Accueil
Programme
Infos Service Lecteurs
Abonnement
Produits
Catalogues
Contacts

SIEM OT ou SIEM IT : quelle différence ?

Les environnements des technologies de la production (OT) sont aujourd’hui confrontés à des défis sans précédent en termes de cybersécurité et d’intégrité opérationnelle. Les systèmes traditionnels de gestion des informations et des événements de sécurité (SIEM) ne sont souvent pas à la hauteur, ce qui rend les actifs OT critiques d’autant plus vulnérables. Si vous êtes familiarisé avec les infrastructures traditionnelles de cybersécurité informatique ou d’entreprise, vous connaissez sûrement la journalisation et la gestion des événements au moyen de la technologie SIEM. Dans le cas des normes NIST, COBIT, ISO et même PCI, elle est même jugée nécessaire à un certain niveau.

Cet article présente aux responsables sécurité IT/OT différentes informations relatives au SIEM :

  • Fonction et objet du SIEM (indépendamment de l’IT ou de l’OT) 
  • Différence entre technologie SIEM IT et SIEM OT 
  • Facteurs plaidant en faveur d’un SIEM OT 
  • Architecture de référence pour un SIEM OT 

Qu’est-ce qu’un SIEM ?

Un SIEM est un système qui agrège, explore et analyse diverses sources d’informations cyber (sécurité et autres) pour le stockage, les alertes, la réponse et le reporting. Sa véritable puissance réside dans sa capacité à corréler des sources de données hétérogènes et à fournir le contexte pour identifier et hiérarchiser les menaces réelles. Les analystes, les systèmes automatisés et les équipes de sécurité traitent les alertes, les alarmes, les événements et les valeurs de référence pour détecter les cyberrisques et y répondre. Cette corrélation est cruciale pour éviter aux équipes de sécurité d’être submergées par les alertes et leur permettre de se concentrer sur des informations exploitables.

Un système SIEM comporte généralement plusieurs fonctions clés :

  • Réception, unification et analyse des données
  • Organisation des données pour leur utilisation à court/long terme
  • Système d’alarme dès qu’un déclencheur ou seuil critique est atteint

Ces déclencheurs ou seuils sont hérités de l’application ou du système générateur et exploitent l’apprentissage automatique, les statistiques ou l’heuristique, mais aussi des cas d’utilisation définis par des personnes ou par le cadre.

En définitive, l’objectif d’un système SIEM est de recevoir des messages (souvent aux formats Syslog et événement Windows), de les mettre à la disposition des fonctions de cybersécurité et d’alerter en conséquence, afin que les équipes de sécurité puissent exécuter efficacement des procédures et des processus définis pour gérer la menace. L’exemple suivant illustre parfaitement cette approche : Imaginez une PME avec une infrastructure convergente. Des systèmes Windows sont utilisés pour les comptes fournisseurs, ainsi que pour le traitement et la distribution des commandes de l’atelier et des tâches connexes. Ces deux fonctions sont essentielles, mais l’une est liée à l’informatique et l’autre aux technologies de la production. Imaginons maintenant que la personne en charge des comptes fournisseurs ouvre un courriel d’hameçonnage, qu’un attaquant place un logiciel malveillant sur le système et que, fort heureusement, l’antivirus du système le détecte et génère une alerte.
Il s’agit d’un exemple simple, mais dans le cas d’un logiciel malveillant de base et d’une entreprise gérant ses ressources, il est avantageux que ses systèmes transmettent les journaux à un système sécurisé aux d’analyse, de répartition et de formation. Dans ce cas, le logiciel malveillant a été détecté (par exemple, pas d’attaque massive par rançongiciel), mais la personne en charge des comptes fournisseurs peut avoir besoin d’une formation de sensibilisation à l’hameçonnage ou d’un entretien avec son responsable. 

Différences entre SIEM IT et un SIEM OT 

La nécessité d’un centre des opérations de sécurité (SOC) OT pour surveiller, optimiser et utiliser un SIEM fait l’objet de nombreux débats. Se pose également la question sur la valeur d’un SIEM OT et ce qui le démarque d’un SIEM IT. Même si les SIEM IT et OT agrègent et analysent les données, leur objectif et leurs priorités diffèrent considérablement. Les technologies de la production (OT) mettent l’accent sur la sécurité, la fiabilité et la disponibilité. Cela requiert des données spécialisées et des capacités d’analyse. Les principales différences sont les suivantes :

  1. Données : les SIEM OT intègrent les données de processus, afin de mieux comprendre les anomalies opérationnelles.
  2. Analyse : les équipes IT s’occupent généralement des cybermenaces qui affectent la confidentialité, l’intégrité et la disponibilité, tandis que les équipes OT gèrent la sécurité, la fiabilité et la productivité. Une alerte indiquant un écart des paramètres de processus pourrait signaler un risque pour la sécurité ou un dysfonctionnement de l’équipement, avec la nécessité d’une action immédiate. En raison de la convergence et de la nature interconnectée des réseaux, les menaces et les systèmes/infrastructures actuels se chevauchent à bien des égards. Les ingénieurs et les opérateurs de site doivent pouvoir relier rapidement à un événement les informations relatives aux actifs pour prioriser une situation et exécuter un processus (par exemple, appuyer sur le bouton d’arrêt rouge plutôt que simplement restaurer l’image d’un système).
  3. Visibilité : les fonctions SIEM dans les environnements IT sont surveillées dans un entrepôt de données central, lui-même hébergé dans un centre de données d’entreprise. La visibilité est limitée au centre des opérations de sécurité. Les environnements OT nécessitent une visibilité sur site pour permettre de répondre rapidement aux incidents.
  4. Retour sur investissement : le SIEM IT est un outil de sécurité pur et sa valeur ajoutée est liée à la réduction du risque de cyberattaque. Un SIEM OT agit comme un outil d’exploitation qui peut aider à prédire les défaillances des équipements, à réduire les temps d’arrêt imprévus et à faire des économies d’exploitation significatives. Par exemple, la surveillance des données de vibrations des machines critiques doit permettre une détection anticipée des anomalies et donc une maintenance préventive.

Les cas d’utilisation sont notamment les suivants :

  • Maintenance prédictive et surveillance des ressources
  • Systèmes (hors ligne) soudainement manquants
  • Localisation d’actifs transitoires (voire de dispositifs indésirables)
  • Alarmes de sécurité pour les cybermenaces traditionnelles ou les accès non autorisés
  • Accès inattendu au système ou comportements erronés du système
  • Défaillances du processus, alertes d’arrêt ou désactivation manuelle des alarmes
  • Exigences réglementaires et de conformité

Indépendamment de l’origine, il existe des recoupements entre les cas d’utilisation et les cybermenaces (notamment les logiciels malveillants de base) au niveau des SIEM, mais les impacts et les événements affectant chaque côté du spectre (IT ou OT) diffèrent à mesure que vous progressez dans l’une ou l’autre direction.

Les environnements IT sont souvent confrontés à des menaces du type logiciels malveillants, hameçonnages et divulgations/violations de données, ainsi qu’à diverses menaces provenant directement d’Internet. Pour les environnements OT, les menaces visent à compromettre les équipements de commande de procédé spécialisés, les systèmes de sécurité et les lignes de production. Pour l’IT comme pour l’OT, il existe divers ensembles de compétences avec des priorités différentes en fonction du type de travail effectué et des événements générés.

Au niveau informatique, si une alerte indiquant que l’utilisateur X effectue une action Y ou Z, ou si une alerte de logiciel malveillant est déclenchée, la gestion de la cybersécurité dans ces situations est relativement bien comprise. Mais côté OT, la variété des fournisseurs et des technologies propriétaires peut couvrir plusieurs décennies, ce qui se traduit par un nombre considérable d’alarmes ou d’alertes pour les équipes chargées du maintien opérationnel et de la sûreté d’une installation.

Quels facteurs plaident en faveur d’un SIEM OT ?

Il est souvent nécessaire d’avoir des SIEM IT et OT dans un même environnement. Dans la quasi-totalité des cyberattaques industrielles, l’acteur est passé de l’environnement IT à OT en en partant de l’IT et en traversant les protections existantes entre les deux.

Une vision unique permettant de superviser la gestion des actifs, le reporting et les fonctionnalités SIEM est nécessaire pour réduire efficacement les cyberrisques entre les deux environnements.

Reste à savoir comment implémenter au mieux cette vue intégrée. Quand est-il pertinent d’avoir un SIEM OT pour l’agrégation des données, les analyses, les réponses aux incidents et le reporting spécifiques aux environnements OT, puis la transmission des alertes et des informations critiques au SOC de l’entreprise ?

Pour ce type de questions, l’approche et la stratégie sont spécifiques à l’entreprise. Pour certaines, un seul SIEM, sans fonctionnalité OT spécifique, prend tout son sens. Pour d’autres, un SIEM OT robuste sera un élément fondamental.

4 facteurs plaidant en faveur d’un SIEM

  1. Complexité des processus OT: les entreprises du secteur de l’électricité, les raffineries de pétrole, les usines de traitement de l’eau, etc. exploitent des processus physiques complexes qui nécessitent une expérience approfondie du fonctionnement des systèmes de commande. Pour identifier et analyser les risques et les réponses à y apporter, le personnel OT doit avoir accès à un système SIEM OT afin de fournir les informations détaillées qu’il est le seul à comprendre de manière approfondie. Plus le processus est complexe, plus la valeur ajoutée d’un système SIEM OT est importante.
  2. Criticité des processus OT : les processus OT de nombreuses entreprises industrielles constituent le cœur de leurs activités. Les temps d’arrêt découlant d’une attaque ou de l’interruption involontaire d’un équipement ont un coût financier élevé. Par conséquent, la surveillance de variabilité des processus, des anomalies de comportement des dispositifs de commande suite à une défaillance potentielle, des nouveaux dispositifs susceptibles de provoquer des perturbations, etc. ajoute une valeur significative. Un SIEM OT fournit ce type de précieuses informations.
  3. Accès/segmentation réseau de l’infrastructure OT : plus les réseaux OT et IT sont séparés, plus l’utilité du système SIEM OT est grande. Plus la capacité d’action est dépendante du personnel d’exploitation local, plus la valeur d’un SIEM OT augmente.
  4. Conformité et réglementations: dans certains secteurs tels que l’industrie électrique,   les réglementations en matière de cybersécurité (par ex., norme NERC CIP) nécessitent des données OT détaillées. L’intégration de ces données à un SIEM IT peut n’avoir aucune pertinence, car elles portent plus sur la conformité que sur la fourniture des analyses de sécurité exploitables par un SOC.

Problématique des ordres de travail émis par un SIEM IT de l’entreprise 

La réponse n’est pas aussi simple qu’il y paraît, et le niveau de complexité découle de la quantité d’équipements existants, ainsi que de l’étendue du contrôle des processus et des réglementations dans l’environnement considéré. A priori, personne ne veut complexifier son environnement d’entreprise avec une bureaucratie excessive en matière de conformité, assortie des coûts qui peuvent y être associés.

Sur ce schéma de SIEM IT, il semble que tout soit en place pour que cela fonctionne correctement. Cependant, le problème réside dans le fait que la plupart des solutions d’entreprise n’ont pas accès à un certain nombre de sources pourtant importantes, mais reçoivent plutôt une alerte et déterminent en conséquence où l’affecter et à qui l’envoyer, sur la base des compétences classiques d’un analyste informatique.

Compte tenu du peu d’informations et de la quasi absence de contexte, l’alerte est envoyée côté OT.  En supposant qu’il existe un ticket ou un système de travail reliant les deux domaines et agissant comme élément de convergence IT/OT, le travail est attribué au personnel ou à l’équipe OT qui vont tenter de trouver une signification à un message d’une ligne au contenu peu explicite.

Si le destinataire OT a de la chance, il peut trouver de l’aide dans les procédures appropriées en place pour l’environnement. Malheureusement, même l’équipe IT ne peut exploiter ces informations insuffisantes, et la priorité et la correction constituent un défi en raison des contraintes opérationnelles au niveau OT.

En d’autres termes, à moins que l’alerte ne soit fournie avec un contexte adéquat et des informations complémentaires, l’approche consistant à utiliser un SIEM seul exige une visibilité complète des actifs et une expertise adéquate concernant l’actif ou l’environnement déployé. Prenons un exemple courant dans le domaine IT et de l’entreprise : les certificats SSL/TLS obsolètes. Au niveau entreprise, une alerte, un rapport ou une alarme indiquant qu’un système présente des certificats expirés va déclencher une série d’événements :

  • Un rapport d’événement ou de vulnérabilité est reçu et traité par le SIEM IT
  • Un analyste du SOC enquête et émet un ticket
  • Le ticket peut être attribué et un nouveau certificat émis sans hésitation

Là encore, il s’agit d’un exemple très simple. Mais dans l’environnement OT, un avertissement concernant un certificat ne constitue pas une cybermenace directe. En outre, les conditions suivantes doivent être comprises avant de réémettre un certificat :

  • Le dispositif et/ou le site sont-ils confrontés à un risque direct et impactant lié à l’expiration du certificat ? Si ce n’est pas le cas et si d’autres contrôles sont en place, d’autres tâches peuvent avoir une priorité plus élevée.
  • La révocation et l’installation d’un certificat entraîneront-elles des temps d’arrêt ou une perte de connectivité ? Est-ce autorisé ? En cas d’impact réduit, le problème peut être laissé en l’état ou planifié de manière appropriée sur un temps d’arrêt ou sur une période peu impactante.
  • L’avertissement se produit-il sur un dispositif ayant plusieurs niveaux de contrôle de correction ? (par ex., le dispositif est isolé, segmenté et surveillé).
  • Le dispositif se trouve-t-il dans une position où un certificat expiré est situé sur un actif avec des implications supplémentaires, nécessitant des connaissances empiriques ou comportant d’autres modalités ? (par ex., une authentification mutuelle, qui amplifierait les changements ; N dispositifs, affectés * N changements).
  • L’expiration d’un certificat signifie-t-elle réellement une baisse de la sécurité ? S’il n’est pas compromis ou révoqué, cela peut être acceptable momentanément (en supposant que la situation est conforme aux seuils de conformité et de risque de l’entreprise).

Il existe d’autres préoccupations mais ce sont les principales raisons qui expliquent l’importance d’un SIEM OT. Il doit être géré par des personnes qui connaissent leur environnement plutôt que par les équipes d’un autre département (bien que pour une infrastructure convergente, un regard croisé sur l’infrastructure ne soit pas une mauvaise idée). Une alerte ne correspond pas spécifiquement à un problème qui nécessite des changements immédiats et elle exige également une visibilité et la présence des personnes compétentes dans l’environnement OT.

Qu’est-ce qu’une architecture de référence pour un SIEM OT ?

Comme pour tout concept théorique, comment en tirer le meilleur parti ou déterminer s’il fonctionne dans le monde réel par rapport aux exercices théoriques ?  L’idée est la suivante :

  • L’équipe IT gère ses propres dispositifs et technologies pour en tirer profit
  • Il existe une file d’attente de tickets partagée entre les environnements, pour un suivi croisé des événements, des suites à donner ou de l’intérêt mutuel
  • Un registre des risques partagé et un tableau de contrôle des modifications sont présents (pour des problèmes réels, par ex., lorsque l’informatique possède un routeur de périphérie, apporte des modifications et perd la connectivité avec l’environnement
  • OT)
  • L’équipe OT examine et suit les événements pertinents d’une manière sûre, avec une visibilité complète des informations sur les actifs, des journaux, etc.
  • L’équipe OT contrôle l’application réelle des modifications, mais assure aussi la transmission bidirectionnelle des alarmes (IT vers OT et OT vers IT selon le cas)
  • Le domaine OT exploite les technologies du domaine informatique voire ses méthodologies, selon les cas, pour la cybersécurité, mais en appliquant ses propres critères
  • Le domaine OT crée ses propres cas d’utilisation de surveillance en plus de ceux de l’infrastructure opérationnelle traditionnelle (par exemple, les systèmes d’historique ou les IHM), mais pour les diagnostics, la mise en réseau, les ressources système, etc.
  • Le domaine OT corrige et résout efficacement les vulnérabilités ou les événements lorsqu’ils surviennent
  • Les informations circulent facilement vers les environnements IT et OT, pour un suivi efficace des risques en phase avec les risques ou motivations de l’entreprise

SIEM OT ou SIEM IT

Un SIEM OT se démarque d’un SIEM IT par l’agrégation, l’analyse et la visualisation d’un ensemble distinct de données, au moyen d’un ensemble de filtres différents. Il en résulte un ensemble d’informations sur la sécurité et sur la fiabilité que ne peuvent fournir les SIEM IT traditionnels.

Principales différences architecturales 

Une architecture de SIEM OT type inclut la collecte de données à partir de dispositifs OT via des zones et canaux de transmission sécurisés, l’analyse au sein d’une zone de sécurité OT dédiée, souvent derrière une zone démilitarisée, et l’intégration au SIEM d’entreprise pour une visibilité centralisée. Il n’y a pas de réponse absolue à la question de savoir si une entreprise industrielle a besoin d’un SIEM OT distinct, mais plusieurs facteurs indiquent qu’il offre une valeur accrue.

L’utilisation de zones et de canaux de transmission sécurisés est essentielle dans les environnements OT. Les zones segmentent le réseau en zones logiques en fonction du risque et de la fonction, tandis que les canaux de transmission contrôlent et surveillent le flux de données entre ces zones. Cette approche permet de réduire la surface d’attaque et limite l’impact des violations potentielles.

Un SIEM OT agit comme une chambre de compensation pour les alertes et événements les plus critiques à transmettre au SIEM IT, afin d’obtenir une vue d’ensemble de l’entreprise cruciale pour la sécurité convergente IT/OT. Les données circulent du SIEM OT vers le SIEM IT, afin de fournir des alertes critiques et des informations contextuelles permettant une posture de sécurité globale. Cette intégration permet aux équipes de sécurité IT de comprendre l’impact des événements OT sur l’ensemble de l’entreprise.

Intégration des API aux outils OT 

Un SIEM OT doit être lié aux outils utilisés dans un environnement OT. Les intégrations d’API aux outils OT, notamment les historiques, les interfaces IHM et les plateformes de gestion des actifs, sont essentielles pour une surveillance et une réponse complètes. Ces intégrations permettent au SIEM OT de corréler les données de diverses sources, afin de fournir une image plus précise et complète de l’environnement opérationnel.

Si ce n’est pas le cas, dans un environnement focalisé sur l’action, des mesures correctives peuvent ne pas être appliquées ou, pire encore, les alarmes non pertinentes ne peuvent pas être ajustées, et des incidents de sécurité vitaux peuvent passer inaperçus. L’essentiel est de tirer le meilleur parti de vos investissements pour réduire les risques et optimiser leur efficacité.

À propos de Rockwell Automation

Rockwell Automation, est un leader mondial en matière d’automatisation industrielle et de transformation numérique. Nous connectons l’imagination de nos talents avec le potentiel de la technologie afin d’élargir le champ des possibles, pour un monde plus productif et plus durable. Rockwell Automation, dont le siège social se trouve à Milwaukee (Wisconsin), emploie, à la fin de l’exercice 2025, près de 26 000 personnes au service de ses clients dans plus de 100 pays. Pour découvrir comment nous donnons vie à la solution « The Connected Enterprise® » dans les entreprises industrielles, visitez le site www.rockwellautomation.com.

Rockwell Automation www.rockwellautomation.com


Cliquez ici pour voir les autres produits de la société