Andrei Merkulov - stock.adobe.co

Aux Etats-Unis, le NIST se fait l’apôtre de la détection d’anomalies dans les systèmes industriels

Mais l'institut ne tranche pas en faveur d’une approche ou d’une autre quant aux choix des sources utilisées pour surveiller les comportements – réseau, hôtes, ou capteur et données d’historique. Car les trois semblent tenir leurs promesses.

Le marché des solutions de protection des systèmes industriels (ICS/Scada) est particulièrement dynamique. S’il le fallait, le récent rachat de SecurityMatters par ForeScout contribue à le souligner. Mais que valent les approches vantées par ces multiples jeunes pousses spécialisées dans le domaine ?

L’institut de standardisation technique américain, le Nist, s’est penché sur la question, travaillant pour cela avec SecurityMatters, Secure-Nok, CyberX et OSIsoft, pour examiner les solutions de détection d’anomalies comportementales. Et celles-ci relèvent de trois catégories : celles qui s’appuient sur la surveillance du trafic réseau, celles qui analysent en continu les données remontées, en quasi-temps réel, aux systèmes historiens, et enfin celles qui misent sur des agents déployés sur des hôtes de l’environnement.

Au final, aucune de ces trois approches ne semble démériter. Et quelle que soit celle retenue, les bénéfices apparaissent significatifs pour le Nist. Les démonstrateurs mis en place visaient 16 classes d’événements anormaux comme le transit de mots de passe en clair, l’échec d’authentification de l’utilisateur, l’apparition de nouveaux équipements sur le réseau, l’exfiltration de données, les modifications de firmwares de contrôleurs logiques programmables, etc.

Et les conclusions du Nist sont claires. Des événements anormaux ont bien été détectés dans les 16 classes concernées, et « chaque événement de la démonstration touchait à des menaces qui ne seraient normalement pas détectées par les outils de sécurité courants » qui s’appuient sur des règles ou des signatures prédéfinies. Les trois approches de surveillance comportementale ont été examinées, et « chaque produit s’est comporté comme attendu ».

Pour approfondir sur Cyberdéfense