Objectifs Ce sujet vise à étendre le déploiement de systèmes de détection des intrusions basé sur les approches comportementale dans les systèmes industriels jusqu'aux équipements terminaux (automates programmables industriels). Plus précisément on étudie le déploiement d'un IDS comportemental sur un automate programmable industriel et l'impact sur la performance temps-réel de la commande. Approche envisagée Nous allons nous appuyer sur l'analyse des programmes embarqués et des spécifications sorties des normes pour la synthèse des moniteurs. Le principal défi est l'évaluation de l'impact de l'IDS sur la performance temps réel de l'automate programmable. La minimisation du nombre des propriétés de sécurité à surveiller ainsi que de leur complexité sera déterminante pour la performance de la solution. Un second aspect étudié sera la comparaison des types d'attaques orientées processus détectés par le HIDS versus la capacité de détection d'un NIDS. Cette comparaison permettra permettre de réduire encore plus le nombre des propriétés de sécurité surveilles. Néanmoins, il est connu que l'état interne d'un contrôleur embarqué est partiellement observable par un NIDS à partir du trafic réseau. Une approche de corrélation entre les alertes des NIDS et celles du HIDS permettra d'évaluer la valeur ajoutée du HIDS dans un système de détection distribué hybride (HIDs/NIDS). La méthodologie et les outils seront validés sur la plateforme expérimentale G-ICS. (http://lig-g-ics.imag.fr/)