Les parties 1 et 2 ont construit la pile cyber côté IT. La partie 3 couvre les disciplines que l'outillage IT n'aborde pas : la défense des systèmes de contrôle industriel et de la technologie opérationnelle, la disponibilité de la forensique numérique pour l'analyse post-compromission, et les solutions cross-domain qui font transiter les données appropriées entre enclaves classifiées. Chacune est spécialisée, chacune est pertinente pour l'achat, et chacune est le domaine où les ingénieurs formés à l'IT se trompent le plus souvent. La partie 3 les parcourt.

Le cadrage par piliers se trouve dans Le guide complet de la cybersécurité de défense. La machinerie de classification côté fusion à laquelle cette partie se connecte est dans Bâtir un pipeline de fusion de défense, Partie 3 ; la discipline de libérabilité en coalition OTAN est dans Mise en œuvre de l'interopérabilité OTAN, Partie 3.

Étape 1 : Pourquoi la défense ICS/OT diffère de l'IT

La première erreur que commettent les ingénieurs formés à l'IT sur les ICS/OT est d'appliquer directement les motifs de défense IT. Les motifs se transfèrent ; les valeurs non. La défense ICS/OT est façonnée par des différences structurelles qui rendent la discipline IT insuffisante et parfois activement nuisible.

Les différences structurelles :

  • Protocoles différents. Modbus, DNP3, IEC 61850, OPC UA, BACnet — aucun n'apparaît dans les environnements IT. L'outillage qui décode les protocoles IT (HTTP, TLS, SMB, DNS) ne les décode pas. Un outillage spécifique ICS est requis.
  • Cadences de patch différentes. Un contrôleur ICS peut passer des années entre les mises à jour — parfois jamais. Les fenêtres de maintenance sont planifiées selon les rythmes opérationnels, pas selon les calendriers de sécurité. « Il suffit de patcher » est rarement une option.
  • Conséquences différentes. Une panne IT coûte de la disponibilité. Une panne ICS peut avoir des conséquences cinétiques — coupure de courant, débit d'eau perturbé, système d'arme désactivé, logistique interrompue. Le rayon d'impact façonne le calcul du risque.
  • Paysage fournisseurs différent. Honeywell, Siemens, Schneider Electric, Rockwell, Yokogawa — chacun avec ses propres conventions d'ingénierie, protocoles propriétaires et contrats de support fournisseur. Les relations fournisseurs IT ne se transfèrent pas.
  • Culture opérateur différente. Les opérateurs ICS ont une formation d'ingénierie, pas de sécurité IT. La conversation sécurité doit être ingénierie-technique, pas ingénierie-sécurité. Le vocabulaire diffère.
  • Politiques de scan différentes. Un scan de vulnérabilités qu'un SOC IT considère comme routinier peut mettre hors-ligne un PLC vintage. Le scan actif est le défaut en IT ; c'est le mauvais défaut en ICS.

Le traitement d'ingénierie détaillé des motifs de détection d'intrusion ICS/OT spécifiques aux réseaux militaires est dans Détection d'intrusion ICS/OT dans les réseaux militaires.

Étape 2 : Le monitoring passif comme défaut

Le motif de défense ICS/OT qui fonctionne : monitoring passif par défaut, réponse active uniquement avec une coordination opérateur étendue.

L'architecture de monitoring passif :

Collecte par network tap ou port SPAN. Le capteur de détection voit tout le trafic réseau ICS mais n'injecte jamais de paquets. Le capteur ne peut pas affecter le processus contrôlé.

Inspection profonde des paquets sensible aux protocoles. Le capteur décode Modbus, DNP3, IEC 61850, OPC UA, identifie les opérations en cours et détecte les anomalies (commandes inattendues, paquets malformés, paires source-destination inhabituelles).

Découverte d'actifs par observation passive. Le capteur identifie les actifs ICS à partir de leur comportement réseau — fournisseur, modèle, version de firmware, rôle — sans sondage actif. L'inventaire d'actifs de la partie 1 est enrichi par ces découvertes.

Baselining comportemental. Sur plusieurs semaines d'observation, le capteur construit une référence du comportement ICS normal. Les écarts (commandes à des moments inattendus, séquences absentes de la référence, trafic vers des actifs qui ne devraient pas communiquer) deviennent des alertes.

Réponse pilotée par opérateur. Lorsque le capteur détecte une anomalie, la réponse est d'alerter l'équipe opérations, pas de prendre une action automatisée. Les opérateurs ICS ont le contexte pour évaluer si l'anomalie est malveillante ou opérationnelle.

Les produits fournisseurs qui mettent en œuvre ce motif : Dragos Platform, Claroty xDome, Nozomi Vantage, Tenable OT Security. Chacun a ses propres forces de décodage protocolaire ; l'achat défense les évalue selon l'environnement OT spécifique.

Étape 3 : Renseignement sur les menaces spécifique ICS/OT

Le renseignement sur les menaces ICS/OT est sa propre discipline. Les flux CTI IT génériques (couverts en partie 1) manquent les TTPs spécifiques ICS : techniques de la famille Stuxnet, variantes Industroyer, TRITON, PIPEDREAM. Les sources CTI ICS dédiées :

Dragos WorldView. Renseignement leader sur les menaces ICS. Couvre les acteurs étatiques ICS (ELECTRUM, XENOTIME, ALLANITE, autres) avec TTPs et contenu de détection.

Avis CISA ICS-CERT. Avis ICS du secteur public émis par la U.S. Cybersecurity and Infrastructure Security Agency. Libre d'accès, bien curaté.

CSIRT OTAN et nationaux. Avis pertinents pour les ICS provenant du NCIRC, du BSI, de l'ANSSI et équivalents — particulièrement en périodes de menace accrue.

Avis de sécurité fournisseurs. Chaque fournisseur ICS publie les siens. S'abonner ; intégrer au pipeline CTI ; suivre les obligations de patching.

Le CTI ICS alimente la couche de détection spécifique OT séparément du CTI IT. Les mélanger dilue le signal — la plupart du CTI IT est non pertinent pour l'OT, et les environnements OT ne peuvent pas consommer le volume IT.

Étape 4 : Disponibilité de la forensique numérique

La détection sans analyse post-compromission n'est qu'à moitié une capacité. Les programmes de cybersécurité de défense ont besoin d'une disponibilité de forensique numérique — les investissements d'ingénierie qui permettent de reconstruire ce qui s'est passé après une compromission.

Les composants de la disponibilité forensique :

Agrégation de journaux à longue rétention. Les campagnes étatiques persistent durant des mois. Un SOC qui conserve 30 jours de journaux ne peut pas reconstruire une campagne de 18 mois. Le budget de rétention soutient les fenêtres d'investigation ; le stockage en tiers gère le coût. L'architecture de pipeline de la partie 2 doit l'accommoder.

Capture profonde de paquets là où la justification de menace le supporte. Capture sélective full-packet pour les segments à haut risque. Le stockage est significatif ; la valeur est irremplaçable lorsqu'une compromission nécessite une reconstruction au niveau réseau.

Télémétrie endpoint avec profondeur suffisante. Sysmon, agent EDR fournisseur, audit en ligne de commande, capture de l'arbre des processus. La télémétrie de surface est insuffisante pour une investigation étatique ; la profondeur compte.

Chaîne de garde dès la collecte. Les preuves forensiques doivent soutenir la revue légale et d'accréditation. Procédures de collecte, vérification de hash à chaque transfert, documentation de garde. Les preuves collectées sans chaîne de garde (chain of custody) sont opérationnellement intéressantes mais légalement inutilisables.

Environnement d'analyse forensique. Réseau d'analyse isolé, outillage vérifié (Volatility, Autopsy, la suite SANS DFIR), analystes formés. L'environnement est provisionné à l'avance, pas monté pendant l'incident.

Pipelines d'analyse reproductibles. Les analyses répétables (forensique mémoire, sandboxing de malware, extraction d'indicateurs) sont scriptées et versionnées. Les analyses manuelles ne passent pas à l'échelle et ne survivent pas au turnover analyste.

Le traitement détaillé de la forensique cyber militaire est dans Forensique numérique pour le cyber militaire.

Étape 5 : Solutions cross-domain

Les réseaux de défense ne sont pas des enclaves uniques. Les données circulent légitimement entre niveaux de classification — un flux de renseignement non classifié vers un SOC SECRET, un résumé d'incident épuré pour libérabilité vers un partenaire de coalition, de l'OSINT collecté sur un réseau low-side circulant vers des analystes high-side. Ces mouvements se font via les solutions cross-domain (CDS).

Le paysage CDS :

Diodes de données unidirectionnelles. Liens unidirectionnels imposés par le matériel. Les données circulent uniquement dans la direction approuvée (typiquement high-vers-low pour les produits libérables, low-vers-high pour l'ingestion d'informations publiques). Owl Cyber Defense, Forcepoint, Garrison sont des fournisseurs courants.

Gardes de transfert cross-domain. Solutions logicielles-matérielles qui inspectent, sanitisent et passent les données entre niveaux de classification. Plus flexibles que les diodes (bidirectionnel possible) mais avec une surcharge d'accréditation plus élevée.

Flux de revue manuelle. Là où l'automatisation ne peut pas décider en sécurité, des relecteurs humains approuvent des mouvements de données spécifiques. La plateforme fait remonter le candidat, capture la décision humaine avec attribution et propage le transfert approuvé avec audit.

L'intégration d'ingénierie :

  • La pile cyber s'intègre à l'infrastructure CDS, ne la remplace jamais. Le CDS est fourni par des fournisseurs accrédités avec approbation des autorités de sécurité nationale ; en construire un en interne se justifie rarement.
  • Audit par transfert. Chaque transfert cross-domain est journalisé avec attribution, justification et référence de contenu. Le journal d'audit est une preuve d'accréditation.
  • Vérification de classification à la frontière. Les données entrant dans la CDS sont vérifiées comme ayant les étiquettes appropriées (STANAG 4774 selon la Partie 3 de la série interop OTAN) ; les données sortantes sont revérifiées.
  • Attentes de bande passante et de latence. La CDS ajoute de la latence. Les flux opérationnels accommodent la latence plutôt que de la combattre.

Idée clé : La défense ICS/OT et les solutions cross-domain sont les deux domaines où les ingénieurs cyber IT échouent le plus prévisiblement en contexte défense. La raison est la même dans les deux cas : les motifs de l'IT commercial ne se transfèrent pas proprement, et les ingénieurs qui les appliquent quand même produisent des plateformes qui échouent à l'accréditation, échouent en opérations, ou les deux. La discipline de traiter ces domaines comme des spécialités distinctes est structurelle.

Étape 6 : Segmentation réseau entre IT et OT

Le modèle Purdue est la référence canonique pour la segmentation réseau IT-OT. Les environnements de défense l'étendent souvent avec une segmentation sensible à la classification. Le motif qui fonctionne :

Niveau 0-1 (Processus et capteurs). Le contrôle physique réel — PLCs, RTUs, capteurs, actionneurs. Isolé de l'IT. Aucune connectivité directe côté IT.

Niveau 2 (Contrôle de supervision). HMIs locaux et postes d'ingénierie. Connectés au Niveau 0-1 ; connexion montante minimale.

Niveau 3 (Opérations de site). Bases de données opérations, gestion par lots, serveurs de contrôle. Là où vivent les systèmes au niveau ICS.

Niveau 3.5 (DMZ). Le point de passage entre OT et IT. Toute communication IT-OT passe par ici, avec des politiques de flux de données explicites et de la détection.

Niveau 4-5 (IT d'entreprise). Environnement IT standard. Là où le SIEM/SOAR de la partie 2 opère principalement.

Les extensions défense ajoutent une segmentation par niveau de classification orthogonale aux niveaux Purdue : un réseau OT non classifié pour l'infrastructure d'installation, un réseau OT NATO-RESTRICTED pour l'infrastructure d'exercice en coalition, un réseau OT classifié national pour l'OT de plateforme d'armes. Chacun est son propre environnement segmenté avec ses propres solutions cross-domain là où les données doivent circuler.

Étape 7 : Coordination de la réponse aux incidents ICS/OT

Lorsqu'un incident ICS survient, la réponse est multipartite. La réponse à incident côté IT gère les composants IT ; les opérateurs OT gèrent les composants opérationnels ; les ingénieurs sécurité (safety) gèrent le risque processus-physique ; le juridique gère le reporting réglementaire (qui a des délais spécifiques pour les ICS dans certaines juridictions) ; la direction coordonne la communication publique.

Les investissements d'ingénierie qui soutiennent cette coordination :

Playbooks pré-établis. Playbooks d'incident spécifiques ICS, exercés périodiquement, qui nomment les rôles et les chemins de communication. Le playbook est dans le dépôt, versionné, revu annuellement.

Exercices tabletop. Exercices annuels ou semestriels qui parcourent des scénarios d'incident ICS. Font remonter les lacunes dans les playbooks, les chemins de communication, les capacités techniques. La discipline détaillée de test C2 qui informe cette pratique est dans Tester les systèmes C2 critiques pour la mission.

Entraînement inter-équipes. Les analystes SOC IT qui ne voient jamais d'environnements OT ne peuvent pas répondre efficacement aux incidents OT. Entraînement croisé, familiarisation avec l'environnement OT, exercices conjoints.

Chemins d'escalade fournisseurs. Relations de support pré-établies avec les fournisseurs ICS. Pendant un incident n'est pas le moment de découvrir que la relation de support est uniquement contractuelle.

La suite

La partie 3 a couvert les couches spécialisées. Défense ICS/OT avec monitoring passif comme défaut, renseignement sur les menaces OT dédié, disponibilité forensique numérique avec longue rétention et chaîne de garde, solutions cross-domain pour les flux de données inter-enclaves, segmentation réseau selon le modèle Purdue, coordination de la réponse aux incidents ICS.

La partie 4 clôt la série avec les disciplines de pipeline d'ingénierie et architecturales : le DevSecOps qui génère les preuves d'accréditation comme effet de bord, les réseaux militaires zero-trust, l'intégrité SBOM et chaîne d'approvisionnement, l'alignement ISO 27001 et AQAP-2110, et la posture de conformité continue qui maintient la pile cyber accréditée pendant des cycles de vie opérationnels de 15-20 ans.