« Il n’est pas de vent favorable pour celui qui ne sait où il va » écrivait le stoïcien Sénèque dans ses Lettres à Lucilius. L’économie de la mer navigue désormais entre deux eaux, en équilibre entre les mondes maritimes et cyber. Interdépendant, l’ensemble des cycles de vies marins représente de nouvelles portes dérobées pour les cyberattaquants, motivés par l’appât du gain ou l’acte de sabotage. En tant que deuxième Zone économique exclusive mondiale, la France a mis en place sa stratégie de cyberprotection notamment grâce au lancement de France Cyber Maritime en novembre 2020. Est-il possible de protéger les navires, cargaisons et les ports face aux pirates informatiques ? Comment garantir l’acculturation et la montée en compétences de l’ensemble des acteurs de l’écosystème naval français ?
Par Geoffrey Comte
Avis de tempête
Au sortir de la pandémie, l’économie de la mer est aussi prépondérante que désorganisée. Elle produit plus de 1 500 milliards de dollars et fait vivre plus de 500 millions de personnes tandis que les capacités de charge des cargos ont crû de 1 500 %1. Le transport maritime représente 90% du commerce mondial, 74% des échanges européens ainsi que 78% des importations françaises2. Ni les avions ni les trains ne peuvent rivaliser avec les bas coûts proposés et les quantités de marchandises acheminées par les armateurs. D’ici 2030, les marchandises manœuvrées dans les ports de l’Union européenne augmenteront de 54%. La numérisation permet d’optimiser les flux logistiques et d’exploitation afin de répondre aux besoins du commerce mondial. Mais cette dernière a rendu caduque l’idée d’une isolation des risques liés aux infrastructures portuaires, cargaisons et navires. Disposant d’un cycle de vie de 40 à 50 ans, ces derniers sont particulièrement exposés du fait de l’isolement en mer. « L’une des spécificités de la cybersécurité maritime est l’absence d’informaticiens sur place, mise à part sur les navires de croisières de dernière génération. Avec des installations toujours plus complexes, il est difficile d’avoir à bord des expertises pointues en cyber, automatisme et systèmes de télécommunications. Les activités de maintenance, dépannage et de suivi sont donc généralement concentrées et pilotées depuis la terre ferme » souligne le Directeur technique de France Cyber Maritime, Olivier Jacq. Aujourd’hui, l’acculturation aux métiers de la cybersécurité est donc primordiale pour adopter une approche holistique des enjeux de la sécurité des systèmes embarqués et équipements industriels tout comme des logiciels. « La cybersécurité à la différence de la sûreté de fonctionnement, est un domaine de lutte qui demande une amélioration constante de la performance des systèmes impliquant la montée en maturité de l’ensemble des fournisseurs et opérateurs pour répondre aux enjeux » assure Patrick Radja, vice-président, directeur de la cybersécurité au sein de Naval Group.
Une réponse française
Les cyberattaques élaborées visant le logisticien danois Maersk durant l’été 2017, causant une perte de 300 millions de dollars, et l’Organisation Maritime Internationale (OMI) en septembre 2020, suspendant ses services en ligne, ont encouragé les Etats à se doter d’une cyberstratégie maritime. En décembre de la même année, les Etats-Unis ont adopté le Plan national de la cybersécurité maritime en vue d’instaurer un cadre international de gestion des risques des systèmes IT, OT et IoT employés dans les ports, faciliter le partage d’informations et développer une main d’œuvre cyber. En France, les initiatives locales se sont multipliées de sa façade méditerranéenne à atlantique. « La prise en compte du risque cyber par les plus grands ports de France se traduit tant par une politique de protection et de sécurité que par une réflexion sur les plans de continuité. Ces derniers sont en mesure de cartographier leurs systèmes d’information, les protéger via des mesures de segmentation et de droits d’accès, veiller à leur maintien en fonction de la sécurité ainsi que prévoir des moyens de redondances en cas d’incident » précise Didier Daoulas, ingénieur expert en analyse risque du département maritime du Groupe Besse.En juin 2021, la Direction générale des infrastructures, des transports et des mobilités publie son guide « Ports cybersécurisés » pour contribuer à la résilience numérique des infrastructures portuaires, en s’inspirant des travaux de l’Agence européenne pour la cybersécurité. Le rapport dessine des scénarii d’attaques pour déterminer le niveau de maîtrise des risques et cherche à fédérer les bonnes pratiques des grands et petits ports dans le but d’aligner les efforts d’investissements avec les besoins de sécurisation de chacun. L’objectif du gouvernement français est clair : donner un cap national aux acteurs privés comme publics du monde maritime et portuaire pour lutter contre une cyber piraterie qui ne connait aucune frontière. France Cyber Maritime, née d’une collaboration entre l’ANSSI et le SGMer, entend « fédérer un écosystème propice à l’amélioration de la cybersécurité portuaire et maritime. FCM joue le rôle de vase communicant entre ces deux mondes afin de traduire correctement leurs besoins et trouver les solutions adaptées. D’un point de vue opérationnel, l’association est en train de créer un CERT maritime pour analyser les menaces, diffuser des bulletins d’information et d’alerte, de recueillir les incidents cyber ainsi que de coordonner la réponse vis-à-vis de ces derniers » affirme son Directeur Général, Xavier Rebour.
Résilienceby design
L’essor de navires autonomes ainsi que du Green and Smart shipping esquisse les prémices des enjeux de la cybersécurité maritime de demain. D’ici 2025, la Finlande souhaite verdir son industrie navale et « rendre chaque navire intelligent » en plaçant des capteurs in situ pour moduler à distance leur consommation énergétique3. Entre 2018 et 2021, Helsinki a alors investi 13 millions d’euros en faveur du plan trisannuel INTENS afin de donner naissance à ces navires cyber résilients. Compagnies maritimes et universitaires ont généré plus de 150 publications scientifiques ainsi que 26 nouveaux projets commerciaux pour un volume total attendu de 22 milliards de dollars. En Norvège, un programme de recherche de huit ans, baptisé SFI AutoShip, a été lancé pour imaginer les premiers navires quasi-autonomes, dirigés à distance par un centre de commandement sur terre4. Relativement récente, la navigation autonome ambitionne à long terme de remplacer un équipage humain par une intelligence artificielle capable de prévenir les accidents, assurer le bon fonctionnement du véhicule ou encore permettre un accostage et un pilotage automatique. Le premier d’entre eux, le Yara Birkeland, petit navire cargo de 80 mètres 100% électrique et autonome, sera mis à l’eau au cours de l’année 2022 pour effectuer sa première mission commerciale5.
Ces initiatives d’avant-gardes ont lancé une discussion réglementaire autour des navires de surface autonomes afin d’anticiper leur mise en circulation massive sur les eaux internationales. Au sein de l’OMI, ces échanges devront inclure des normes de sécurité traditionnelles autant que sur le volet cyber pour poser les fondements de futurs accords inter-étatiques durables, suffisamment soucieux de la protection des données pour lutter contre les prochaines vagues de piraterie informatique.
1 William Loomis et al., Raising the colors: signaling for cooperation on maritime cybersecurity, Washington DC, 2021.
2 Cybercriminalité maritime, de la mer à l’Internet, focus sur la nouvelle piraterie, https://www.bllconsulting.com/cybercriminalite-maritime-de-la-mer-a-linternet-focus-sur-la-nouvelle-piraterie/ , 24 avril 2020.
3 Sanna Nuutila, Towards smart and green shipping, https://businessfinland.fi/en/whats-new/news/2018/towards-smart-and-green-shipping.
4 SFI AutoShip – NTNU, https://www.ntnu.edu/sfi-autoship.
5 Rochelle Beighton CNN, World’s first crewless, zero emissions cargo ship will set sail in Norway, https://www.cnn.com/2021/08/25/world/yara-birkeland-norway-crewless-container-ship-spc-intl/index.html.