Après la phase d’apprentissage, le fabricant de cette solution travaille avec l’exploitant afin d’évaluer la communication qui en résulte et de décider si les alarmes se sont produites ou pas dans le cadre d’une opération de routine. Dans le premier cas, l’alarme est reconnue et sera ignorée. L’avantage de cette approche est qu’elle fonctionne indépendamment des signatures. Malgré tout, elle peut évaluer les activités d’un logiciel malveillant qui se trouvait déjà sur le réseau OT avant le début de la phase normale d’apprentissage. Le processus d’apprentissage est coûteux et nécessite beaucoup de temps et de ressources. Approche basée sur les spécifications Les spécifications des systèmes (fichiers SCL CEI 61850, listes de signaux, listes d’adresses IP) sont généralement correctement documentées. Ces spécifications décrivent le système et sa communication de manière détaillée. Les informations relatives au système sont transmises à l’IDS, le rendant immédiatement opérationnel. Il analyse immédiatement l’ensemble des données du trafic et évalue si la communication est autorisée dans le modèle du système, permettant une détection efficace et rapide des attaques et défauts de fonctionnement potentiels. Pas besoin de phase d’apprentissage chronophage ni de s’assurer que les signatures sont à jour. Si l’on compare directement ces approches, les solutions basées sur une liste d’autorisation sont préférables pour les réseaux OT du secteur énergétique car elles ne requièrent qu’un effort de mise en œuvre minimal. Une compréhension approfondie des processus familiers (tests de protection, tâches de maintenance, etc.) facilite le fonctionnement quotidien pour les employés des systèmes IT et OT et aident à préserver les ressources en personnel. Cybersécurité IT ≠ Cybersécurité OT Néanmoins, ces trois options de détection d’intrusion ont un point commun au niveau du réseau : elles doivent être intégrées dans les réseaux des processus des exploitants de façon passive et non réactive. Cela souligne une différence essentielle entre ces systèmes de sécurité et les systèmes de cybersécurité de l’informatique classique (de bureau). Dans les réseaux de contrôle OT, il 24
RkJQdWJsaXNoZXIy NTkxNzY=