donvictori0 - stock.adobe.com
La France s’organise pour renforcer la cybersécurité maritime
Mise en œuvre d’un CERT spécifique, sécurisation des ports et navires, formations : tels sont les objectifs de France Cyber Maritime.
La première association dédiée à la sécurité informatique de tout ce qui touche au secteur maritime en France est née fin 2020. Les attaques informatiques en général, et à l’heure actuelle plus particulièrement les ransomwares, affectent toutes les entreprises, y compris celles du secteur maritime : l’armateur de porte-conteneurs CMA-CGM a été victime de Ragnar Locker en septembre dernier, et ce n’est qu’un exemple.
La création de l’association France Cyber Maritime fait suite à plusieurs décisions. Celle du comité interministériel de la mer, tout d’abord, qui portait sur le renforcement de la sécurité informatique du monde maritime, après le faux rançongiciel NotPetya ayant notamment touché Maersk en 2017. L’objectif était de lancer un système de gouvernance de la cybersécurité pour le monde maritime.
En novembre 2019, cette gouvernance s’est mise en place, réunissant d’un côté des agences gouvernementales – coprésidées par le SGMer (Secrétariat général de la mer) et l’Agence nationale de la sécurité des systèmes d’information (Anssi) – et de l’autre des opérateurs du secteur maritime ainsi que des spécialistes en cybersécurité. « Enfin l’Organisation maritime internationale (OMI) a décrété qu’à partir du 1er janvier 2021, il fallait que les opérateurs et les armateurs aient des structures dédiées à la remontée d’incidents, ce qui n’est pas le cas pour l’instant », explique Guillaume Prigent, administrateur de France Cyber Maritime.
Créer un Cert maritime
Guillaume PrigentAdministrateur de France Cyber Maritime
Le premier objectif, ambitieux, est de définir la structure et de démarrer en lien avec des services de l’État un Cert maritime. L’association a été soutenue par l’Anssi avec un travail préalable sur la rédaction des missions de ce futur Cert : « dans un premier temps, ce Cert maritime ne sera pas destiné à faire de la réponse à incidents. Les premières étapes sont la gestion et la centralisation des événements, pour toutes nos côtes hexagonales et ultra-marines, comme le demande l’OMI », précise Guillaume Prigent.
La seconde mission consiste à fédérer et structurer une offre de cybersécurité dédiée au monde maritime. Or le secteur maritime se numérise à marche forcée et comporte plusieurs particularités. De nombreux automates industriels sont chargés de commander les lignes d’arbres, les vannes et les moteurs, à l’image des systèmes de contrôle industriel (ICS), dont certains sont spécifiques au monde maritime. À l’occasion de l’édition 2018 du Forum International de la Cybersécurité (FIC), Jean-Michel Orozco, vice-président sénior de Naval Group (ex-DCNS), donnait un aperçu de l’ampleur du défi.
Les systèmes de communication sont en outre de plus en plus sophistiqués, tel AIS (Automatic identification system) : « celui-ci identifie tous les bateaux de plus d’une certaine taille, qui diffusent sur la VHF un certain nombre d’informations comme leur route, leur vitesse, leur nom, leur position, leur prochain port d’escale… C’est un système qui ajoute des informations sur les écrans radars et renforce la sécurité pour éviter des collisions. Mais c’est un système qui, s’il est piraté, peut donner de fausses informations… », explique Xavier Rebour, également administrateur de France Cyber Maritime. « En cas de faille trouvée dans AIS, c’est le type d’information que pourra fournir le Cert maritime », poursuit Guillaume Prigent.
Les communications entre les navires et les ports sont prépondérantes, et complexifiées par l’hétérogénéité des technologies. Or un cargo immobilisé en mer parce qu’il y a une panne sur le système d’entrée et de sortie des bateaux du port, paralysé par un piratage par exemple, cause rapidement des pertes qui se chiffrent en millions d’euros. Sans compter que, plus grave, un système AIS piraté peut entraîner collisions et naufrages. Et il y a déjà eu des alertes dans ce domaine.
Sensibiliser à la cybersécurité
Autre tâche importante qui attend France Cyber Maritime : la formation. Il faut savoir qu’un porte-containers de plusieurs centaines de mètres de long ne fonctionne qu’avec quelques dizaines de personnes. Et si les employés d’un paquebot de croisière dédiés au confort, à la restauration et à la distraction du public sont nombreux, il est difficile d’y trouver des spécialistes de la configuration de points d’accès WiFi.
Or mal configurés, ceux-ci peuvent permettre un accès à des composants sensibles du navire, par un pirate figurant parmi les milliers de passagers. Il est donc capital d’expliquer comment avoir des systèmes plus sécurisés, comment détecter une attaque et comment agir, avec une formation adaptée : difficile de parler de contrôleurs de domaines au capitaine d’un méthanier.
France Cyber Maritime a reçu le soutien de nombreux organismes et associations : le Gican (Groupement des industries de constructions et activité navales), Naval Group, Thales ainsi que des écoles d’ingénieurs de Brest et sa région, et des PME spécialisées en cybersécurité (YesWeHack, Sekoia, etc.).
Une belle brochette de futurs adhérents qui font dire à Guillaume Prigent : « nous avons l’une des meilleures agences au monde en cybersécurité avec l’Anssi, un secteur maritime très dynamique, des grands acteurs, des structures comme le Gican : pourquoi n’essaierait-on pas de développer ce savoir-faire de cybersécurité pour le monde maritime, et aussi de voir comment on peut adapter des solutions françaises du monde IT classique à ce secteur ? »