Surveillance Passive vs Active du Trafic dans les Réseaux ICS : Analyse Technique et Considérations Architecturales

La visibilité du réseau est un élément fondamental pour sécuriser, exploiter et résoudre les problèmes dans les environnements de systèmes de contrôle industriels (ICS). Pour les CISOs, directeurs informatiques et opérateurs gérant les réseaux soutenant les infrastructures critiques, la question n'est pas de savoir s'il faut surveiller le trafic, mais comment le faire sans compromettre la fiabilité ou l'intégrité des processus. Deux approches majeures — la surveillance active et la surveillance passive du trafic — présentent des compromis techniques distincts, des défis de déploiement et des impacts opérationnels.

Cet article vise à clarifier ces techniques de surveillance, leur évolution historique dans les ICS, les risques associés et les meilleures pratiques techniques pour des déploiements résilients, sécurisés et audités.

Contexte : Surveillance des Réseaux ICS dans un Contexte Historique

La surveillance des réseaux ICS est soumise à des pressions uniques. Les exigences strictes en matière de disponibilité, la sensibilité à la latence et l'abondance de protocoles hérités (Modbus, DNP3, PROFIBUS) signifient que les techniques empruntées intégralement à l'informatique d'entreprise peuvent être désastreuses. L'évolution vers une connectivité accrue—qui a commencé il y a des décennies avec l'introduction de Windows NT dans les réseaux de contrôle et s'est accélérée avec l'industrie 4.0—accentue le besoin d'une visibilité de haute fidélité sans nuire au déterminisme ou à la prévisibilité.

Les premiers réseaux ICS étaient physiquement isolés, reposant largement sur des gaps aériens pour la sécurité. La surveillance, lorsqu'elle était mise en place, était minimale et ponctuelle—souvent limitée à des voyants physiques, des impressions en série ou une révision périodique manuelle des journaux. L'avènement de la connectivité basée sur IP a rendu ces pratiques obsolètes. Les SPAN (Switch Port Analyzer) et les taps de réseau ont émergé pour fournir une visibilité au niveau des paquets, mais apportent leurs propres risques et limitations.

Aperçu Technique : Surveillance Active vs Passive

Surveillance Passive du Trafic

Définition : La surveillance passive collecte le trafic réseau en "écoutant" — typiquement via des taps de réseau, des ports SPAN/miroir, ou des capteurs dédiés — sans insérer ou altérer le trafic sur le fil.

• Techniques : Capture de paquets (PCAP), surveillance de flux (par exemple, NetFlow, sFlow), inspection spécifique au protocole.

• Outils : Wireshark, Zeek/Bro, Suricata (IDS en mode tap), outils spécialisés de criminalistique réseau ICS.

Avantages

• Non intrusif : Ne risque pas d'introduire de latence ou d'altérer les paquets, crucial pour les réseaux SCADA/ICS sensibles.

• Impact nul sur le contrôle des processus : Les pannes de surveillance ne perturbent pas le trafic de production.

• Adapté aux appareils hérités ou fragiles : De nombreux PLCs et RTUs ne supportent pas les requêtes supplémentaires ou les paquets mal formés.

Inconvénients

• Complexité de déploiement : Les ports miroir sont susceptibles de surabonnement et peuvent perdre des paquets sous charge. Les taps de réseau introduisent un coût et un risque d'accès physique.

• Lacunes en visibilité : Le trafic chiffré, la communication intra-commutateur ou les liaisons hors bande peuvent échapper à la surveillance.

• Réactif, pas proactif : Peut seulement observer et alerter, pas interagir directement avec les menaces.

Surveillance Active du Trafic

Définition : Les outils de surveillance active génèrent et injectent leur propre trafic dans les réseaux — soit pour vérifier l'état de santé, sonder les appareils, ou interroger pour l'état/la configuration. Les exemples incluent la vérification continue, les transactions synthétiques, ou les analyses de vulnérabilité.

• Techniques : Scans de réseaux, requêtes d'inventaire d'actifs, sondage de protocole, transactions synthétiques.

• Outils : Nagios (auscultation ICMP/SNMP), scripts Python personnalisés, scanners de découverte d'actifs, sondes de sécurité (notamment Tenable Nessus/OT, Rapid7, etc.).

Avantages

• Données proactives : Suscite des réponses directement des points de terminaison, peut révéler des appareils autrement cachés.

• Inventaire complet des actifs : Peut aider à combler les lacunes (par exemple, appareils silencieux, conflits d'adresses) non observables passivement.

• Informations contextuelles accrues : Les bannières de version, extraits de configuration ou échanges protocolaires actifs fournissent des détails granulaires au-delà des charges utiles PCAP.

Inconvénients

• Risque d'interférence : Les appareils (surtout les PLCs hérités) peuvent se comporter de façon inhabituelle, tomber en panne, ou se bloquer sous une charge/pollution non intentionnelle.

• Potentiel de perturbation des processus : Dans les environnements à haute disponibilité ou sécurité, des commandes involontaires ou des paquets mal formés peuvent causer des perturbations de processus—(voir les requêtes de "fingerprinting" de Stuxnet pour une leçon historique).

• Exposition à la sécurité : Les sondes actives, si compromises, offrent un vecteur aux attaquants pour explorer ou manipuler le réseau.

Considérations Architecturales : Où et Comment Surveiller

Conception et Segmentation du Réseau

Les réseaux ICS — idéalement — suivent un modèle de défense en profondeur et de zone/conduit tel qu'articulé dans l'ISA/CEI 62443. Le placement des points de surveillance est crucial et dicté par :

• Zones critiques pour les processus : Par exemple, celles avec des Systèmes Instrumentés de Sécurité (SIS), où une intervention absolument minimale est permise.

• Zones démilitarisées (DMZ) : Idéales pour des approches actives, car tout impact ne se propagera pas directement aux réseaux de contrôle ou de terrain.

• Points d'agrégation de réseau : Les commutateurs/routeurs avec une vue globale sont préférés pour capturer les flux Est-Ouest et Nord-Sud.

Historiquement, la transition des réseaux plats (pré-2000) aux réseaux segmentés, basés sur VLAN ou routés a été motivée par les épidémies de logiciels malveillants (par exemple, Slammer) et les tempêtes de diffusion bruyantes, pas seulement la sécurité. Ce contexte est important, car de nombreux opérateurs industriels sont encore confrontés à des domaines plats vieillissants de couche 2.

Span, Tap ou Agent ?

• Ports SPAN/Miroir – Bon marché et configurables, mais limités en bande passante et sujets à la perte de paquets. Pas fiables pour les liens trunk à haut débit, surtout dans les environnements gigabit/10G.

• Taps de Réseau – Basés sur le matériel et généralement sans perte, mais nécessitent un accès physique et peuvent être opérationnellement contraignants dans les rénovations.

• Agents Basés sur l'Hôte – Offrent les données les plus profondes, mais généralement non viables sur les équipements ICS embarqués en raison de firmwares propriétaires, de verrous des vendeurs ou de contraintes en temps réel.

Collaboration IT/OT : Combler les Écarts Culturels et Techniques

Il est difficile de sous-estimer le fossé historique entre IT et OT. La culture de sécurité IT tend vers une analyse agressive, des correctifs intensifs, et une rotation régulière des identifiants. OT, par nécessité, privilégie la disponibilité, le timing prévisible, la sécurité physique et les contrats de support fournisseur. Des incidents comme WannaCry (2017) et l'attaque du réseau électrique ukrainien (2015, « BlackEnergy ») ont entraîné un alignement réticent — mais la confiance opérationnelle demeure souvent mince.

Recommandations techniques clés :

• Préférez toujours d'abord la surveillance passive, à moins que l'appareil/protocole ne supporte le sondage actif sans risque (consultez les conseils des fournisseurs et testez dans un laboratoire ; par exemple, les PLCs de la famille Siemens S7 ont des ensembles de commandes bien documentés pour un sondage en lecture seule).

• Planifiez soigneusement les analyses actives : Périodes de faible sensibilité aux processus ; coordonnées avec les opérateurs de salle de contrôle et documentées dans les systèmes de gestion de la maintenance (CMMS).

• Documentez et inventorie les appareils : Particulièrement critique dans les environnements brownfield avec des dossiers de gestion d'actifs médiocres.

• Assurez-vous de la ligne de base du réseau : Collectez les modèles de trafic normaux passivement avant de lancer toute analyse active ; définissez ce qu'est "normal".

Une collaboration réelle est encouragée lorsque l'OT sent que ses contraintes de fiabilité sont respectées, et que l'IT gagne une appréciation des exigences déterministes en temps réel, étrangères aux environnements de bureaux.

Modèles de Déploiement : Exemples de l'Industrie et Leçons Tirées

Exemple 1 : Surveillance Passive pour une Haute Disponibilité

Un grand fournisseur d'énergie européen, exploitant des sous-stations de réseau électrique, a standardisé sur la surveillance passive en utilisant des taps en fibre placés aux liaisons montantes entre les commutateurs de terrain et les RTUs régionaux. Cette approche a permis une visibilité complète des protocoles pour la détection d'anomalies (trafic DNP3, IEC 104) sans risque pour les flux d'énergie en direct. Le sondage actif était limité à la DMZ, l'inventaire des actifs basé sur le sondage était synchronisé avec la découverte des capteurs passifs pour éviter les doublements d'appareils.

Exemple 2 : Sondage Actif qui a Mal Tourné

En 2015, une usine mondiale de produits alimentaires et de boissons a déployé un scanner générique de vulnérabilité IT dans une cellule de processus. L'outil a émis des requêtes SNMP et SMB mal formées, faisant planter plusieurs PLCs Allen Bradley qui ont alors arrêté la ligne d'emballage. Cause fondamentale : échec de la segmentation du réseau et absence de test du profil du scanner dans un environnement de test séparé. La remédiation a impliqué une revue architecturale, l'adoption d'outils passifs approuvés par le fournisseur et un contrôle strict des modifications sur toutes les opérations de sécurité actives.

Exemple 3 : Approche Hybride avec Gestion du Changement

Un opérateur de pipeline de gaz a équilibré ses besoins en surveillant passivement tous les appareils de terrain, mais a maintenu une liste blanche de points de terminaison (HMIs virtualisés, serveurs d'historiques) pour une interrogation active périodique. Cette approche hybride a tiré parti des forces des deux techniques mais a nécessité une documentation et des tests rigoureux via la gestion du changement — l'inventaire des actifs était lié à un SIEM central pour une corrélation complète.

Recommandations Pratiques et Étapes Suivantes

1. Cartographiez précisément votre réseau ICS : Identifiez toutes les interconnexions, VLANs, domaines de routage et types d'appareils. Cela constitue la base pour déterminer les emplacements et techniques de surveillance appropriés.

2. Préférez la surveillance passive pour toutes les zones critiques pour les processus : Envisagez uniquement des approches actives là où les appareils sont confirmés robustes, et préférez les requêtes non intrusives.

3. Instrumentez agressivement votre DMZ et vos passerelles d'accès à distance : C'est là que la surveillance active centrée sur l'IT offre la plus grande valeur avec le moins de risques.

4. Établissez une gestion rigoureuse des changements et des tests : Tous les déploiements d'outils de surveillance — actifs ou passifs — doivent être vérifiés dans des environnements de test d'ingénierie (ET) avant le déploiement en direct.

5. Documentez tout : Points de surveillance, configurations des appareils, trafic de base normal et processus d'exception. Cela soutient l'audit, le dépannage et la réponse aux incidents.

Conclusion

Choisir entre la surveillance passive et active dans les réseaux ICS n'est pas une décision binaire, mais un processus contextuel et basé sur le risque. Les deux approches sont des outils nécessaires pour le défenseur industriel moderne — mais le coût de l'erreur est plus élevé là où la sécurité ou la fiabilité des processus est en jeu. L'histoire illustre à maintes reprises que la philosophie du « bouger vite et casser des choses » n'a pas sa place près d'une turbine à gaz ou d'un réacteur chimique.

Respecter à la fois les caractéristiques uniques des systèmes de contrôle et le contexte opérationnel qu'ils habitent est non négociable. Commencez par une surveillance passive, évoluez vers des techniques actives sélectives uniquement là où elles sont justifiées et validées — et assurez un dialogue continu et de l'empathie entre les équipes IT et OT. Le réseau, après tout, n'est pas seulement un conduit pour les paquets, mais le système nerveux des infrastructures critiques.