# À propos de MarlinSpike > Cartographe de topologie OT/ICS passif et atelier d'analyste. Le GrassMarlin moderne, conçu pour les engagements partagés. Le noyau open-source derrière Fathom. *Page HTML : https://grassmarlin.com/fr/about/* *Source Markdown : https://grassmarlin.com/fr/about.md* *English: https://grassmarlin.com/about.md* --- MarlinSpike est un cartographe de topologie OT/ICS passif et un atelier d'analyste. Le produit ingère des captures de paquets, ne renvoie aucun trafic dans l'environnement, et transforme les observations passives en topologie, inventaire d'actifs, constats de niveau intervenant et artefacts de rapport JSON portables. C'est le noyau open-source derrière Fathom, intentionnellement conçu comme un atelier web partagé plutôt que comme un client lourd mono-utilisateur. ## Filiation MarlinSpike reprend là où GrassMarlin s'est arrêté. Même premier principe, visibilité OT/ICS passive depuis les seules captures de paquets, mais reconstruit pour la façon dont les intervenants travaillent aujourd'hui : un atelier web partagé au lieu d'un client lourd mono-utilisateur, un contrat de rapport JSON portable au lieu d'une vue liée à la session, et un modèle d'extensibilité multi-couche qui accepte des moteurs Rust, des plugins Python et des packs de règles YAML. Ce n'est pas un fork ; c'est un successeur. Le produit est du code indépendant, une architecture conçue de zéro, et un alignement délibéré sur ce que GrassMarlin avait promis à l'origine à la communauté OT : analyse passive, couverture protocolaire neutre vis-à-vis des fournisseurs, et outillage qui respecte la réalité opérationnelle du terrain. Caractéristiques clés : Passif uniquement · Atelier multi-utilisateurs · Rapport JSON portable · Couverture protocolaire OT native · Open source ## Frontière produit MarlinSpike garde le moteur autonome et traite l'artefact de rapport généré comme la frontière de passage entre l'analyse de paquets et la revue en aval. ``` Projet → Scan → Rapport → Atelier → Triage ``` La voie d'installation privilégiée est un déploiement Docker Compose avec proxy inverse que plusieurs intervenants peuvent partager pendant une évaluation, une investigation d'incident ou un exercice sur table. ## Chaîne d'analyse en 5 stages Le pipeline d'analyse reste intentionnellement lisible : ingestion et validation, dissection protocolaire, construction de topologie, surface de risque et génération de rapport. - **Stage 1, Ingestion** : Validation du fichier de capture et extraction des métadonnées. - **Stage 2, Dissection** : Parsing des protocoles OT, découverte L2 et extraction des conversations. - **Stage 3, Topologie** : Graphe de noeuds et d'arêtes, placement Purdue, empreinte fournisseur, assignation des rôles. - **Stage 4, Risque** : Problèmes inter-zones, communications externes suspectes, balises C2, entropie DNS, mapping MITRE ATT&CK. - **Stage 5, Rapport** : Artefact JSON portable consommé par l'atelier et l'outillage en aval. ## Couverture protocolaire MarlinSpike est construit autour de la visibilité des protocoles industriels, puis l'enrichit du contexte de découverte réseau pour que les relations d'infrastructure ne soient pas perdues. **OT / ICS** : Modbus, EtherNet/IP, CIP, S7comm, DNP3, IEC 60870-5-104, OPC-UA, BACnet, PROFINET, HART-IP, FINS, GOOSE, MMS, OMRON **Couche 2 / découverte** : LLDP, CDP, STP, LACP, ARP, VLAN ## Support des standards Le discours public reste borné à ce que la plateforme expose réellement aujourd'hui. MarlinSpike supporte la revue orientée standards sans prétendre être une suite de conformité plus large. **IEC 62443**, Les recommandations de remédiation du Stage 4 sont formulées autour du support de remédiation orienté SR de l'IEC 62443 pour les classes de constats supportées. **MITRE ATT&CK**, Implémentation ATT&CK complète dans le flux de rapport, incluant les vues matricielles groupées par tactique, les sous-techniques, les mesures d'atténuation et les recommandations de réponse, pour les domaines ICS et Enterprise. **Purdue / ISA-95**, Le zonage ISA-95 et Purdue reste central pour la disposition de la topologie, le placement des actifs et la revue des communications inter-niveaux. ## Vue d'ensemble de l'architecture MarlinSpike est intentionnellement extensible pour les intervenants OT/ICS en activité, pas seulement pour les programmeurs systèmes. Trois surfaces d'extension formelles couvrent l'étendue de la personnalisation. **Moteurs Rust**, Composants face aux paquets et fortement orientés événements comme la DPI. Le substrat autonome `marlinspike-dpi` livre 34 dissecteurs de protocoles et est intégré à l'image Docker à une référence épinglée. **Plugins Python**, Analyse face au rapport, enrichissement et logique de triage. Le plugin MITRE ATT&CK, le plugin d'analyse ARP et le plugin APT vivent derrière cette surface et sont chargés par nom de module depuis l'environnement. **Packs de règles YAML**, Mappings déclaratifs, suppressions et politique locale. Les packs par défaut sont livrés sous `rules//base.yaml` ; surcharges par déploiement via variables d'environnement. Continuez avec le [wiki](/fr/wiki/) pour le déploiement, l'architecture et le contrat de rapport, ou allez aux [téléchargements](/fr/downloads/) pour le dépôt officiel et la voie de paquet.