Le domaine maritime : zone de risques cyber
Depuis l’Antiquité, les océans sont un espace de liberté, de transport des hommes et des marchandises. Leur numérisation les rend vulnérables aux cyberattaques, même si la culture de gestion du risque y est fortement ancrée.
90 % du commerce mondial de marchandises transite par les mers. Ces dernières années ont été marquées par une augmentation, mais aussi une prise en compte de plus en plus grande des attaques cyber au sein de l‘espace maritime. France Cyber Maritime s’apprête a rendu public au FIC 2023 un panorama de la menace cyber maritime 2022. Olivier Jacq, son directeur technique et scientifique, explique : « ce rapport est le premier en date qui est dressé avec, non seulement un focus sur les types de menaces, mais aussi une analyse de la composante sectorielle de la menace ».
Reprenant notamment les données du M-CERT publiées sur la base ADMIRAL, le rapport souligne, explique Olivier Jacq, « que les attaques par ransomware sont les plus nombreuses et ont principalement concerné les infrastructures portuaires et la chaîne logistique. Sur 2023, on peut s’attendre à une augmentation des vols ou des fuites de données, et des attaques en déni de service sans doute liées au contexte géopolitique ».
La base ADMIRAL collecte depuis 1980 des données de plus en plus renseignées. Elle donne les chiffres suivants : sur 195 attaques menées de 2020 au début de l’année 2023, 45 attaques ont touché la logistique, 60 des infrastructures maritimes (ports), des armateurs ou des navires, 10 des acteurs maritimes (pêche, offshore, industrie), 7 le secteur de la Défense, 4 le secteur de l’informatique. 140 ont été opérées via des virus et des ransomwares, 32 concernaient une fuite de données ou des intrusions, 3 un leurre ou un brouillage des données AIS [Automatic Identification System, NDLR] d’un navire, 3 des attaques en DDoS.
Un risque multiple et multisectoriel
Les navires présentent une surface de vulnérabilités importantes. Tous les systèmes d’information d’un bâtiment, de la gestion de la manœuvre et de la propulsion à la cargaison et au rôle d’équipage, sont potentiellement attaquables.
« Il est possible de leurrer l’AIS. C’est un système embarqué d’échanges de données entre navires redu obligatoire depuis 2004 sur certains navires par l’Organisation Maritime Internationale (OMI). Il gère l’envoi et la réception des positions GPS et permet ainsi de localiser les navires. Sa vulnérabilité réside dans l’emploi du GPS comme signal de localisation, et la possibilité de donner ainsi de fausses indications sur le nom d’un navire, et sa cargaison, son cap, son escale. Par ailleurs, le nombre de capteurs a beaucoup augmenté pour mieux apprécier la situation du navire et automatiser, au mieux, les tâches humaines », précise Olivier Jacq.
Le système informatique d’un bâtiment peut être attaqué par un support externe, par exemple une clé USB, tout comme un système automate. C’était le scénario du ver Stuxnet introduit en 2010 dans la centrale iranienne d’enrichissement d’uranium de Natanz pour ralentir le programme nucléaire iranien.
Notons que les phares, essentiels à la sécurité maritime, sont automatisés depuis le début des années 1970. Il n’y a plus de fonction de veille humaine, même si les dispositifs sont redondants. Une hérésie, pour beaucoup de marins.
Mais la multiplicité des acteurs portuaires et l’étendue de la chaîne logistique n’ont qu’amplifié la complexification des systèmes d’information maritimes et portuaires. Des systèmes qui concentrent la majeure partie des attaques cyber.
Une cyber sécurité de plus en plus encadrée
Très encadrée par des conventions internationales, la sécurité maritime intègre le risque cyber depuis quelques années. La cyber maritime est devenue un vrai sujet au niveau national et international et la France, notamment à Brest, est pionnière dans ce domaine.
En 2014, l’École Navale, IMT-Atlantique, rejoints par l'ENSTA Bretagne et les industriels Naval Group et Thales, ont créé avec l’appui des collectivités (Conseil Régional de Bretagne, Pôle d’Excellence Cyber), une chaire dans le domaine de la cyberdéfense des systèmes navals, hébergée sur le site de l’Ecole Navale face à la rade de Brest.
L’OMI a établi, dans une résolution adoptée en juin 2017, la nécessité de gérer le risque cyber dans la sécurité maritime. Aucune contrainte formelle n’est donnée, mais le principe est posé au niveau international.
En France, la LPM ayant défini le transport maritime et fluvial comme étant un SAIV (secteur d’activité d’importance vitale), des obligations relatives aux SIIV (systèmes information d’importance vitale) sont venues s’ajouter en 2016. Enfin l’Arrêté du 14 septembre 2018 définit certains acteurs du secteur maritime comme OSE (Opérateurs de services essentiels) au sens de la directive NIS.
Patrick Radja, directeur cybersécurité groupe de Naval Group, l’explique sans ambiguïté : « les bâtiments de dernière génération, de plus en plus autonomes, sont très informatisés et automatisés. Nous considérons donc les capacités de résilience cyber des bâtiments militaires que nous construisons comme un principe essentiel, à intégrer dès la conception des bâtiments. Une approche « cyber by design » que nous avons intégrée dans nos processus de fabrication avec nos prestataires industriels », précise-t-il.
Les grands acteurs portuaires s’y mettent : HAROPA Port [le grand complexe portuaire qui dessert l’axe de la Seine et intègre notamment le port du Havre, NDLR] travaille sur le sujet avec l’Anssi et a mis en place en 2020 une plateforme de gestion de cybersécurité maritime et portuaire, le projet CYMPATI (pour Cybersécurité maritime, portuaire et industrielle). « HAROPA Port a mené en 2019 avec l’Agence une simulation d’attaque avec une usurpation de l’identité d’un navire par leurrage de l’AIS et analyse des conséquences et des mesures à mettre en place », explique Jérôme Besancenot, directeur de la transition digitale d’HAROPA PORT, auparavant directeur des systèmes d’information d’HAROPA Port.
Une culture dans la gestion du risque dans le monde marin
Pour autant, il n’est pas besoin de conférences internationales et d’audits pour avoir une réflexion mature dans le domaine. Si la culture maritime est basée sur l’ouverture des échanges, la gestion du risque cyber est facilitée par la culture de la gestion du risque et de la sécurité propre aux marins.
Le monde maritime est un monde hostile, où le risque est létal, nuit et jour, et pas seulement par mauvais temps. Un homme qui tombe à la mer, un blessé grave, un incendie ou une pandémie à bord sont des risques réels, létaux… et connus.
Les marins ont acquis et développé depuis très longtemps une culture de la gestion du risque qui se traduit par l‘application de procédures renseignées et connues par tous, comme l’organisation en quarts, qui permet une fonction de conduite du navire et de veille H24. Ce raisonnement s’applique au risque cyber, tant la culture de gestion du risque est ancrée dans la mentalité des marins.
Paul Franquart, AQSSI (Autorité Qualifiée) du port de Marseille/ Fos, 2eme port français, y travaille de manière très pragmatique. « Avec quelques bonnes pratiques (identiques à elles promues par l’Anssi dans ses guides), notamment un mot de passe robuste une vigilance accrue, ne pas cliquer sur n’importe quoi, et des sauvegardes régulières, on répond efficacement à 90% des risques apportés par la messagerie. Évidemment, le durcissement des infrastructures systèmes et réseaux reste primordial ».
Connaître et parer le risque, notamment cyber, n’est pas pour les marins une contrainte, mais une garantie de protéger sa vie et celle des autres.