Un porte-conteneurs naviguant le long du rail de Ouessant victime d’une attaque « cyber » sur son système de navigation, ces radars et sur son système de gestion de la salle des machines est dérouté de sa route initiale, puis ces moteurs arrêtés à distance en pleine mer. Il devient dès lors un danger absolu sur cette route maritime ou navigue, au même moment, plus de 150 navires transportant des conteneurs, des matières dangereuses (explosives ou dangereuses pour l’environnement), et des passagers. Ce scénario digne d’un film catastrophe hollywoodien vous parait improbable ? Il est malheureusement envisagé sérieusement par les professionnels du secteur maritime.
Dans un monde de plus en plus interconnecté ou le transport maritime, représente 90% des marchandises échangées sur le globe, les compagnies maritimes, les navires et les ports ne pouvaient être épargnés par une criminalité ayant opéré sa mue technologique. En effet du délinquant d’opportunité aux groupes criminels organisés en passant par les organisations terroristes et/ou étatiques, l’utilisation des nouvelles technologies à des fins malveillantes est devenue un mode d’action courant qui s’est développé de façon exponentielle à la faveur de la simplification et de la disponibilité des outils d’attaque comme les rançongiciels.
À cette attractivité s’ajoute le fait que le secteur maritime offre une surface d’attaque importante. En effet, pour être efficient, c’est à réduire les délais et rationaliser ses couts d’exploitation, le secteur a besoin de mettre en lien une pluralité d’acteurs. Le développement des nouvelles technologies interopérables comme l’EMSW (European Maritime Single Window) a permis la prouesse d’interconnecter ce monde maritime, et dans le même temps l’a aussi relié aux autres acteurs du transport (aérien, ferroviaire, routier) et à d’autres secteurs comme les banques et les opérateurs d’énergie.
Dès lors, le système de transport maritime peut devenir un vecteur d’attaque à travers l’un de ses sous-systèmes ou une cible. Dans ce cas, comme pour la sûreté en règle générale, sa vulnérabilité se mesure à la capacité de résistance de son maillon le plus faible. Ainsi, un grand nombre d’attaques indirectes (ou par rebond) ont été effectuées par la compromission d’un prestataire disposant de privilèges d’accès aux outils informatiques mis en œuvre.
La réponse des professionnels du transport maritime et des pouvoirs publics s’est mise en place progressivement et, comme toujours, en réaction à la prolifération des attaques. Ainsi au niveau international, la résolution MSC 428(98) de l’OMI de 2017 entrée en vigueur en 2021 demande à ce que les armateurs (navires > 500 t) intègrent la cybersécurité dans leurs Safety Management Systems. Dans les ports français, la réglementation liée aux secteurs d’importance vitale complétée par la loi de programmation militaire et ses décrets d’application sectoriels, responsabilisent les opérateurs désignés afin qu’ils sécurisent leurs systèmes les plus sensibles. À cet égard, il convient de souligner le rôle prépondérant de l’ANSSI (Autorité Nationale de la sécurité des Systèmes d’Information) qui apporte une expertise scientifique et technique à l’état de l’art. Elle est l’organisme référent pour la définition des normes de sécurité pertinentes pour assurer la protection des données et des systèmes. Elle assure, en outre, une fonction de sensibilisation auprès des acteurs clés du secteur maritime.
Dans l’ensemble, la réponse des professionnels du secteur maritime est encore trop souvent en réaction à un problème de sécurité rencontré et se limite généralement en une approche de conformité, c’est-à-dire, basée sur la mise en œuvre des bonnes pratiques édictées par les professionnels de la cybersécurité et la mise en œuvre d’obligations réglementaires nationales ou sectorielles.
Ce socle de sécurité est certes capable de prémunir les organisations contre les risques d’attaques de spectre large et/ou élaboré, mais ne constitue pas des barrières efficaces pour lutter contre les attaques de niveau avancé. Celles-ci sont de hautes technicités, ce qui leur permet de pénétrer furtivement les systèmes d'information d'acteurs évolués et persistantes, c’est-à-dire qu’elles sont capables de se maintenir pour de longues périodes dans ces systèmes et d'y agir ou d'en extraire des informations sans se faire repérer.
L’interconnexion croissante de l’IT (Information Technology) dans l’OT (Operational Technology) favorise ce type de scénario.
En effet, dans les ports, les systèmes de type OT sont nombreux : grues type RTG et STS, système de contrôle du navire, gestion du transit des marchandises, systèmes de sûreté et de sécurité. Dans les faits, la difficulté est que ces systèmes OT ne font pas l’objet d’une cybersurveillance systématique et à niveau : les actions malveillantes y sont donc beaucoup plus longues à détecter. Pour lutter contre ce type de menace, l’approche par scénario doit venir compléter la démarche de conformité. Elle nécessite d’identifier les sources de risques et les objectifs ciblés par ces dernières, de cartographier les parties prenantes critiques de l’écosystème et de décliner des chemins d’attaque possibles. Dès lors, la définition de contre-mesures pertinentes basées sur une stratégie de défense en profondeur pourra être mise en œuvre dans le cadre du pilotage d’un système de management de la sécurité régulièrement évalué.
La cybersécurité n’est pas que technique, elle est aussi question d’organisation, de formation et d’entrainement. Elle commence par la protection physique des installations et en conséquence entretient des liens étroits avec l’ISPS pour le secteur maritime. Il conviendrait de sortir d’une vision en silo et d’ouvrir le champ d’études à une véritable pluridisciplinarité (sociologie des organisations, criminologie, etc.) afin de disposer d’une vision globale des risques. Enfin l’humain, comme dans les autres domaines de lutte contre la malveillance, est un élément central de l’efficience du système.
Pour en savoir plus sur le sujet, découvrez notre formation sur la cybersécurité.