TroutTrout
Back to Blog
ModbusDNP3Network Visibility

Comment détecter les anomalies dans le trafic Modbus et DNP3

Trout Team5 min read

Comprendre les protocoles Modbus et DNP3

Dans les systèmes de contrôle industriel (ICS), les protocoles Modbus et DNP3 transportent les commandes qui pilotent les processus physiques. Développés à l'origine pour la communication entre équipements électroniques dans les systèmes SCADA (supervisory control and data acquisition), ces protocoles sont au cœur des environnements industriels modernes. Leur nature héritée les rend toutefois vulnérables à de nombreuses menaces de sécurité. La détection des anomalies dans le trafic Modbus et DNP3 est donc indispensable pour préserver l'intégrité et la sécurité des réseaux industriels.

Qu'est-ce que Modbus ?

Modbus est un protocole de communication développé en 1979 par Modicon, aujourd'hui Schneider Electric, pour ses automates programmables industriels (PLCs). Devenu un standard de fait dans de nombreux secteurs, il facilite la communication entre équipements. Modbus repose sur une architecture maître-esclave ou client-serveur, dans laquelle un équipement maître interroge plusieurs équipements esclaves pour collecter des données.

Qu'est-ce que DNP3 ?

DNP3, ou Distributed Network Protocol, a été développé dans les années 1990 pour les secteurs de l'électricité et de la distribution d'eau. Plus élaboré que Modbus, il offre des fonctionnalités telles que l'horodatage des données et la journalisation des événements. DNP3 est conçu pour fonctionner sur de longues distances et dans des conditions difficiles, ce qui le rend courant dans les scénarios de télésurveillance.

L'importance de la visibilité réseau

Pour les professionnels de la sécurité IT et les responsables de la conformité, obtenir une visibilité réseau complète est le fondement d'une gestion de la sécurité efficace. Sans visibilité, détecter des anomalies dans le trafic Modbus et DNP3 revient à chercher une aiguille dans une botte de foin. L'absence de visibilité peut conduire à des intrusions non détectées et à des manipulations non autorisées des données, faisant peser des risques significatifs sur la sécurité et la conformité.

Principaux avantages de la visibilité réseau

  • Posture de sécurité améliorée : identification des comportements inattendus ou des schémas de trafic susceptibles d'indiquer une violation de sécurité.
  • Conformité renforcée : respect des exigences réglementaires telles que NIST 800-171, CMMC et les directives NIS2, qui imposent une surveillance stricte des activités réseau.
  • Efficacité opérationnelle : réduction des temps d'arrêt grâce à l'identification et au traitement rapides des problèmes réseau.

Détection des anomalies dans le trafic Modbus

Du fait de sa simplicité, Modbus ne dispose d'aucune fonctionnalité de sécurité native, ce qui en fait une cible de choix pour les attaquants. La détection des anomalies requiert une combinaison de connaissances spécifiques au protocole et d'outils de surveillance avancés.

Anomalies courantes dans le trafic Modbus

  1. Accès non autorisé : accès provenant d'adresses IP ou d'équipements non reconnus.
  2. Schémas de commandes inhabituels : commandes qui s'écartent des normes opérationnelles établies.
  3. Altération des données : modifications inattendues des valeurs de données pouvant indiquer une tentative de modifier le comportement du système.

Techniques de détection des anomalies

  • Inspection approfondie des paquets (DPI) : analyse des paquets de données pour détecter des schémas de commandes anormaux ou des tentatives d'accès non autorisé.
  • Analyse comportementale : utilisation d'algorithmes d'apprentissage automatique pour établir une référence du trafic Modbus normal et identifier les écarts.
  • Liste blanche (Whitelisting) : autorisation des seules commandes Modbus connues et légitimes, avec blocage de toutes les autres.

Détection des anomalies dans le trafic DNP3

Bien que DNP3 intègre certaines améliorations de sécurité par rapport à Modbus, notamment des mécanismes d'authentification, il n'est pas à l'abri des anomalies et des attaques.

Anomalies courantes dans le trafic DNP3

  1. Attaques par rejeu : retransmission de paquets de données valides précédemment capturés pour perturber le fonctionnement normal.
  2. Injection de données : insertion de données falsifiées dans le flux de communication pour manipuler le comportement du système.
  3. Commandes non autorisées : exécution de commandes par des équipements ou des utilisateurs non autorisés.

Techniques de détection des anomalies

  • Vérification des horodatages : contrôle de l'intégrité des données horodatées pour se protéger contre les attaques par rejeu.
  • Détection des anomalies protocolaires : identification des écarts par rapport aux comportements standard du protocole DNP3.
  • Authentification sécurisée : mise en œuvre de l'authentification sécurisée DNP3 pour prévenir les accès non autorisés et l'exécution de commandes illicites.

Mesures pratiques pour renforcer la sécurité

Pour renforcer la sécurité du trafic Modbus et DNP3, appliquez les bonnes pratiques suivantes :

  1. Mettre en œuvre la segmentation réseau : utiliser la segmentation pour isoler les zones réseau critiques et limiter les surfaces d'attaque potentielles.
  2. Déployer des systèmes de détection des anomalies (ADS) : utiliser des ADS pour surveiller et analyser le trafic en temps réel, avec génération d'alertes pour toute activité suspecte.
  3. Mettre à jour et corriger régulièrement les équipements : tenir à jour un inventaire de tous les équipements connectés et veiller à ce qu'ils soient régulièrement corrigés contre les vulnérabilités connues.
  4. Réaliser des audits de sécurité réguliers : effectuer des audits périodiques en s'appuyant sur des référentiels tels que NIST 800-171 pour garantir la conformité et identifier les lacunes de sécurité potentielles.

Conclusion

La détection des anomalies dans le trafic Modbus et DNP3 exige une surveillance spécifique au protocole : inspection approfondie des paquets pour lire les codes de fonction et les valeurs de registres, établissement de références pour définir les schémas de commandes normaux, et mise en liste blanche pour bloquer les commandes inattendues. Déployez ces contrôles aux frontières de segment, là où le trafic Modbus et DNP3 traverse les zones. Générez des alertes sur tout écart par rapport à la référence, analysez chaque alerte et affinez vos références à mesure que les schémas opérationnels évoluent.

Other Articles

CMMCCompliance

What the CMMC Enduring Exception Actually Requires You to Document

The Enduring Exception is not a waiver. It requires specific documentation, compensating controls with evidence, and an Affirming Official signature. Miss any of it and you face False Claims Act exposure.

OT SecurityZero Trust

Why Your OT Network Has No Identity Layer (And What Happens When an Attacker Notices)

The moment an attacker reaches your OT network, they stop having to prove who they are. Flat Layer 2, PLCs that can't do MFA, trust-by-location — it's a lateral movement playground. The fix isn't rewiring the plant. It's putting an identity layer in front of the assets that can't enforce one themselves.

Zero TrustOT Security

Zero Trust for Legacy PLCs: The Lollipop Architecture Explained

Legacy PLCs cannot authenticate users, log sessions, or encrypt traffic. The lollipop architecture puts a proxy in front of each asset, enforcing Zero Trust at the network layer without modifying the device.

News & Insights

Resources & Insights.

Securing Modbus whitepaper
WhitepaperWhitepaper

Securing Modbus in Modern Industrial Environments

Zero Trust OT webinar
WebinarWebinar

Zero Trust for OT Networks

OT network architecture diagram
ArchitectureGuide

Reference Architectures for OT Security

All articles