Le monde maritime se numérise et s’automatise. Qu’il s’agisse du monde civil ou militaire, l’ensemble de l’écosystème est aujourd’hui entré dans l’ère de l’hyperconnection : navires de transport, de guerre, cargaisons et infrastructures portuaires sont autant de nouvelles cibles pour les cybercriminels en mal de vol d’informations, de sabotage ou encore de cyber-terrorisme…
Face aux opportunités portées par la vague massive de numérisation, du big data et de l’Internet des objets « l’ensemble des acteurs de l’écosystème, qu’il s’agisse de l’industrie du maritime et du transport ou de l’industrie navale de défense, prend conscience des risques associés à l’hyperdigitalisation et des enjeux liés à la réalité des menaces cyber. Prise de contrôle à distance, localisation d’un navire de guerre, piratage des communications… autant de scénarios possibles que le monde maritime a bien appréhendés. » explique Frédéric Jousse, directeur de Bessé International.
Une menace bien réelle
En décembre 2017, Naval Dome, un fournisseur israélien de solution de cyberdéfense, a présenté les résultats d’une expérience menée sur le navire Zim Genevoa, un porte-conteneur de 260 mètres.
Après avoir infecté l’ordinateur du capitaine via un email, une équipe d’ingénieurs est parvenue à compromettre le système de navigation du navire, les radars et le système de gestion de la salle des machines. Cette intrusion dans les systèmes embarqués leur a permis de dérouter le navire de sa route initiale, de modifier les affichages radars en passerelle sans déclencher de système d’alerte ou attirer l’attention de l’équipage, et de désactiver les moteurs, les jauges de soutes, les systèmes de gestion des ballasts et de gouvernance du navire…
Au-delà de l’expérience, les cyberattaques touchant l’industrie maritime se multiplient : affaire des douanes australiennes, Icefog, Port d’Anvers, Zombie Zero ou encore Maersk en juin 2017 avec Notpetya ayant causé une perte d’exploitation de près de 300 millions de dollars…
Des règlements européens et des directives internationales
La lutte contre les cyberattaques est désormais considérée au même titre que la lutte sous-marine et la lutte antisurface. Des mesures de cybersécurité sont en effet prises dès la conception des navires par la Lutte Informatique Défensive (LID).
Le règlement européen CE725/2004 article 3.5 rend obligatoire pour tout pavillon français une évaluation de la sécurité des systèmes d’information du navire qui constitue également l’une des recommandations issues des directives érigées par l’Organisation Maritime Internationale (OMI).
« Elever le niveau de cybersécurité d’un navire consiste à appliquer un ensemble de règles qui conduitnotamment à intégrer la gestion des systèmes industriels du navire, la gestion des outils technologiques, la formation du personnel et des procédures intégrées au niveau des codes déjà établis par l’OMI. » explique Frédéric Jousse.
L’OMI a en effet publié plusieurs « Directivessur la gestion des cyber-risques maritimes » qui émettent des recommandations parmi lesquelles, en tête de liste, l’évaluation de la sécurité des systèmes d’information du navire – qui reste encore trop marginale. « Elle est pourtant la base de toute action à mener dans le cadre de la mise en place de la cybersécurité à bord du navire. » explique Christophe Madec, directeur de clientèle et expert cyber de Bessé.
Une évaluation du risque cruciale
Afin de réduire le risque d’un acte de malveillance sur le système industriel du navire, il est nécessaire d’évaluer le risque amont et de réaliser cette analyse en continue, de cartographier l’installation du navire, de contrôler. « Les audits internes permettent de vérifier régulièrement le système, le niveau effectif de cybersécurité du navire. Ce contrôle doit statuer également sur la gestion des intervenants extérieurs, et permettre de surveillerle système et ainsi de prévenir la menace. Il est également essentiel de mettre en place unplan de continuité, des procédures claires et des moyens de protection pour encadrer les opérations de télémaintenance qui vont très certainement devenir la norme dans un avenir proche. » détaille Frédéric Jousse.
Cette question de la maintenance à distance et donc plus largement des sous-traitants est une question majeure qui occupe actuellement le devant de la scène cyber. « Une question qui se pose bien entendu dans l’industrie maritime et navale comme ailleurs. Les premières mesures apparaissent pour que l’ensemble de la chaîne soit conforme et cyber résiliante, à l’image des initiatives prises par le groupe AIRBUS au travers d’une certification interne ou encore d’un système de notation. » souligne Frédéric Jousse.
L’OMI vient encourager les administrations à s’assurer qu’une réponse appropriée au risque cyber sera apportée dans les systèmes de gestion de sécurité, au plus tard le 1er janvier 2021, lors de la première vérification annuelle des attestations de conformité. Elle pose ainsi le premier cadre règlementaire de la cybersécurité de l’industrie maritime.
Mais ces actions attendent, à présent, l’émergence de normes et de certifications officielles pour pouvoir peser efficacement. « Une harmonisation européenne à minima sera essentielle, mais évidemment cela doit passer par des réglementations internationales. Les directives existantes sont importantes, mais compte tenu des enjeux, de l’évolution croissante de la menace et des intérêts stratégiques, il faut aller plus loin. » souligne Christophe Madec.
La question clé du data management
L’arrivée des technologies de rupture entraîne une évolution critique du domaine des télécoms, l’avènement des ordinateurs quantiques…
La rapidité et la data, voici donc ce qui va radicalement changer notre quotidien dans un avenir plus ou moins immédiat. « L’ensemble de ces systèmes interconnectés reposent sur un actif clé, la donnée. La question du data management est donc au coeur du maritime et de la défense navale. Elle devient un sujet crucial. » clame Frédéric Jousse.
En raison de la croissance exponentielle des données numériques, le besoin d’anticipation apparaît comme le premier enjeu du data management. Ces masses de données hétérogènes représentent une importante source d’informations. Leur exploitation pertinente constitue une aide à la prise de décisions éclairées. « Mais elle implique aussi, compte tenu du domaine régalien et donc stratégique que représente la marine nationale et donc l’industrie de défense, un niveau de sécurité majeur. Or, les systèmes embarqués, et l’IoT notamment ne le sont pas suffisamment pour le moment. » ajoute Christophe Madec.
Emergence et rôle clé pour la cyberassurance
La cyberassurance est en plein développement et bien qu’elle soit encore balbutiante, elle pourrait bien tirer l’ensemble de l’écosystème vers le haut. « De la même manière que l’assurance automobile est obligatoire pour conduire un véhicule, l’assurance cyber pourrait devenir obligatoire. Par ailleurs, les polices et tarifs pourraient dépendre des garanties, des actions mises en place, des politiques de cybersécurité déployées, des audit réalisés, des évaluation continue, des formations dispensées, des solutions technologiques en place, des exercices de gestion de crise cyber réalisés par l’assuré… » souligne Christophe Madec.
Actuellement, les assurances cyber-risques permettent de bénéficier de l’intervention rapide des experts en la matière afin de déterminer l’origine de l’attaque et la maîtriser, puis de définir les actions et les processus à activer rapidement dans le cadre du plan de continuité d’activité, pour assurer la disponibilité des ressources informatiques et la continuité des activités critiques. « Nous intervenons ainsi dans la gestion de la crise pour soutenir la victime dans les décisions stratégiques qu’elle va devoir prendre. Nous pouvons ainsi prendre en charge des préjudices financiers qui se seraient avérés extrêmement lourds : restauration des données, pertes d’exploitation, frais d’enquête, atteinte à la réputation… » détaille Christophe Madec et d’ajouter « Nous avons un rôle à jouer, outre dans l’indemnisation, en matière d’hygiène informatique que nous pouvons insuffler auprès de nos clients et ainsi développer leur résilience. »
Vers une cyber flotte maritime stratégique ?
« Si la menace cyber prend la forme d’une cyber arme sophistiquée dormante utilisant des failles système de type « ODay » ou d’un malwarede type « air gap »,ni l’équipage, ni le support informatique de la compagnie ne pourra y faire face ! » souligne la direction des affaires maritimes dans son rapport cybersécurité Evaluer et protéger le navire Editions 2016.
Une arme qui, nous le savons, fait partie de la panoplie des outils à disposition de groupes criminels, de groupes terroristes ou d’Etats. « On peut donc raisonnablement s’interroger sur le besoin de disposer d’une cyber flotte maritime stratégique (…) » interpelle le ministère. La France pourrait ainsi jouir d’un ensemble de navires garantissant un niveau d’exigence en matière de cybersécurité au travers d’une labellisation permettant d’assurer nos approvisionnements stratégiques.
Et de conclure « La France n’est pas à l’abri d’une cyber attaque en représailles à un choix fait par notre nation. »
Sources : Rapport cybersécurité « Evaluer et protéger le navire », Direction des affaires maritimes, Ministère de l’environnement, de l’Energie et de la Mer, Editions 2016.
Industrie maritime et risque cyber – Brice Ducoum – Observatoire du FIC
“Nightmare Scenario: Ship Critical System Easy Target for Hacker”, 21 Décembre 2017
CyberKeel, Maritime Cyber-Risks, 2014