Ce papier présente un travail en cours concernant une méthodologie distribuée de détection des intrusions pour les systèmes industriels (ICS). L’approche concerne les ICS complexes, c’est-à-dire des systèmes hiérarchiques et distribués reposant sur des boucles de contrôle locales. Dans le cadre de ces travaux, nous nous intéressons aux attaques basées sur la connaissance des processus industriels qui visent à compromettre la mission de l’ICS. Nous adoptons une méthode de détection comportementale basée sur des spécifications de sécurité du système industriel. Les spécifications sont traduites en propriétés de sûreté qui représentent alors des exigences de cybersécurité et peuvent être exploitées par notre système de détection des intrusions (IDS). Notre approche se base sur l’IDS open source Zeek, pour lequel nous avons développé des extensions afin d’étendre ses capacités de détection pour les systèmes industriels. À l’aide de cet outil, nous souhaitons développer une architecture de détection distribuée capable de traiter des captures de trafic réseau hétérogènes provenant de différentes sources. Le but de ce papier est de présenter notre méthodologie de détection et les pistes de recherches concernant son aspect distribué.