Kaspersky a modernisé sa plateforme Industrial CyberSecurity (KICS) avec une mise à jour visant à renforcer la détection, simplifier la gestion des politiques et améliorer l’efficacité opérationnelle dans les environnements OT. La société explique cette évolution dans un contexte de menaces en constante augmentation : au second semestre 2025, 20,5 % des équipements ICS ont été ciblés par des objets malveillants, ce qui témoigne de la gravité des risques pour les usines industrielles. Cette version apporte des nouveautés dans XDR, modèles de configuration, observabilité des PLC et adopte une approche de réseau orientée périphérique permettant de mieux comprendre qui communique avec qui, et pourquoi.

Les nouveautés (et leur utilité)

• XDR compatible Linux et graphe d’investigation. KICS étend la détection et la réponse aux nœuds Linux — très présents dans les HMI, stations d’ingénierie et serveurs de historisation — et intègre un graphe d’investigation qui corrèle processus, fichiers et utilisateurs pour accélérer l’analyse de cause racine. Les actions manuelles de réponse offrent une précision chirurgicale quand le playbook le demande.
• Modèles de configuration pour gagner du temps. Des profils prédéfinis sont désormais disponibles pour Windows, Linux, équipements de réseau industriels et PLC. Un tableau de bord unifié permet de visualiser et gérer la posture des hôtes avec le déclenchement automatique d’alertes en cas de changements, réduisant ainsi les erreurs de configuration et le dégagement.
• Visibilité approfondie des PLC sans agent. La plateforme introduit un sondage sans agent et des analyses des journaux internes des contrôleurs pour détecter façon anormale de comportement, dysfonctionnements de projets ou écarts logiques, sans avoir besoin d’installer un logiciel supplémentaire sur le PLC.
• Couverture élargie des équipements industriels. La surveillance des fabricants courants en usine — Siemens, Prosoft, Moxa, Hirschmann, Ruggedcom, entre autres — est renforcée, facilitant la gestion de parcs hétérogènes.
• Réseau centré sur le dispositif. Une nouvelle vue orientée périphérique qui permet d’établir des modèles de communication et d’identifier les hôtes à fort trafic, réduisant le temps nécessaire à la détection des comportements inhabituels et simplifiant la segmentation.
• État de santé du système semi-automatisé. La collecte et l’analyse semi-automatiques d’indicateurs du Système d’Exploitation et du logiciel ICS permettent de recommander des ajustements, de définir des exclusions et de détecter des dégradations avant qu’elles n’affectent l’exploitation.

Pourquoi cela concerne-t-il une équipe hybride OT/IT ?

Les réseaux industriels modernes combinent parc mixte (Windows/Linux), multiples marques de PLC, et switching industriel. La mise à jour de KICS réduit les frictions sur trois fronts :

1. Temps : modèles et graphe d’investigation raccourcissent les déploiements et analyses critiques.
2. Risque : la visibilité sans agent sur les PLC limite les angles morts dans les contrôleurs sensibles.
3. Opération : la santé semi-automatisée et l’approche centrée sur le dispositif aident à prioriser, évitant les interruptions et le retraitement.

Sous le capot : comment cela s’intègre dans l’architecture OT

Kaspersky conserve sa structure composée de deux composants : KICS for Nodes (points d’accès OT) et KICS for Networks (trafic et intégrité des communications). La nouvelle version approfondit l’approche XDR industrielle en croisant la télémétrie des hôtes avec le contexte réseau et les métadonnées des PLC, fournissant une base homogène pour détecter changements de configuration, nouvelles routes de communication ou artefacts suspects cherchant à se déplacer entre zones.

Cas d’utilisation où la mise à jour est essentielle

• Mise en service d’une nouvelle ligne ou cellule : appliquer modèles par technologie limite les erreurs et accélère le durcissement.
• Incidents PLC avec arrêt partiel : le sondage sans agent et l’analyse des journaux internes aident à différencier une panne de processus d’une altération de la logique.
• Déviation de configuration en switch industriel : la vue centrée dispositif identifie le point d’asymétrieet qui génère un trafic excessif.
• Faux positifs après un patching : la couche de santé suggère des exclusions et des ajustements pour réduire les faux positifs tout en maintenant une couverture optimale.