Détection d'intrusion ICS/OT pour les installations militaires

Les systèmes de contrôle industriel (ICS) et les technologies opérationnelles (OT) dans les installations militaires — systèmes de gestion de l'énergie, distribution de carburant, CVC, contrôle d'accès et sécurité physique — constituent une infrastructure critique qui reste souvent en dehors des processus de cybersécurité d'entreprise traditionnels. Ces systèmes utilisent fréquemment des protocoles hérités incompatibles avec les solutions de sécurité basées sur des agents, opèrent dans des réseaux où toute interruption de disponibilité est inacceptable, et peuvent avoir une durée de vie opérationnelle de 20 à 30 ans — ce qui signifie que le correctif peut être techniquement impossible même lorsqu'un patch approprié existe.

La détection d'intrusion dans les environnements ICS/OT résout une tâche fondamentalement différente de la détection d'intrusion IT d'entreprise : l'environnement est en grande partie immuable et bien caractérisé, ce qui rend la détection basée sur les anomalies beaucoup plus efficace. Un automate programmable (API) envoyant une séquence de commandes particulière à un moteur d'entraînement a un rythme prévisible ; tout écart par rapport à ce rythme est un indicateur d'intrusion ou de défaillance, et les deux conditions nécessitent l'attention de l'opérateur.

Pourquoi les protocoles industriels nécessitent une détection spécialisée

Modbus — l'un des protocoles industriels les plus anciens, largement utilisé dans l'infrastructure militaire et les systèmes de contrôle — a été conçu pour la fiabilité et la simplicité, pas pour la sécurité. Modbus TCP ne dispose d'aucune authentification intégrée : tout système du réseau peut envoyer des commandes d'écriture à n'importe quel automate s'il peut établir une connexion TCP sur le port 502. Un système de détection d'intrusion qui comprend Modbus peut établir une ligne de base de comportement normal — quels dispositifs maîtres communiquent typiquement avec quels dispositifs esclaves, quels codes de fonction spécifiques (FC01–FC16) sont attendus, quelles adresses de registres sont lues ou écrites — et détecter les écarts par rapport à cette ligne de base.

DNP3 (Distributed Network Protocol 3) est utilisé dans les systèmes SCADA pour les communications entre les unités terminales distantes (RTU) et les stations maîtresses. DNP3 dispose de capacités d'authentification de base dans certaines implémentations (DNP3-SA), mais est largement déployé dans des configurations sans authentification. Les attaques par rejeu DNP3 — où des messages légitimes sont interceptés et renvoyés pour déclencher des actions — méritent une attention particulière car elles sont invisibles pour la surveillance basée uniquement sur la correspondance de signatures.

IEC 61850 — le standard de communication pour les postes électriques — apparaît de plus en plus dans les bases militaires modernes avec de la génération distribuée et de la gestion de réseau électrique. IEC 61850 est plus complexe que Modbus ou DNP3 et comprend plusieurs protocoles (GOOSE pour les messages de protection, MMS pour la gestion de station, Sampled Values pour les mesures). Le profil de sécurité IEC 62351 existe, mais son implémentation reste incohérente dans la pratique. L'ANSSI a publié des recommandations spécifiques sur la sécurisation des protocoles industriels dans les systèmes d'importance vitale (OIV), qui s'appliquent aux installations de défense.

Surveillance passive : l'étalon-or de la sécurité OT

L'étalon-or pour la détection d'intrusion ICS/OT est la surveillance passive : capturer et analyser le trafic du réseau industriel sans aucune interaction avec les dispositifs surveillés. L'approche passive est obligatoire dans les environnements OT où une requête active échouée vers un automate peut provoquer une réinitialisation du dispositif, une perturbation opérationnelle ou une défaillance matérielle. La sécurité de la continuité du processus est plus importante que la couverture sécuritaire. Les IDS industriels (Claroty, Dragos, Nozomi Networks) sont conçus autour de cette contrainte : ils écoutent le trafic réseau via une mise en miroir de port configurée ou des dérivations réseau passives sans sonder activement le réseau.

La surveillance passive offre trois capacités clés : la découverte d'actifs (inventaire des API, RTU, IHM et autres dispositifs OT avec leur firmware et configurations), la surveillance des communications (établissement des modèles de communication normaux et signalisation des anomalies) et le suivi des modifications (détection lorsque la configuration ou le firmware d'un dispositif a changé).

Établissement de la ligne de base : comportement normal dans les environnements OT

L'efficacité de la détection basée sur les anomalies dépend de la précision de la ligne de base du comportement normal. Les environnements industriels ont des caractéristiques uniques qui favorisent un établissement efficace de la ligne de base : ils sont déterministes (le même processus exécuté de la même façon chaque jour), rythmiques (de nombreux processus industriels suivent des modèles temporels prévisibles) et fermés (l'ensemble des dispositifs et protocoles dans un réseau industriel correctement géré est stable).

La collecte de la ligne de base comprend généralement une période de surveillance silencieuse de 30 à 60 jours, durant laquelle le système de détection observe le trafic réseau sans générer d'alertes. Pendant cette fenêtre, le système construit un modèle du comportement réseau normal : quels dispositifs communiquent entre eux, avec quels protocoles, avec quel volume de trafic et dans quelles fenêtres temporelles spécifiques. Certains IDS industriels appliquent du ML pour affiner automatiquement la ligne de base dans le temps ; d'autres nécessitent la confirmation d'un ingénieur OT que la ligne de base est exacte avant de passer en mode détection.

Détecteurs d'anomalies : des règles simples au ML

Les approches de détection dans les IDS industriels vont des simples règles basées sur les signatures aux modèles ML complexes. Pour les modèles d'attaque connus — tentatives d'écriture Modbus sur des registres normalement en lecture seule, trafic anormal entre segments de réseau, commandes PKI DNP3 provenant de sources non autorisées — la détection basée sur les signatures est nécessaire. Elle fournit une détection rapide et déterministe des vecteurs d'attaque connus avec des faux positifs minimaux.

Les approches ML résolvent ce que la détection basée sur les signatures ne peut pas : les attaques inconnues et les anomalies comportementales subtiles. Les modèles de séries temporelles peuvent détecter quand un automate produit plus ou moins de valeurs de capteur que prévu, même si les valeurs sont dans la plage acceptable. Les réseaux de neurones graphiques peuvent détecter des changements dans les modèles de communication réseau qui ne correspondent à aucune attaque connue spécifique mais sont statistiquement anormaux par rapport à la ligne de base apprise.

Défis d'intégration : OT rencontre la sécurité IT

Le plus grand défi opérationnel lors du déploiement de la détection d'intrusion ICS/OT est organisationnel, pas technique : les ingénieurs OT et les équipes de sécurité IT ont des priorités, une terminologie et des hypothèses différentes sur ce qui est normal et acceptable. Ce qui ressemble à un comportement réseau suspect pour un analyste de sécurité IT peut être une procédure opérationnelle normale comprise uniquement par les ingénieurs OT.

Les déploiements réussis de détection d'intrusion ICS impliquent les ingénieurs OT dans le processus d'établissement de la ligne de base et de validation des alertes. Le contexte opérationnel que les ingénieurs OT fournissent — "cet automate est toujours en mode maintenance le dimanche matin", "ce changement de configuration était prévu suite à une mise à jour planifiée" — est nécessaire pour distinguer les vraies alertes des changements opérationnels normaux. Dans le contexte de la DGA (Direction Générale de l'Armement), les programmes de sécurité ICS des installations de défense exigent une coordination étroite entre les équipes OT et les experts en cybersécurité qualifiés ANSSI.