Année : 2018

Le secteur maritime en France

Le secteur maritime

L’idée de ce court article n’est pas de vous dresser un portrait exhaustif du secteur maritime, ce serait trop long tant le milieu est passionnant et riche, mais de redonner quelques chiffres et informations-clés du domaine, encore trop souvent méconnu.

Bien que petit hexagone sur la planète, la France est un pays paradoxalement très maritime : elle comprend 7 000 km de littoral et, avec sa zone économique exclusive de 11 millions de kilomètres carrés, elle représente le 2è domaine maritime mondial, après les États-Unis et avant l’Australie. Le secteur maritime rayonne dans 14% du PIB français. L’importance de la ZEE française s’explique notamment par le nombre de points de présence français outre-mer.

De manière plus générale, 71% de la surface de la terre est océanique, 95% des communications transitent via les câbles sous-marins.

90% des marchandises échangées sur le globe transitent via la mer. Au niveau pétrolier, ce transit maritime concerne 60% du volume du brut mondial échangé, et 90% du brut pour la France ! Plus de 52% du trafic de marchandises échangées en Europe transite par la voie maritime, ce qui représente 10 Mds de tonnes transportées en 2016 (+210% depuis les années 2000 !). Les activités maritimes représentent au total entre 3 et 5 % du PIB européen (hors matières premières).

Certains échanges maritimes sont essentiels pour l’approvisionnement de la France en matières premières (cobalt, or, platinoïdes, cuivre, aluminium, nickel, terres rares…).

La mer est aussi une source de ressources essentielles : gaz, pétrole, halieutique pouvant susciter des zone de conflits entre états, c’est notamment le cas aujourd’hui en mer de Chine méridionale, où de nouvelles îles voient le jour.

Les océans sont aussi sources de drames humains, on le voit en Méditerranée avec la crise migratoire actuelle, mais ils peuvent également présenter des risques pour les navires, avec les actes de piraterie qui sont toujours d’actualité, au large de la corne de l’Afrique ou encore dans le Golfe de Guinée. Enfin, on se rappellera que le terme “pirate”, employé dans le terme “pirate informatique” vient tout d’abord de la mer !

A l’heure de la rédaction de cet article, 150 navires / jour transitent par le rail d’Ouessant, soit plus de 50 000 / an ! Ils transportent des conteneurs, essentiellement, mais aussi des matières dangereuses (explosives ou dangereuses pour l’environnement), des passagers, du vrac.

La France comprend de nombreux ports, généralement spécialisés : accueil de navire à passagers, ports à conteneurs, ports de vrac, de pêche, réparation navale, ports militaires et bien entendu l’hinterland qui prolonge l’activité maritime jusque dans les terres (raffineries, industries de transformation).

On le voit, la France est un pays particulièrement maritime, mais qui s’ignore. Une majorité des français reste tournée vers la terre, et ne connaît la mer qu’aux beaux jours, pour les vacances. Ce “raccourci” de la pensée est malheureusement un constat dressé par beaucoup, qui regrettent le manque d’ambition de la France dans le domaine. Même si la France conserve de belles pépites dans le secteur maritime (chantiers navals, armateurs, croisiéristes, ports, industrie militaire), il faut régulièrement rappeler l’importance de la mer pour notre confort quotidien. Pour s’en convaincre, il suffit généralement de regarder autour de soi, ou dans son assiette : il y a de grandes chances que le matériel électronique que vous utilisez, comme le PC sur lequel j’écris ces lignes, ait transité par la voie maritime pour venir jusqu’à vous. Cela ne fait jamais de mal de le rappeler !

Les évènements redoutés en marétique

Les risques

Une analyse de risques très succincte et “macro” permet d’identifier quelques évènements redoutés pouvant toucher le secteur maritime. Je ne les détaille pas de manière exhaustive, mais en voici une idée :

  • des tentatives d’usurpation ou de brouillage des systèmes de positionnement ou de communication, soit sur le navire visé, soit sur son environnement
  • des dérèglements ou pertes de disponibilité des systèmes de cartographie ECDIS (même s’ils sont souvent redondés)
  • une diffusion de fausses informations de sécurité vers le navire (SMDSM, AIS, météo…)
  • des intrusions visant spécifiquement les systèmes industriels à bord des navires
  • une prise en main à distance du navire ou d’une partie de ses systèmes
  • un chiffrement complet ou partiel de ses systèmes d’information à l’aide d’un rançongiciel

Les ports ne sont à l’abri non plus, avec :

  • une tentative de paralysie (rançongiciel)
  • là aussi, une prise en main à distance du smart port en exploitant l’interconnexion croissante entre les systèmes
  • la modification des systèmes d’information logistiques des ports (mouvement des navires, des passagers, du fret ou des moyens de manutention et de transport)
  • la désorganisation de la disponibilité des services portuaires (pilotage, avitaillement…) et la disponibilité des quais et des aires de stockage, etc.

Les sources de menace pouvant viser le secteur maritime

Les risques

Qui peut en vouloir à la marétique ?

Les sources de menace (volontaires, cagoulées) sont assez proches de ce qui peut être trouvé par ailleurs. Je ne vais pas vous refaire une liste à la Prévert des sources de menaces possible, l’ANSSI l’a déjà fait (cf p. 15 et suivantes). Les plus réalistes sont aujourd’hui :

  • les “hackers” du dimanche, ayant vu des vidéos de chercheurs lors de conférences en cyber et essayant de reproduire les preuves de concept
  • la concurrence (et oui, on ne peut pas totalement le nier, ou du moins le prendre en compte)
  • les organisations terroristes / de piraterie, qui pourraient y trouver un intérêt pécunier
  • l’infection “collatérale”, c’est-à-dire ne visant pas spécifiquement le secteur maritime, mais dont il est victime comme d’autres (c’est généralement le cas des rançongiciels)

On se rappelle que le “vecteur” cyber a plusieurs avantages : il est généralement anonyme, anomique, et les attaques ont une relative fulgurance et relativement rentable (surtout pour quelqu’un qui n’a qu’à cliquer sur sa souris…).

N’oublions pas les sources non volontaires, qui regroupent principalement deux types d’acteurs :

  • la menace interne, involontaire (par exemple un capitaine qui branche son téléphone portable “intelligent” perso sur le poste de l’Intranet de sa société dans sa cabine sur son navire (il se reconnaîtra !))
  • les interventions extérieures (maintenanciers, concepteurs) qui peuvent avoir une hygiène et une conscience des risques cyber… variées.

Au-delà de ces deux sources de menaces, que l’on a tendance à sur-médiatiser (au moins pour les 4 premières), il ne faut pas oublier les sources de menace involontaires (incendies, avarie, etc…) qui peuvent être tout aussi redoutables mais, parfois, négligées au profit de menaces plus précises.

Les particularités de la marétique

La marétique

La – relative – incompréhension entre les équipementiers cyber “traditionnels” et les utilisateurs de la marétique vient généralement d’un manque de connaissance du milieu maritime et d’adaptation / intégration de systèmes traditionnels avec les contraintes du milieu. Dans cet article, je vous détaille une partie des caractéristiques du milieu qui expliquent qu’une prise en compte particularisée du monde maritime est nécessaire lorsqu’on veut y déployer des systèmes et logiciels “sur étagère”.

Parmi les contraintes rencontrées, la première d’entre elle est la connectivité : si les navires récents sont de plus en plus connectés à la terre grâce au recours aux liaisons satellitaires et 4G, la bande passante, notamment pour les navires hauturiers, reste limitée et coûteuse. En complément des contraintes de débit évoquées, le RTT (Round Trip Time) d’une liaison satellitaire peut être important : plusieurs centaines de millisecondes séparent l’émission d’un message de sa réception. Cela complexifie la connectivité terre/bord et notamment le soutien et la prise en main à distance (e-maintenance, surveillance) de la marétique (ce n’est pas toujours un mal !).

Ce – relatif – sentiment d’isolement a aussi des conséquences en termes de sécurité informatique : l’équipage peut avoir l’impression par ce biais d’être relativement “protégé” des cyberattaques qui grouillent sur le continent.
La résilience et la sécurité sont des effets finaux recherchés permanents chez le marin : la numérisation du secteur ne doit en aucun cas entraîner de risque insurmontable en mer : la sécurité (de l’environnement, du marin, de sa cargaison, de son navire…) ne doit pas pouvoir être impactée, même en cas de perte d’un système d’information critique.

Il n’y a pas d’expert IT/OT/cyber à temps plein à bord d’un navire en mer, du moins sur la majorité des navires civils :  l’administration, la maintenance, la sécurité est largement sous-traitée et traitée lors des escales des navires. En revanche, à bord des navires se trouvent (souvent) de remarquables experts de leurs installations physiques, maîtrisant parfaitement leur fonctionnement et capables de vous en parler des heures durant. De ce que j’ai pu constater, hormis dans certains cas, leur niveau d’expertise peut s’arrêter au niveau de l’interface où l’informatique “prend le dessus”.

La marétique regroupe assez régulièrement des systèmes achetés sur étagère (COTS, Commercial Off The Shelf) et “intégrés” à bord par des sous-traitants : le marin a donc une vision et une maîtrise limitée de l’installation en question. Ce concept de “boite noire” est d’autant plus prégnant que les protocoles utilisés (systèmes industriels, protocoles spécifiques parfois obscurs et, dans leur majorité, non sécurisés) sont généralement propriétaires. Ce constat rend difficile la configuration sécurisée et la mise à jour régulière des systèmes de la marétique pour faire face à une cyberattaque. Ce point est d’autant plus critique que le cycle de vie d’un navire ou d’une infrastructure navale est particulièrement long (de 20 à 40 ans, à mettre en parallèle de la durée de vie moyenne d’un iPhone à Paris).

Dernier point à ne pas oublier : le navire évolue la plupart du temps dans un milieu hostile, côtier ou hauturier, généralement seul : le paramétrage ou la réinstallation d’un data center par mer 7 n’est pas tellement une option facile à entendre… Pour s’en convaincre/rappeler, une petite vidéo…


https://www.youtube.com/watch?v=SwBbPLota6Q

Les systèmes de la marétique

La marétique

Dans cet article, je vous détaille un peu plus ce qu’est un système marétique, en essayant de les classer au mieux.

Tout d’abord, l’appellation marétique, comme nous l’avons vu précédemment, peut concerner différentes infrastructures :

  • les navires :
    • marine marchande
    • navires de combat
    • navires de plaisance
    • navire de pêche
    • navires de recherche scientifique / hydro-océanographique / halieutique
    • péniches
  • les ports et infrastructures navales :
    • systèmes de débarquement / embarquement de containers, smartports, systèmes logistiques
    • Port et Cargo Community Systems
    • grues et portiques
    • systèmes de gestion de bassins
    • écluses
    • pipelines
  • les autres installations à terre :
    • marétique des sémaphores, CROSS, centres de commandement et de gestion des navires
  • les installations offshore :
    • plateformes de forage
    • Énergies Marines Renouvelables (EMR) : éoliennes, hydroliennes…

Ensuite, pour faciliter la compréhension, j’ai tendance à séparer les systèmes en deux grandes familles : les systèmes d’information de type “IT” (Information Technology) qui sont finalement assez communs avec ce que l’on peut trouver dans d’autres domaines, et ceux de type “OT” (Operational Technology), qui sont, pour simplifier, ce qu’on pourrait qualifier de “système métier”, plutôt spécifique au monde de la marétique.

Exemples de systèmes de la marétique que l’on peut qualifier d’IT :

  • Wi-Fi embarqué
  • VoIP et autocommutateurs
  • Systèmes de distraction (réception et distribution TV, Internet…)
  • Systèmes de vidéoprotection (CCTV, Closed Circuit TeleVision)

Exemples de systèmes spécifiques de la marétique que l’on peut qualifier d’OT :

  • Systèmes de navigation électronique (ECDIS, Electronic Chart Display and Information System), radars
  • Systèmes de positionnement (GPS, Global Positioning System ou plus précisément et plus largement GNSS, Global Navigation Satellite System) et de communication (AIS, Automatic Identification System, VMS, Vessel Monitoring System, SSAS, communications par satellite…)
  • Systèmes météorologiques et environnementaux
  • Systèmes de contrôle-commande industriels : propulsion, énergie, surveillance, hydroliennes, propulsion dynamique
  • Outils de gestion et de contrôle du trafic maritime et des cargaisons
  • Systèmes militaires spécifiques : systèmes de combat…

Bien entendu, comme dans d’autres domaines, le périmètre et la définition peut être floue : ces systèmes sont de plus en plus fréquemment interconnectés. La marétique comprend donc l’ensemble des équipements (serveurs, postes clients, automates, réseau, applications…) constitutifs du système d’information.

Un ECDIS à bord d’un navire marchand (By Hervé Cozanet (http://www.marine-marchande.net/) [GFDL (http://www.gnu.org/copyleft/fdl.html), via Wikimedia Commons)

Et le futur, ce sont les navires autonomes. Je vous donne plus d’informations ici sur ce sujet.

Dans le prochain article, je vous détaille les spécificités de ces systèmes.

La marétique

La marétique

Le terme “marétique” est un néologisme : il n’est présent pour ainsi dire dans aucun dictionnaire ni encyclopédie, mais uniquement sur certains sites spécialisés (presse, revues professionnelles, etc…) mais commence à être reconnu, au même tire que l’agrétique pour l’agriculture.

Sa définition a été donnée en 2012 dans le Livre Bleu sur la marétique, publié en 2013 et que vous pouvez retrouver à cette adresse.

Le livre bleu de la marétique

Ensemble des systèmes informatiques et électroniques utilisés dans la gestion et l’utilisation des opérations relatives aux activités maritimes, fluviales et portuaires.

Cette définition, peu reprise par ailleurs, permet de mieux cerner ce qu’est la marétique. Pour mémoire, ce Livre Bleu avait pour volonté initiale de structurer les travaux et les réflexions de certains acteurs du monde maritime, comme le Cluster Maritime Français (CMF).

Bien que datant de 5 ans, ce document dresse un portrait assez précis de l’avenir du mode maritime, au travers de sa composante informatique, avec les premiers traits des systèmes de transport intelligents (navires autonomes).

Si le Livre Bleu souligne l’apport de la marétique pour assister l’officier de quart ou le capitaine dans le domaine de la navigation ou de la manœuvre, le sujet de la cybersécurité de ces systèmes est pour ainsi dire absent. Est simplement évoquée une “bulle sécurité” nécessaire à la protection du navire. Par ailleurs, le cas des systèmes de contrôle industriel n’est pas évoqué, alors que navires (à partir d’un certain tonnage) et infrastructures portuaires ont de plus en plus tendance à regorger de ce type d’équipement.

Dans le prochain article, je vous détaille plus précisément ce qu’est la marétique, en vous donnant des exemple plus concrets.

Mais, on le voit déjà, et on en reparlera : la quasi absence de la cybersécurité dans ce Livre Bleu est assez représentatif de la maturité du secteur maritime sur le sujet de la cybersécurité.

Hack.lu 2018 : comment pirater un yacht

Actualités

Cette vidéo  été tournée dans le cadre de la conférence bien connue hack.lu 2018 au Luxembourg. En première partie, Stephan Gerling y présente sa vision de la marétique et évoque rapidement les services type GPS et AIS. Il s’intéresse ensuite à la connectivité terre/navire, notamment satellitaire. Puis, il démontre les vulnérabilités de conception d’une interface de contrôle d’un routeur “naval”. L’interface de gestion se connecte en FTP au routeur naval, et les identifiants/mots de passe sont stockés en clair, révélant ainsi rapidement les identifiants WLAN du système.

Il évoque ensuite les vulnérabilités liées à la prise en main à distance de systèmes : les industriels/maintenanciers disposent fréquemment d’une capacité d’intervention à distance et, là encore, les identifiants sont stockés en clair dans le logiciel, qui est disponible librement sur Internet : pas très difficile de les trouver, surtout quand les outils utilisés (Winbox) sont vulnérables. Stephan a bien fait les choses, en informant le fabriquant des vulnérabilités constatées. Elles ont été corrigées (mais pas très bien, vous le verrez) par le constructeur. Par ailleurs, si la politique de maintenance n’est pas efficace, il est fort probable que les versions vulnérables demeurent un certain temps.

Il fait ensuite la preuve d’une autre vulnérabilité sur un système d’accès à distance à l’interface de gestion d’un modem satellite. Là encore, les mots de passe sont stockés en clair dans l’interface d’administration du modem… un simple tour sur Shodan permet d’identifier les navires vulnérables.

Rien de très très neuf, mais cette vidéo, qui fait suite à celle de Derbycon 2018, montre le regain d’intérêt du monde cyber pour la marétique.

Wärtsilä ouvre un centre d’excellence maritime cyber à Singapour.

Actualités

Le groupe finlandais de technologies Wärtsilä vient d’annoncer l’ouverture de son centre d’excellence international en cyber maritime (International Maritime Cyber Centre of Excellence (IMCCE) ce jour à Singapour. Conçu en  partenariat avec Templar Executives, L’IMCCE comprend un CERT maritime (Computer Emergency Response Team) et un centre de formation en cyber, l’objectif premier est de permettre une réaction rapide en cas d’incident, et d’augmenter le niveau de compréhension des enjeux cyber du domaine.

Le CERT maritime (MCERT) est une plateforme internationale de fourniture de renseignement d’intérêt cyber et de soutien en cas d’incident. Il fournit notamment des flux de renseignement, des conseils et un soutien, notamment temps réel aux membres sur les cyberattaques et incidents, ainsi qu’un portail d’alerte, où que se trouvent ces membres de part le monde.

La présence de l’IMCCE à Singapour est assez logique : le pays investit beaucoup dans le développement des capacités de cyberdéfense et est une pays important dans l’écosystème maritime. On se rappellera aussi, comme déjà annoncé sur ce site, que les autorités portuaires de Singapour préparent le lancement prochain de leur SOC maritime.

Côté formation, les cours couvriront les sujets relatifs à la cybersécurité du “coaching” des état-majors jusqu’à la sensibilisation à tous les niveaux pour l’industrie maritime.

Les aspects maritimes de la dernière stratégie nationale cyber des Etats-Unis.

Actualités

Ceux qui, parmi vous, auront lu la dernière stratégie nationale cyber américaine parue en ce mois de septembre et signée par le Président Trump himself n’auront pas manqué d’y lire quelques points intéressants sur les sujets cyber et maritime, page 18 (juste avant le secteur spatial). Je vous traduis rapidement le paragraphe concerné :

AMÉLIORER LA CYBERSÉCURITÉ DU SECTEUR DU TRANSPORT ET DU SECTEUR MARITIME : la sécurité nationale et l’économie des États-Unis  reposent sur les échanges mondiaux et le transport. Notre capacité à garantir la liberté et les délais dans l’acheminement des biens, des routes maritimes et aériennes libres, l’accès au pétrole et au gaz naturel et la disponibilité des infrastructures critiques associées est essentielle pour notre économie et notre sécurité nationale. Ces secteurs s’étant modernisés, ils sont également devenus plus vulnérables à des exploitations ou des attaques cyber. La cybersécurité maritime est particulièrement concernée concernée, car les pertes ou les retards dans les livraisons peuvent conduire à des interruptions dans les secteurs stratégiques de l’économie, avec de potentiels effets en cascade. Étant donnée la criticité du transport maritime pour les États-Unis et l’économie mondiale et les investissements minimums nécessaires à la réduction du risque conduits jusqu’à présent, les États-Unis vont rapidement se positionner pour clarifier les rôles et responsabilités de la cybersécurité maritime, promouvoir l’amélioration des mécanismes pour la coordination internationale et le partage d’information et accélérer le développement de la prochaine génération d’infrastructures maritimes résilientes. Les Etats-Unis assureront le transport ininterrompu des biens face à toute menace qui pourrait, par des moyens cyber, porter atteinte à cette infrastructure intrinsèquement internationale.