforce considérablement la protection contre les cyberattaques.
Sécurité directe entre le nœud et le cloud
Dans le domaine de la robotique, les communications entre les nœuds et le cloud (figure 3) rendent possibles plusieurs fonctionnalités telles que la surveillance à distance, l’analyse de données, les mises à jour logicielles, etc. C’est pourquoi il est essentiel de sécuriser ces échanges.
Figure 3. L’intégration du coprocesseur MAXQ1065 sécurise directement les échanges entre le nœud et le cloud.
Le coprocesseur de chiffrement MAXQ1065 dispose de fonctions de sécurité qui protègent les échanges entre les capteurs et le cloud, ainsi qu’entre les capteurs et les passerelles :
• le coprocesseur MAXQ1065 assure la mise en œuvre du protocole de sécurité de la couche transport (TLS) et garantit la transmission sécurisée et chiffrée des données. Le protocole TLS vérifie l’authenticité et protège les informations sensibles. Ce qui en fait un outil adapté pour sécuriser les communications entre les nœuds et le cloud ;
• il sécurise les communications sur les connexions propriétaires entre les capteurs et la passerelle ou entre les nœuds et la passerelle. Ce composant facilite l’établissement d’une voie de communications protégée en permettant l’échange de clés et le chiffrement des données, renforçant ainsi la sécurité du protocole RF et d’autres protocoles propriétaires ;
• il dispose de fonctions de sécurité supplémentaires, telles que l’authentification des nœuds, leur fonctionnement haute fiabilité, le démarrage sécurisé et la mise à jour sécurisée du micrologiciel. Ces fonctions visent à renforcer la sécurité du système en validant l’identité des nœuds, en garantissant la fiabilité des opérations et en assurant une protection optimale contre toute tentative de modification non autorisée.
Protection des données provenant des capteurs
• Les données au repos peuvent être chiffrées avec la technologie ChipDNA ;
• les données critiques d’étalonnage ou les informations de configuration des capteurs peuvent être stockées dans la mémoire sécurisée du coprocesseur MAXQ1065 afin d’éviter tout risque de falsification ou de fuite. Elles peuvent également être stockées dans le système après avoir été chiffrées. Voir la figure 4.
Figure 4. Protection des données des capteurs.
Sécurité de la chaîne d’approvisionnement
La sécurité de la chaîne d’approvisionnement concerne plusieurs aspects (figure 5) :
• prévention du clonage des produits (contrefaçons) ;
• sécurisation de l’activation des fonctions logicielles afin d’éviter la perte de propriété intellectuelle et de recettes ;
• vérification de l’authenticité du matériel (voir figure 6).
La sécurité de la chaîne d’approvisionnement peut notamment être assurée à l’aide d’authentificateurs sécurisés d’ADI :
• ces authentificateurs préprogrammés offrent une protection contre les risques de contrefaçon ;
• la gestion sécurisée du cycle de vie et la gestion des clés de chiffrement garantissent la sécurité des actifs tout au long du cycle de vie de l’appareil ou du produit ;
• les authentificateurs sécurisés permettent d’activer des fonctions sécurisées et de protéger de précieux blocs de propriété intellectuelle.
Figure 5. Vérification de l’authenticité par une série de défis-réponses.
Figure 6. Exemple d’authentification matérielle avec mémoire EEPROM DS28E01-100.
Communications sécurisées entre automates et nœuds
Les authentificateurs sécurisés contribuent à la protection des communications, par exemple entre des automates programmables et des actionneurs ou des capteurs, ainsi qu’entre des automates programmables et un système de contrôle et d’acquisition de données SCADA (à l’intérieur de l’automate et non du système SCADA). Ils permettent en outre d’activer le protocole TLS. Ce protocole de sécurité de la couche de transport est largement employé dans les communications basées sur le protocole IP.
Authentification mutuelle dans les robots
La mise en œuvre d’un processus d’authentification mutuelle (Figure 7) dans les robots renforce la sécurité de façon significative en garantissant que seules les entités légitimes et autorisées peuvent interagir au sein du système. Elle empêche efficacement tout accès non autorisé, renforce la sécurité des communications et contribue à l’intégrité, ainsi qu’à la fiabilité d'ensemble du système.
Figure 7. Authentification mutuelle.
Démarrage sécurisé conjoint
Le démarrage sécurisé conjoint des robots (Figure 8) constitue le socle d’un environnement opérationnel à la fois sûr et fiable. Il protège en effet le système contre toute exécution non autorisée de logiciels, ainsi que contre les logiciels malveillants et les tentatives de falsification, renforçant ainsi la sécurité et la fiabilité de l’ensemble. En établissant une chaîne de confiance et en vérifiant l’intégrité des composants logiciels, le démarrage sécurisé conjoint garantit l’intégrité et l’authenticité globales du fonctionnement du système robotique. Les mises à jour sécurisées conjointes sont mises en œuvre de manière similaire.
Figure 8. Démarrage sécurisé conjoint.
Activation sélective des fonctionnalités dans les articulations et les contrôleurs de robot
Suite au démarrage sécurisé, le microcontrôleur/processeur/circuit logique programmable sur site (FPGA) de l’application peut lire la mémoire configurable sécurisée de l’authentificateur ou du coprocesseur en vue d’activer la fonctionnalité choisie dans l’articulation ou le contrôleur de robot (Figure 9).
Figure 9. Synoptique d’une articulation.
Stockage des données d’étalonnage — Articulations et contrôleurs de robot
Le stockage des données d’étalonnage est essentiel pour effectuer des mesures précises dans des périphériques étalonnés individuellement en usine. En stockant ces données de manière sécurisée dans un authentificateur, les entreprises peuvent garantir leur intégrité et les protéger contre toute tentative d’accès non autorisé. Le système hôte peut ensuite les récupérer et les utiliser dans le but d’obtenir des mesures plus précises et plus fiables à partir des périphériques. Le stockage sécurisé des données d’étalonnage améliore la précision et les performances d’ensemble du système tout en fournissant de précieuses informations et en maintenant les plus hauts standards de qualité.
Communications sécurisées conjointes
Les communications sécurisées conjointes améliorent la posture de sécurité globale d’un système robotique en garantissant la fiabilité et en protégeant les échanges de données (Figure 10).
Figure 10. Communications sécurisées conjointes.
www.analog.com
