Marine Marchande
Cybersécurité: le transport maritime doit rattraper son retard
ABONNÉS

Actualité

Cybersécurité: le transport maritime doit rattraper son retard

Marine Marchande

Elle aura duré cinq jours. Mercredi 15 avril, MSC annonçait qu’une importante panne de réseau était résolue et tous les systèmes internes étaient à nouveau « pleinement fonctionnels ». Dans un premier temps, la compagnie a qualifié d’« incident » cette panne débutée le 9 avril au soir et qui a touché le siège de la société à Genève et affecté « la disponibilité de certains des outils numériques ». Mais après une « enquête approfondie », elle a admis avoir été victime d’un logiciel malveillant exploitant une vulnérabilité. Tout en se gardant d’en divulguer plus, invoquant des raisons de sécurité. MSC a dit prendre très au sérieux sa cybersécurité et indiqué qu’ « après une enquête approfondie, nous ne sommes pas au courant pour l'instant de données perdues ou compromises à la suite de cet incident ». Toutefois, l’armateur promet de rester « en contact avec les clients individuels et les partenaires pour discuter ou répondre à toute préoccupation spécifique, si besoin, car nous mesurons pleinement l'importance de la protection des données ».

Troisième risque pour Allianz

Après d’autres précédents (Maersk en 2017, Cosco en 2018…) documentés (les entreprises restent discrètes sur le sujet en général), cette nouvelle attaque sur une IT (Information technology, le réseau informatique) illustre les risques liés à la cybersécurité qui peuvent affecter les acteurs du transport maritime, comme bien d’autres secteurs. Dans son baromètre 2020, le groupe d’assurances AGCS (Allianz global corporate & Speciality) plaçait d’ailleurs en troisième position des risques, pour ce secteur, les incidents cyber (après le feu et les catastrophes naturelles). Les auteurs y regroupant aussi bien la cybercriminalité, que les pannes informatiques ou encore les violations de données. Des incidents qui causent des dommages et des frais de plus en plus élevés aux entreprises. L’enquête, qui plaçait ce risque en première position, tous secteurs confondus dans le monde, soulignait le risque d’interruption d’activité, alors que les entreprises collectent et utilisent des volumes de données de plus en plus important.

Une résolution de l'OMI pour janvier 2021

Dans ce contexte, une résolution de l’OMI sur la cybersécurité doit entrer en vigueur en janvier 2021. Elle prévoit que les administrations maritimes vérifient que les systèmes ISM (International safety management) des armateurs et navires couvrent ces risques. La DCSA (Digital container shipping association), organisation née en 2019 comptant parmi ses membres les grands armateurs de porte-conteneurs et consacrée à la définition de normes et de cadres technologiques, a d’ailleurs édité un guide pour mettre en œuvre cette résolution en début d’année. Cette résolution, vise à sensibiliser les entreprises sur la cybersécurité des navires et introduire un niveau minimum à travers l’industrie.

Ainsi, explique Philippe Vaquer, Advances Services et Cybersecurity operations manager au Bureau Veritas, armateurs ou gestionnaires de flottes devront prouver qu’ils disposent : « d’une cartographie à jour de leurs systèmes informatiques », « d’une analyse de risques associée qui évalue les surfaces d’attaque, les niveaux de criticité et identifie les mesures de protection prises et à prendre », « d’une politique cybersécurité qui définit les grands principes : rôles et responsabilités des acteurs (à bord, mais aussi à terre), procédures à suivre (administration des comptes utilisateurs, des mots de passe, maintenance des systèmes informatiques, gestion d’incident, sensibilisation et formation des équipages, gestion de crise, etc.) », ou encore d’un « jeu de procédures décrivant la mise en œuvre concrète de cette politique sur les navires ».

Du retard dans le maritime

Cette résolution intervient alors que la résilience en matière de cybersécurité du maritime n’est pas au niveau d’autres industries, comme « les réseaux énergétiques, la production d’électricité, l’aviation », estime Jarle Coll Blomhoff, responsable du groupe cyber sûreté et sécurité, au sein du norvégien DNV GL. « Cela est probablement dû au fait que les navires ont été considérés comme des systèmes fonctionnant en mode insulaire, sans connexion externe, et à une bonne séparation entre les systèmes IT et OT (Operationnal technology, technologies d’exploitation, ndlr). Les logiciels codés en dur, les cartes de circuits électriques et les protocoles propriétaires ne sont pas aussi perméables aux cyber-risques généraux des IT ». Mais cet « isolement » des navires tend à se réduire avec l’hyperconnexion, ne serait-ce qu’avec le développement des connexions à distance pour, par exemple, améliorer l’efficacité opérationnelle.

« Le monde maritime a la spécificité d’avoir une large flotte en service, en moyenne âgée de plus de 10 ans, dont on souhaite désormais la connexion à la terre tout en automatisant de plus en plus le fonctionnement », ajoute Philippe Vaquer. « L’arrivée inéluctable à bord de l’IoT (Internet of Things) introduit des vulnérabilités significatives sur des systèmes qui n’ont pas été conçus initialement pour être sécurisés, contrairement par exemple à l’aéronautique. Cela crée des niveaux de risque relativement élevés s’ils ne sont pas identifiés et maîtrisés par les armateurs et les équipages ».

Des risques multiples et des incidents peu rapportés

Des risques variés et comparables à ceux visant des installations industrielles. Pour un navire, cela peut être un simple logiciel de rançonnage, prenant en otage le système d’un navire en l’immobilisant pour exiger une rançon contre un retour à la normale, à la corruption des données de navigation en profitant de la maintenance d’un système informatique, par exemple. De manière plus générale, Jarle Coll Blomhoff distingue la cybersécurité sur les IT de celle des OT. Les premières sont plus « matures » avec des protocoles et procédures reconnues et ayant surtout un impact sur la réputation ou l’économie des entreprises. La corruption des secondes peut menacer directement la sécurité d’un navire et son équipage, en provoquant une collision par exemple. Un domaine où les sociétés de classification interviennent plus spécifiquement, notamment lors de la construction des navires.

Difficile de savoir si ces risques augmentent, car ces incidents sont souvent passés sous silence. Mais « nous pensons qu’ils augmentent vu les incidents que nous signalent nos clients », explique Jarle Coll Blomhoff. Pour lui, il serait très souhaitable que les incidents soient davantage rapportés pour en tirer les leçons qui s’imposent, comme c’est la règle pour la sécurité en général. En attendant, il estime que « le risque principal pour le moment tient à des attaques collatérales, non ciblées, telles que des ransomwares, pour un gain financier ». Mais il souligne que « le transport maritime étant un élément important des infrastructures nationales et internationales, nous pouvons nous attendre à des attaques plus ciblées à l'avenir. Des segments spéciaux tels que la marine et l'offshore sont bien sûr plus à risque en raison de la cyberguerre et du rôle important du pétrole et du gaz dans la politique mondiale ».

Comment se protéger ?

Est-il possible de se protéger efficacement ? « En cybersécurité, il est toujours difficile de mesurer précisément l’efficacité d’une protection, car cette efficacité dépend toujours de l’investissement et de la détermination de l’attaquant », répond Philippe Vaquer. « Ceci étant dit, il existe aujourd’hui de nombreuses bonnes pratiques connues et éprouvées pour réduire la surface d’attaque et/ou la criticalité des attaques, soit par une adaptation des comportements, soit par des moyens techniques de détection et protection contre les attaques ». Jarle Coll Blomhoff abonde : « Ce n’est pas si sorcier, mais il faut avoir une approche holistique ». Il dresse un parallèle avec l’utilisation de canots de sauvetage : « Il faut un équipage compétent, capable de les abaisser en cas d'urgence, des procédures pour s’assurer qu’il y ait de l'eau et des provisions et que l'équipement est bien entretenu, et enfin, il faut concevoir un navire et des canots de sauvetage remplissant toutes les conditions nécessaires aux exigences de sécurité. Mais s’il manque un de ces trois éléments, alors les deux autres ne pourront que partiellement vous sécuriser ! »

Pour y parvenir, le DNV réalise des audits ISM, émet des notes de classification portant sur la conception du navire et de ses opérations ainsi que pour les fournisseurs des systèmes, et il propose du conseil par des évaluations, suggestions d’améliorations, formations… De son côté, le BV explique avoir « investi significativement ces dernières années pour développer un référentiel technique – la règle NR 659 – qui consolide les bonnes pratiques nationales et internationales en matière de cybersécurité maritime ». Ce règlement s’articule autour de deux canevas. D’abord : « Cyber Managed’ dédié aux flottes en service, et leur permettant de mettre en place un système de gestion robuste du risque cyber (et ainsi se conformer aux exigences de l’OMI pour 2021). Ensuite, « Cyber Secure dédié aux nouvelles constructions (ou aux navires en retrofit), et prenant en compte les exigences de cybersécurité dès la phase de conception ». Là encore, ces canevas peuvent se traduire via une note de classification (navires classés BV), ou une attestation de conformité (navires non-classés BV), voire une assistance technique en fonction des besoins de l’armateur.

© Un article de la rédaction de Mer et Marine. Reproduction interdite sans consentement du ou des auteurs.