Le scanner qui a fait tomber la ligne

D'expérience, la prise de conscience arrive souvent après un incident. Un responsable cybersécurité dans une cimenterie m'a raconté le moment où il a lancé un scan Nessus sur le réseau OT pour "voir ce qu'il y avait là-dedans". Résultat : trois automates se sont figés simultanément, la ligne s'est arrêtée, et il a fallu un redémarrage manuel avec intervention sur site des techniciens du constructeur. Le scan avait inondé le réseau de requêtes auxquelles les vieux équipements n'étaient pas conçus pour répondre, certains protocoles industriels ne prévoient tout simplement pas de mécanisme de gestion d'erreurs face à un volume de trafic inhabituel.

Ce type d'incident est plus fréquent qu'on ne le croit. Il ne fait pas les gros titres parce que les entreprises préfèrent ne pas l'admettre. Mais dans les cercles RSSI industriels, c'est un classique. Le problème n'est pas le scanner, c'est l'usage d'un outil conçu pour un monde IT dans un environnement OT où la disponibilité prime sur tout le reste.

Pourquoi les scanners actifs sont incompatibles avec l'OT

Un scanner de vulnérabilités actif comme Nessus, Qualys ou OpenVAS fonctionne en envoyant des requêtes réseau pour identifier les équipements, leurs versions logicielles et leurs failles connues. Dans le monde IT, les équipements sont conçus pour répondre à ce type de trafic sans sourciller, les systèmes d'exploitation modernes gèrent les flux de requêtes sans problème.

En OT, les automates, les capteurs et les équipements de supervision industrielle ont été conçus pour exécuter des tâches temps réel avec une fiabilité maximale, pas pour gérer des flux réseau inhabituels. Un automate Siemens S7-300 ou un contrôleur Allen-Bradley des années 2010 peut planter ou redémarrer face à une requête réseau qu'il ne sait pas interpréter. Pire encore : certains équipements réagissent à certaines requêtes de scan en exécutant des actions non prévues sur les process physiques qu'ils contrôlent.

Le risque n'est pas théorique. Il est documenté, reproductible, et potentiellement catastrophique dans un environnement critique comme la chimie, l'énergie ou le traitement des eaux. La règle d'or : ne jamais lancer un scan actif sur un réseau OT en production sans validation préalable du constructeur de chaque équipement concerné.

4 alternatives au scan actif pour cartographier votre surface d'attaque OT

1. La surveillance passive du trafic réseau

Des outils comme Claroty, Nozomi Networks ou Dragos écoutent passivement le trafic réseau OT sans envoyer la moindre requête. Ils identifient les équipements présents, leurs protocoles, leurs versions et leurs comportements habituels. C'est la méthode de référence : aucun risque de perturbation, visibilité complète, et en bonus une détection des anomalies comportementales en temps réel.

2. L'interrogation via les protocoles natifs

Certaines solutions spécialisées savent interroger les équipements OT via leurs propres protocoles industriels ( Modbus, Profinet, DNP3 ) de manière douce, sans générer de trafic anormal. C'est ce que font des outils comme Tenable.OT ou Claroty en mode actif sécurisé. La différence avec un scanner IT générique : ils parlent la langue des équipements, dans les limites que ceux-ci peuvent accepter sans risque.

3. La collecte via les assets management existants

Les systèmes SCADA et MES maintiennent souvent des bases de données d'actifs qui contiennent déjà les versions logicielles et firmware des équipements connectés. Exploiter ces données existantes sans aucun scan réseau est souvent le chemin le plus rapide et le moins risqué pour constituer un premier inventaire exploitable. C'est un point de départ sous-estimé dans beaucoup d'organisations.

4. Les audits terrain avec les équipiers OT

Pour les équipements qui ne communiquent pas sur le réseau, ou dont les informations de version ne sont pas accessibles à distance, il n'y a pas d'autre choix que l'audit terrain. Un technicien qui relève les étiquettes firmware sur les automates lors des fenêtres de maintenance c'est basique, mais ça marche et ça ne casse rien. Dans beaucoup d'usines, c'est encore la méthode la plus fiable pour les équipements les plus anciens.

La bonne gouvernance autour de l'inventaire OT

Constituer l'inventaire, c'est une chose. Le maintenir à jour en est une autre. Dans la plupart des organisations que j'ai accompagnées, l'inventaire OT se dégrade rapidement après sa création initiale : un équipement remplacé en urgence, un firmware mis à jour par un prestataire sans mise à jour de la documentation, une nouvelle machine intégrée en dehors des processus habituels.

La surveillance passive résout ce problème naturellement : elle détecte en temps réel l'apparition de nouveaux équipements, les changements de version et les comportements inhabituels. C'est pourquoi les organisations les plus matures combinent les deux approches : un inventaire initial constitué par audit terrain et complété par les assets managers existants, puis maintenu en continu par une sonde de surveillance passive.

Le RSSI industriel qui n'a pas encore ce niveau de visibilité a une priorité claire avant tout autre projet cybersécurité OT : savoir ce qui tourne dans ses réseaux industriels. On ne peut pas protéger ce qu'on ne voit pas.

Ce qu'il faut retenir

Scanner un réseau OT avec des outils IT, c'est comme faire une radiographie avec un matériel calibré pour un autre usage : au mieux les résultats sont inutilisables, au pire on aggrave le problème. La cartographie des vulnérabilités OT est un métier spécifique, avec des outils spécifiques. Le RSSI qui ne dispose pas encore de ces outils a une priorité claire : identifier quelle solution de monitoring passif OT correspond à son environnement et le déployer avant le prochain audit NIS2.

Ressources CyberLead

Le Kit RSSI CyberLead inclut une grille de sélection des outils de cartographie OT et une checklist de déploiement de la surveillance passive. Vous voulez évaluer votre surface d’attaque OT sans risque et savoir quels équipements sont réellement exposés? Prenez rendez-vous, on fait le point ensemble.

Kit RSSI

Vous voyez un post LinkedIn sur le sujet , n’hésitez pas et partagez cet article en commentaire !

Partager