Note à l'attention de nos clients et partenaires au Moyen-Orient
Plus d'informations
Académie
Laboratoires
Carrières
Connexion des partenaires
Soutien
FAQ SUR LA CYBERSÉCURITÉ

Quelle est la différence entre la détection des menaces et la détection des anomalies dans le domaine des OT?

La plus grande différence entre la sécurité informatique et la sécurité OT réside peut-être dans le fait que, dans les environnements industriels, nous devons prendre en compte à la fois le risque cybernétique et le risque opérationnel, y compris le risque lié aux processus. En fait, les anomalies opérationnelles non liées à une cybermenace sont beaucoup plus fréquentes.

Dans les environnements industriels, en particulier au sein des infrastructures critiques, les cyberattaques à grande échelle font la une des journaux, mais ce sont plutôt les dysfonctionnements matériels, les erreurs de configuration, les pics de consommation de ressources et les écarts dangereux dans les processus qui sont susceptibles de menacer la production, voire pire. Par exemple, dans une usine chimique, une alarme peut se déclencher si un capteur de pression détecte des valeurs dépassant les seuils de fonctionnement sûrs, entraînant un arrêt immédiat pour éviter une explosion. Tant que la situation n’a pas été examinée, cela peut indiquer qu’un acteur malveillant a manipulé la valeur, ou qu’il s’agit d’une erreur de l’opérateur. Dans les deux cas, la menace est réelle. Les opérateurs et les responsables doivent être capables de détecter à la fois les menaces et les anomalies — intrusions, comportements indésirables et pannes d’équipement — et de réagir rapidement.  

De manière générale, une anomalie désigne tout élément s'écartant des performances ou de l'aspect normaux. Dans le secteur manufacturier et d'autres environnements industriels, il peut s'agir de valeurs de processus instables, de mesures incorrectes ou de configurations erronées susceptibles d'entraîner des dysfonctionnements ou des temps d'arrêt. C'est pourquoi une usine pharmaceutique surveille généralement les communications entre les systèmes de contrôle et les appareils de terrain afin de détecter les lectures ou les commandes anormales qui pourraient perturber la production ou les protocoles de sécurité, et de garantir la qualité des lots. De telles anomalies de processus peuvent également être le signe d'une cybermenace.

Pour garantir la sécurité, la fiabilité et une haute disponibilité, les environnements industriels ont besoin d'une surveillance complète des risques qui combine la détection des menaces basée sur des règles et la détection des anomalies basée sur le comportement. 

Détection basée sur des règles

La détection basée sur des règles est efficace pour détecter les menaces dont les indicateurs sont facilement observables et identifiables. Cette méthode peut également être utilisée pour détecter des anomalies connues et non malveillantes, telles que des pics d'utilisation des ressources ou une augmentation inattendue du trafic.

La détection par signature, qui constitue un sous-ensemble de la détection basée sur des règles, est un moyen rapide et efficace de détecter les activités malveillantes ou les accès non autorisés dans le trafic réseau. Elle s'appuie sur des règles ou des conditions prédéfinies pour identifier des schémas d'attaque uniques et connus dans le trafic réseau — les signatures — et les comparer à une base de données de menaces connues. Chaque signature comprend des indicateurs de compromission (IOC) tels que des noms de fichiers, des hashtags, des URL et des adresses IP. Bien qu'efficace, la détection basée sur les signatures ne fonctionne que pour les menaces connues (telles que les CVE documentées) et uniquement si les indicateurs sont facilement observables et identifiables comme une correspondance potentielle. 

Pour identifier les logiciels malveillants connus, les méthodes de détection basées sur les signatures utilisent les règles YARA et les règles de paquets pour faire correspondre les signatures de fichiers et de paquets, respectivement, et lancer une alerte lorsqu'une correspondance est détectée. 

Détection d'anomalies basée sur le comportement

Les anomalies opérationnelles - ainsi que les menaces inconnues, y compris les jours zéro - ne peuvent pas être détectées à l'aide de règles. La meilleure façon de les détecter est de procéder à une surveillance continue en utilisant l'inspection approfondie des paquets (DPI) pour lire les protocoles industriels dans le trafic réseau et comparer le comportement actuel à une base de référence.

Les réseaux ICS sont relativement statiques par rapport aux réseaux d'entreprise, où des dispositifs sont constamment ajoutés et supprimés, de sorte qu'il est beaucoup plus facile d'établir des lignes de base précises et de reconnaître les écarts par rapport à celles-ci. Cependant, cela ne peut se faire sans un apprentissage automatique sophistiqué pour apprendre le comportement normal des variables de processus collectées à partir du trafic réseau. Une fois les lignes de base établies, la détection des anomalies basée sur le comportement peut être utilisée pour signaler les modèles de trafic en dehors des seuils fixés, ainsi que les lectures de capteurs et les paramètres de flux anormaux.

Détection des menaces et des anomalies à l'aide de la plateforme Nozomi Networks

La plateforme de Nozomi Networks possède le moteur de détection le plus sophistiqué disponible pour les environnements IoT . Il combine des techniques basées sur des règles et sur le comportement pour détecter et limiter l'impact de chaque menace dans votre environnement, des pics de ressources aux jours zéro en passant par les techniques de survie qui échappent souvent aux approches basées sur les signatures, sans submerger les analystes et les opérateurs avec des faux positifs.  

Pour détecter les menaces connues, le système Nozomi Threat Intelligence feed fournit des recherches et des analyses agrégées sur les menaces, ainsi que des informations détaillées sur les indicateurs de menaces, notamment les règles YARA, les règles de paquets, les indicateurs STIX, les définitions de menaces, une base de connaissances sur les menaces et les signatures de vulnérabilités. Nos capteurs et notre plateforme sont continuellement mis à jour avec les derniers logiciels malveillants émergents et les CIO spécifiques aux processus industriels et aux appareils IoT . Cela inclut notre propre recherche OTIoT ainsi que l'intégration avec le catalogue des vulnérabilités exploitées connues de CISA , la matrice ATT&CK® de MITRE pour les mappages ICS et les threat intelligence Mandiant.

Nozomi Threat Intelligence

Pour détecter les anomalies, la plateforme de Nozomi Networks s'appuie sur l'apprentissage automatique pour apprendre les modèles de communication de votre réseau industriel et établir une base de comportement normal. Elle surveille ensuite en permanence votre environnement afin d'identifier tout changement dans la communication ou les valeurs des variables de processus qui pourrait indiquer la présence d'une cybermenace ou d'un risque pour la fiabilité.

Plus précisément, nos capteurs utilisent l'IAP pour analyser plus de 250 protocoles industriels et fournir les données granulaires nécessaires à une analyse comportementale solide. Grâce à cette méthode, nous pouvons extraire des informations détaillées sur les actifs, telles que la marque, le modèle, le numéro de série et la version du firmware/OS des appareils, y compris les contrôleurs industriels, les stations de travail et les serveurs. Nos capteurs peuvent détecter :

  • les violations de la politique, telles que les téléchargements, les chargements et les modifications de programmes ou de microprogrammes d'automates, ainsi que l'exécution d'une commande de démarrage ou d'arrêt d'un automate sur le réseau
  • Dysfonctionnements de l'équipement tels que la perte de liens de communication, les réinitialisations de liens, les erreurs de retransmission et l'état de santé de l'appareil configuré par SNMP
  • Mauvaises configurations telles que protocoles non autorisés, erreurs de lecture de l'automate dues à une adresse de registre non valide et erreurs de paquets SCADA malformés.

Retour aux FAQ

Ressources connexes

Sécuriser l'invisible : Gestion des risques IoT pilotée par l'IA
Voir la ressource
Détecter les menaces d'initiés : Le défi OT dont on ne parle pas et dont on ne fait pas état
Voir la ressource
Imprévisible, en pleine mutation : comment affiner votre stratégie de gestion des risques dansIoT
Voir la ressource
DétecterOT nouvellesOT : comment procéder de manière proactive 
Voir la ressource
Détection des menaces de cybersécurité sur le site OT à l'aide de la matrice connu-inconnu
Voir la ressource

S'abonner

LinkedIn

Démonstration

PLATEFORME

Aperçu de la plate-formeVantageCentral Management ConsoleGuardianGuardian AirArcAsset IntelligenceThreat IntelligenceSmart PollingIntégrationsPSIRT

Services professionnels

Services professionnelsIngénieur désignéServices Fast TrackService de bilan de santéService d'optimisation

Solutions : Besoins des entreprises

Détection et réponse aux menacesSurveillance continue du réseauGestion de l'inventaire des actifsGestion des risques et des vulnérabilitésIoT SécuritéCybersécurité des centres de données

Solutions : Conformité

NERC CIPDirective NIS2Directives de sécurité de la TSA

Solutions : Industrie

AéroportsServices d'électricitéSoins de santéGouvernement fédéralFabricationMaritimeExploitation minièrePétrole et gazPharmaceutiqueRailVente au détailVilles intelligentesEau et eaux usées

Apprendre

AcadémieCarrièresEntrepriseTémoignages de clientsNous contacterPartenairesRessourcesLaboratoiresJuridiqueCentre fiduciaire
Logo LinkedIn
© 2026 Nozomi Networks . Tous droits réservés. Politique de confidentialité et certifications. État du système.