Si les SOC se sont historiquement concentrés sur l’IT, l’intégration des environnements industriels (OT/ICSI) progresse, bien qu’elle reste partielle. Selon une récente étude de SANS Institute, seules 8,8 % des organisations disposent en effet d’un SOC OT dédié, mais 29,6 % disposent tout de même d’une approche intégrée IT/OT. En réalité, les SOC IT se contentent souvent de servir les équipes OT sans réelle intégration ni compréhension mutuelle, faute de partage de connaissances suffisant.
Pour qu’un SOC convergent soit efficace et performant, il convient de suivre un certain nombre d’étapes pour impliquer les équipes OT dès le départ, comprendre leurs systèmes critiques et respecter leurs contraintes opérationnelles.
Les avantages d’un SOC intégré IT/OT
Lorsqu’il est correctement structuré, celui-ci peut en effet offrir de nombreux bénéfices. En mutualisant les compétences et les ressources IT et OT, il permet tout d’abord d’adopter une approche globale de la sécurité, adaptée aux spécificités et vulnérabilités propres à chaque environnement. En outre, cela favorise également une meilleure efficacité puisqu’il supprime les silos entre les équipes IT et OT, permet d’accélérer la détection et la réponse aux incidents, le tout en simplifiant les processus de traitement. Un SOC intégré offre également une meilleure visibilité sur l’ensemble des menaces et des vulnérabilités, ce qui est essentiel pour sécuriser à la fois les systèmes IT et les infrastructures industrielles. Enfin, un SOC intégré contribue à une meilleure coordination entre les équipes, en regroupant les expertises IT et OT au sein d’une même entité.Des étrangers en territoire inconnu
Dans la majorité des SOC intégrés, les analystes sont issus du secteur IT, avec des réflexes et une culture très éloignée de celle de leurs homologues industriels. La cybersécurité OT repose en effet sur des modèles spécifiques, souvent basés sur la surveillance continue et des contrôles compensatoires, plutôt que sur une correction immédiate des incidents. Il s’agit notamment d’anticiper les pires scénarios, ceux qui pourraient impacter massivement la sécurité individuelle ou la continuité de production – une logique de gestion des risques à grande échelle, rarement connue ou maîtrisée par les profils IT classiques.En cas d’incident, ces dernières ont plutôt tendance à réagir rapidement, souvent en automatisant la réponse et en bloquant immédiatement l’activité suspecte. Dans un cadre OT, cette stratégie peut pourtant bouleverser la chaîne industrielle où chaque composant fait partie d’un tout, et où la moindre action mal calibrée peut perturber l’équilibre opérationnel tout entier. Les réponses doivent donc être pensées avec précaution, en intégrant la criticité de chaque équipement, son rôle dans les processus, et les risques potentiels sur la sécurité. C’est pourquoi les plans de réponse OT incluent souvent des actions manuelles, précises et encadrées.
Visiter le terrain pour rapprocher les équipes
La création d'un SOC IT/OT intégré va bien au-delà de la simple connexion des infrastructures industrielles à un système de gestion des informations et des évènements de sécurité (SIEM) ou à une plateforme de cybersécurité IT. L’idéal serait plutôt de disposer d’un expert en cybersécurité OT/ICS dans l’équipe mais ces profils sont rares... De nombreuses équipes choisissent donc de sensibiliser les professionnels IT aux spécificités OT.Passer du temps sur le site de production et échanger directement avec les directeurs d’usine, ingénieurs ou opérateurs, qui connaissent parfaitement les systèmes industriels, même sans être familiers avec des concepts comme la DPI, le mouvement latéral ou les APT, est essentiel pour mieux comprendre la réalité du terrain. Cela permet également de découvrir des équipements anciens, souvent en service depuis plusieurs décennies et non sécurisés, ainsi que des processus industriels fonctionnant en continu avec des fenêtres de maintenance très limitées pour les mises à jour ou les correctifs.
Être sur le terrain et faire preuve de curiosité contribue à rapprocher les cultures IT et OT. À l’instar d’un touriste qui apprend quelques mots en langue locale, les membres du SOC IT qui s’intéressent aux environnements opérationnels renforcent la confiance, facilitant ainsi une collaboration durable entre les équipes.
Adapter les alertes pour limiter la charge des équipes
Le réglage des alertes constitue l’un des leviers les plus efficaces pour apaiser les tensions entre les univers IT et OT, tout en optimisant l’usage des plateformes de surveillance et de détection des menaces. Dans les environnements industriels, les alertes sont nombreuses et varient en gravité. Ce qui peut sembler critique pour un analyste SOC IT est souvent perçu comme un simple bruit de fond par un opérateur OT expérimenté, qui connaît bien son système.En définissant des seuils adaptés aux variables spécifiques de chaque processus industriel, il est possible de filtrer les alertes non pertinentes et de réduire la charge inutile sur les équipes SOC. Par exemple, une perte progressive de 10 paquets sur un appareil peut être sans conséquence, tandis qu’une perte soudaine de plusieurs centaines de paquets sur le même processus nécessite une attention immédiate.
En résumé, la convergence IT/OT au sein d'un SOC est essentielle pour une cybersécurité industrielle efficace. Elle exige une collaboration étroite entre les équipes, une compréhension des spécificités OT et une adaptation des alertes. En investissant dans cette synergie, les organisations peuvent optimiser leur protection et garantir la résilience de leurs opérations critiques face aux menaces croissantes.
Par Marc Coutelan, Directeur Commercial France, Espagne, Portugal & Israël de Nozomi Networks
