En IT, on peut scanner activement le réseau (Nmap, vulnerability scanner) sans risque majeur. En OT, c'est strictement interdit par défaut : un scan actif peut faire planter un vieil automate ou perturber un cycle critique. La seule méthode acceptable est le monitoring passif.

Mécanisme du monitoring passif :

• Les switches industriels sont configurés avec port mirroring (SPAN, Switched Port Analyzer) — une copie de tout le trafic est envoyée sur un port dédié.
• Pour les liens critiques, on utilise des TAP physiques (Garland, Profitap, Niagara, Gigamon) — un boîtier hardware qui duplique le signal optique ou cuivre sans aucun risque pour le flux principal.
• Le port mirroring / TAP alimente une sonde IDS OT.
• La sonde n'émet jamais de trafic sur le réseau OT — elle ne fait qu'écouter.

Ce qu'apprend la sonde par écoute passive :

• Tous les équipements présents (inventaire automatique).
• Toutes les communications qui ont lieu (qui parle à qui, quand, comment).
• Les protocoles utilisés et les commandes envoyées.
• La baseline comportementale normale du réseau (cycle horaire, jours ouvrés, etc.).
• Les anomalies : nouvelle adresse IP, nouveau protocole, commande inhabituelle, communication transverse non prévue.

Bénéfices :

• Zéro risque pour la production (aucun paquet émis sur le réseau OT).
• Détection des malwares OT spécifiques (Stuxnet, Triton, Industroyer signatures connues).
• Détection des comportements anormaux (anomalies de protocole, communications inattendues).
• Inventaire toujours à jour sans effort manuel.
• Alimente le SIEM et le SOC.

Le marché des IDS OT (Intrusion Detection System OT) s'est consolidé depuis 2017-2018. Les principaux acteurs :

• Claroty xDome (ex-CTD, racheté Bayshore Networks et Medigate) — pionnier israélien, leader sur le secteur santé / pharma / industriel.
• Nozomi Networks Guardian — éditeur suisse, large couverture protocolaire, intégration SIEM native.
• Tenable.ot (ex-Indegy) — bénéficie de l'intégration native avec Tenable.io (gestion de vulnérabilités IT/OT unifiée).
• Dragos Platform — éditeur américain spécialisé OT, fort sur le threat intelligence (rapports trimestriels publics de référence).
• Microsoft Defender for IoT (ex-CyberX) — intégré à l'écosystème Microsoft Sentinel.
• Forescout SilentDefense — racheté à SecurityMatters en 2018.
• Armis Centrix for OT — moteur de détection cloud, intégration EDR.
• Cyberbit (Israël), Radiflow (Israël), Sentryo (FR, racheté par Cisco).

Fonctionnalités attendues d'un IDS OT moderne :

• Découverte passive des actifs et cartographie automatique.
• Inspection de protocoles industriels (Modbus, S7, Profinet, EtherNet/IP, DNP3, IEC 60870-5-104, IEC 61850, BACnet, OPC UA, etc.).
• Baseline comportementale avec apprentissage automatique.
• Signatures de menaces OT connues (Stuxnet, Industroyer, Triton, Pipedream / Incontroller — 2022).
• Gestion des vulnérabilités : corrélation avec CVE, signaux constructeurs (Siemens, Schneider, etc.).
• Dashboard et alertes configurables.
• Intégration SIEM (Syslog, CEF, API REST).
• Threat intelligence intégré (souvent payant en option).

Coût et déploiement : un IDS OT coûte typiquement de 10 k€ pour un petit site à 500 k€+ pour un grand groupe multisite. Le déploiement nécessite quelques semaines à quelques mois (négociation des accès, validation par production, calibrage des alertes pour éviter le bruit). Beaucoup de projets démarrent par un POC sur un site pilote.

Le SIEM (Security Information & Event Management) centralise les journaux de sécurité de toute l'entreprise. Pour un programme NIS2 OT, le SIEM doit ingérer non seulement les sources IT (firewall, EDR, AD, applications), mais aussi les sources OT (IDS OT, firewalls industriels, logs SCADA, événements PLC quand disponibles).

SIEM majeurs du marché :

• Splunk Enterprise Security — leader historique, riche écosystème d'apps OT (Splunk for OT, Claroty App).
• IBM QRadar SIEM — large déploiement entreprise, modules OT spécifiques.
• Microsoft Sentinel — SIEM cloud Azure, intégration native avec Defender for IoT.
• Elastic Security — open source / commercial, déploiement souple.
• Wazuh — open source, populaire dans les PME.
• Sekoia.io, Devoteam, Sopra Steria — XDR français.
• Exabeam, Sumo Logic, LogRhythm, Securonix.

Cas d'usage de corrélation IT + OT :

• Phishing IT → tentative d'accès OT : un utilisateur clique sur un lien malveillant, son poste est compromis, et 30 minutes plus tard une nouvelle session admin apparaît sur le jump server OT. Alerte critique.
• Mouvement latéral inhabituel : un compte IT légitime se connecte soudainement à un automate. Sans corrélation, c'est invisible. Avec corrélation IT+OT, c'est immédiat.
• Exfiltration de données via Historian : volume anormal de données copié depuis l'Historian. Corrélation avec activité utilisateur sur le réseau IT.
• Modification de programme automate hors fenêtre d'arrêt planifiée : alerte critique du SIEM, escalade automatique vers le SOC.

Use cases & règles de détection : il existe des banques de règles préconçues (Sigma rules adaptées OT, Splunk ESCU, Sentinel detections) et des frameworks d'évaluation comme MITRE ATT&CK for ICS qui cartographie les techniques d'attaque OT et fournit la base pour des détections.

Un SOC (Security Operations Center) capable de gérer l'OT n'est pas simplement un SOC IT auquel on ajoute des sondes OT. C'est une équipe avec des compétences mixtes, des procédures spécifiques et des connexions privilégiées avec la production.

Modèles d'opération SOC OT :

• SOC interne dédié OT : équipe internalisée, ~ 5-15 personnes selon la taille. Coût élevé, expertise contrôlée. Plutôt pour les grands groupes.
• SOC interne mixte IT+OT : équipe SOC IT existante formée et étendue à l'OT. Modèle le plus courant pour les ETI.
• MSSP avec capacité OT : sous-traitance à un Managed Security Service Provider (Orange Cyberdefense, Atos / Eviden, Capgemini, IBM Security, Sopra Steria, Wavestone Cyber). Modèle adapté aux PME et ETI sans équipe interne.
• SOC hybride : interne 8h-19h + MSSP en heures non ouvrées.

Compétences clés d'un analyste SOC OT :

• Cyber classique (analyse de logs, threat hunting, gestion d'incidents, ATT&CK).
• Connaissance des protocoles industriels et de leur usage normal.
• Compréhension du contexte production : ce qu'on peut/ne peut pas faire en intervention.
• Connaissance de l'architecture Purdue et IEC 62443.
• Notions de sûreté de fonctionnement et de safety industrielle.
• Capacité à collaborer avec les ingénieurs procédés, automaticiens, responsables maintenance.

Playbooks de réponse : un SOC OT mature dispose de playbooks documentés (procédures écrites step-by-step) pour les scénarios fréquents :

• Détection de malware sur HMI / SCADA.
• Détection de scan réseau OT.
• Connexion d'un nouvel appareil au réseau OT.
• Modification non planifiée de programme automate.
• Échec d'authentification répété sur jump server.
• Anomalie de communication entre automates.
• Compromission supposée d'un compte fournisseur.

Frameworks de référence : MITRE ATT&CK for ICS pour cartographier les techniques d'attaque OT et structurer la détection ; NIST SP 800-61 pour la gestion d'incident ; ISO 27035 pour la gouvernance.

« Un bon SOC OT ne se mesure pas au nombre d'alertes traitées. Il se mesure à sa capacité, en cas d'incident critique, à coordonner en moins d'une heure les équipes cyber, production, maintenance et direction. La maturité opérationnelle prime sur la maturité technique. »

— ANSSI / OPECST, guide SOC industriel 2024