Cette thèse apporte une contribution au domaine de la cybersécurité, en particulier la détection d'intrusions réseau pour les systèmes de contrôle-commande industriels (ICSs en anglais). Notre intérêt découle de l'augmentation des incidents de cybersécurité ciblant les ICS et de la nécessité d'identifier les attaques qui manipulent les processus physiques de ces systèmes. Ces attaques (process aware en anglais), sont des cyberattaques sophistiquées conçues pour cibler les processus physiques et provoquer des comportements incorrects du système.Dans ce manuscrit, nous développons un système de détection d'intrusions (IDS) adapté aux ICSs. Notre approche est basée sur des spécifications et prend en compte la connaissance des processus physiques des systèmes. Les ICSs sont des systèmes de contrôle distribués et hiérarchiques construits à partir de boucles de contrôle locales, qui constituent les blocs élémentaires de ces systèmes.Notre méthodologie vise à établir un lien entre les spécifications de sécurité et les propriétés de sûreté d'un système. Pour cela, nous utilisons des spécifications issues de normes internationales et de standards industriels concernant la sécurité locale et globale, ainsi que les spécifications des protocoles réseau, dans les processus industriels. L'extraction de ces spécifications est réalisée de manière systématique et permet l'obtention de propriétés de sûreté (security properties en anglais). Ces propriétés de sûreté forment des exigences ayant une signification au niveau du réseau et peuvent être évaluées pendant l'exécution du système. Nous utilisons des formalismes tels que la logique temporelle linéaire (LTL), la logique temporelle métrique (MTL) et la logique temporelle pour les signaux (STL) permettant de formaliser des propriétés temporelles et de prendre en compte les dynamiques hybrides propres aux ICSs. Notre approche est réalisée à l'aide de captures de trafic réseau entre les boucles locales et le niveau de contrôle distribué (sur les bus de terrain notamment), ainsi qu'entre le contrôle distribué et la supervision.Dans un second temps, nos travaux explorent une configuration distribuée pour le déploiement de notre IDS. Cette architecture est motivée par la nécessité de déployer plusieurs instances d'IDS lorsque des capacités de détection accrues sont requises, par exemple pour une détection sur des systèmes industriels de plus grande dimension. Notre approche distribuée se compose de plusieurs instances de notre IDS, structurellement identiques, déployées dans l'ensemble du système et coordonnées pour surveiller des propriétés de sûreté locales et globales du système.Nous avons mis en œuvre et évalué notre approche sur des plateformes expérimentales de systèmes industriels, démontrant expérimentalement sa capacité à détecter un large spectre d'attaques. Nous avons présenté les capacités de détection de notre déploiement distribué et illustré son adaptabilité lorsque notre approche est déployée sur différents systèmes. Enfin, nous avons montré la scalabilité de notre approche, puisque la relation entre le temps de détection et le nombre de propriétés de sûreté évaluées est linéaire.