Fundamentum / Identité & cycle de vie
Fundamentum — Piliers 1 & 2

Chaque appareil. Chaque API.
Une identité vérifiable.

Dans un système IoT gouverné, l’identité n’est pas un nom d’utilisateur et un mot de passe. C’est un identifiant cryptographique ancré à une entité physique précise — avec une portée d’autorité définie et un cycle de vie formel qui suit l’appareil de la fabrication au décommissionnement.

Discuter de vos besoins de gouvernance → ← Retour à Fundamentum

Ce que signifie l’identité dans Fundamentum

Dans Fundamentum, l’identité n’est pas l’authentification — c’est le contexte d’autorisation. Un appareil qui s’authentifie avec un identifiant valide a prouvé qu’il possède l’identifiant. Un appareil qui opère dans le modèle d’identité de Fundamentum a prouvé qu’il est l’entité physique précise qu’il prétend être, opérant dans le rôle et la portée accordés à cette entité, dans un état de cycle de vie qui permet l’action demandée.

Identité d’appareil

Identifiant cryptographique provisionné à la fabrication. Ancré au matériel lorsqu’un élément sécurisé est présent. Lié à l’appareil physique précis — non transférable. Inclut la portée d’autorité : quelles commandes cette classe d’appareils peut recevoir.

Identité d’utilisateur

Identité fondée sur les rôles pour les opérateurs humains. Un ingénieur qui émet une commande à distance est vérifié comme une identité dotée du rôle précis requis pour émettre cette classe de commande, vers cette catégorie d’appareils, dans son état courant.

Identité d’API (de premier ordre)

Les API sont des acteurs du modèle de gouvernance — pas implicitement de confiance une fois authentifiées. Un pipeline CI/CD avec une clé d’API valide ne peut pas pousser un micrologiciel vers n’importe quel appareil. Il peut le pousser vers les catégories d’appareils que son identité est autorisée à mettre à jour, quand ces appareils sont dans l’état permis.

Identité de service

Les processus automatisés — systèmes de surveillance, pipelines d’analytique, automatisation de déploiement — portent chacun une identité de service distincte avec un identifiant à portée limitée. « Le système l’a fait » n’est pas une entrée de piste d’audit acceptable dans Fundamentum.

La machine à états du cycle de vie

Dans une flotte gouvernée, un appareil n’est jamais simplement « en ligne » ou « hors ligne ». Il occupe un état de cycle de vie défini, et les actions qui lui sont permises, ainsi qu’aux opérateurs, dépendent entièrement de cet état.

Provisionné
Identité assignée, pas encore déployé
Activé
Opération normale, jeu de commandes complet
Maintenance
Commandes de diagnostic étendues permises
MàJ en attente
2ᵉ OTA bloquée tant que la 1ʳᵉ n’est pas confirmée
Décommissionné
Toutes commandes refusées ; identifiant révoqué

Les transitions d’état sont elles-mêmes des actions gouvernées. Faire passer un appareil d’Activé à Maintenance exige une identité autorisée dotée du rôle Maintenance. Un appareil décommissionné ne peut être réactivé sans une autorisation de réactivation explicite émise par une identité disposant de ce privilège précis. Les machines à états ne sont pas modifiables par le code applicatif — ce sont des primitives au niveau de l’infrastructure.

Gestion du cycle de vie des identifiants

  • Provisionnement à la fabrication : Les identifiants d’appareil sont provisionnés durant la fabrication et associés à l’identité matérielle (numéro de série, clé de l’élément sécurisé).
  • Rotation : Les identifiants peuvent être renouvelés à distance par une commande gouvernée — l’identifiant sortant autorise la rotation, créant une chaîne de possession vérifiable.
  • Révocation : Les identifiants compromis sont révoqués immédiatement. Toutes les actions ultérieures de l’identité révoquée sont refusées et journalisées. Le rayon d’impact est borné par la portée détenue.
  • Intégration d’appareils en stock : Les appareils provisionnés des mois avant déploiement (en entrepôt) sont activés par un flux d’intégration formel — pas en les mettant simplement sous tension.
  • Transfert de propriété : Les appareils transférés entre clients ou déploiements suivent un flux de transfert formel avec piste d’audit complète. L’historique d’un appareil est immuable — seul son propriétaire actuel change.