Les boîtiers Keyprod ont été conçus pour s'intégrer dans des environnements industriels sensibles sans créer de surface d'attaque supplémentaire. Cette page détaille les mesures de sécurité mises en place côté boîtiers, côté réseau et côté infrastructure cloud.
À qui s'adresse cet article : Responsables IT, RSSI et toute personne en charge de valider l'intégration des boîtiers sur le réseau industriel.
Isolation physique et logique des boîtiers
Les boîtiers Keyprod sont physiquement isolés des machines sur lesquelles ils sont installés. Le Keynetic et le Keyvibe sont simplement aimantés aux machines, et le Keysmart a un système d'optocoupeurs qui empêche d'envoyer du courant vers les machines. Leur fonction se limite à la collecte (du signal vibratoire ou des inputs digitaux) et à la transmission des événements produits : ils n'ont aucune capacité d'interaction avec les automates, les commandes numériques ou tout autre système de contrôle de la machine.
Chiffrement des communications
L'ensemble des échanges entre les boîtiers et le cloud est chiffré. Aucune donnée ne transite en clair sur le réseau.
- MQTT over TLS (port 8883) : protocole de transport des événements boîtiers vers AWS IoT Core
- HTTPS (port 443) : pour les communications applicatives et les mises à jour
- Certificat client X.509 unique par boîtier : chaque boîtier dispose de son propre certificat d'authentification, émis, géré et révocable individuellement via AWS IoT Core
- La gestion des certificats (émission, rotation, révocation) est entièrement prise en charge par AWS IoT Core : aucune gestion manuelle requise de votre côté
Authentification et isolation multi-tenant
La plateforme Keyprod est une architecture multi-tenant : les données de chaque client sont strictement cloisonnées les unes des autres. Deux clients ne peuvent pas accéder aux données de l'autre, même s'ils utilisent la même infrastructure.
- AWS Cognito gère l'authentification des utilisateurs et l'attribution des droits d'accès par tenant
- L'isolation entre tenants est appliquée au niveau de l'infrastructure : elle ne dépend pas d'une configuration utilisateur
- Chaque boîtier est lié à un tenant unique, lié au sous-domaine au niveau des endpoints de type [tenant].app-keyprod.com. Il ne peut communiquer qu'avec les endpoints autorisés pour ce tenant
Données traitées et propriété
- Pas de données sensibles transmises : l'analyse vibratoire est réalisée en edge computing directement sur le boîtier. Seuls les événements qualifiés (état ON/OFF machine, comptage de pièces) sont transmis vers le cloud pas le signal brut.
- La donnée brute reste la propriété du client : les données collectées ne sont pas utilisées à des fins commerciales ni partagées avec des tiers.
- Les données sont conservées dans deux bases distinctes : Amazon RDS pour les données métier et l'historique utilisateurs, ClickHouse pour l'analytique temps réel (calcul TRS, timelines de production).
Infrastructure cloud sécurisée
| Mesure | Détail |
|---|---|
| Hébergement | 100 % AWS, régions Europe (France et Irlande), dans des VPC (Virtual Private Cloud) dédiés et sécurisés |
| Authentification utilisateurs | AWS Cognito — gestion centralisée des identités, cloisonnement par tenant |
| Chiffrement en transit | TLS sur l'ensemble des flux (boîtiers → cloud et navigateur → plateforme) |
| Sauvegardes | Bases de données sauvegardées toutes les 24h |
| Disponibilité | Taux de disponibilité supérieur à 99 % |
| Supervision | Monitoring et alerting en temps réel (CloudWatch, Sentry, UptimeRobot) |
| Mises à jour | Livraison continue via CI/CD — capacité à déployer des correctifs dans la journée en cas d'urgence |
| Scalabilité | Infrastructure conteneurisée avec orchestration Kubernetes (Amazon EKS) et autoscaling dynamique |
Recommandations réseau
- Déployer les boîtiers sur un réseau dédié (VLAN IoT ou SSID Wi-Fi dédié, ex :
IoT_prod) - Autoriser uniquement les flux sortants vers les endpoints AWS Keyprod sur le port 8883 (MQTT/TLS) et le port 443 (HTTPS)
- Ne pas utiliser de portail captif (réseau avec page de connexion) : les boîtiers Keyprod ne sont pas compatibles avec ce type de réseau
Authentification WPA-Enterprise (802.1X) et WPA 3 : Les boîtiers Keyprod ne sont pas compatibles avec les réseaux Wi-Fi utilisant une authentification WPA-Enterprise ou WPA 3. Si votre réseau industriel utilise ce protocole, utilisez une connexion filaire RJ45. Voir Prérequis réseau pour les boîtiers.