Les solutions

Installer de l’UEBA avec un pare-feu de niveau 7, en implémentant de la blockchain sur une approche top down dans un contexte de big data et d’IA.

Mmmmh.

Il n’y a bien sûr pas de solution ultime pour sécuriser le secteur. Je suis breton, j’aime bien la gastronomie, alors je vais vous proposer une recette à base de quatre-quarts.

1 quart d’ambition et de volonté

Je ne sais plus qui disait “Sans volonté, pas de réussite”, mais bon on y est. Et pas de la volonté d’affichage, mais une vraie envie. On vit dans un monde merveilleux, mais où, je trouve, on dit beaucoup et on fait peu. Il y a de nombreux acteurs, chacun avec des envies et des attentes différentes. Qui pour coordonner tout cela ? Pour insuffler les bonnes idées efficaces ? Comment faire pour éviter d’en faire une “usine à gaz” et impacter financièrement nos armateurs, pêcheurs, en mettant en place une réglementation trop coûteuse ? Une chose est sûre, il faut y aller pas à pas. Quelques sources d’espoir ? Peut-être (bon, ce ne sont que des tweets) :

1 quart de réglementation et de bonnes pratiques

Le sujet de la réglementation est intéressant : il y a ceux qui pensent qu’il y en a trop et ceux qui disent : il faut faire quelque chose. J’ai rencontré les deux, j’ai moi-même été confronté aux deux cas. Comme souvent, la réponse est médiane : il faut très certainement éviter les couches de réglementation qui se recoupent et s’opposent parfois. Il faut aussi impérativement éviter “l’effet parapluie” : c’est écrit, donc c’est bon. Non, comme on l’a dit, les navires et infrastructures navales ont un cycle de vie très long : écrire un texte aujourd’hui ne signifie pas qu’il sera applique le lendemain (c’est comme pour les correctifs de sécurité !). Donc oui, la réglementation cyber est faible sur le domaine. Oui, l’OMI a écrit, l’IEC aussi, certains armateurs aussi (BIMCO/CLIA/ICS/INTERCARGO/INTERTANKO/IUMI/OCIMF). L’ANSSI aussi. Le secteur est-il plus sûr ? Si la mise en œuvre est exigences relatives aux OIV devrait changer la donne en France, il va falloir être patient. Et, surtout, éviter de copier/coller des bonnes pratiques d’autres secteurs, qui n’ont pas toujours de sens.

Enfin, le partage. Il faut que les acteurs cyber du monde maritime français se rencontrent, se connaissent, créent un véritable réseau d’échange de bonnes pratiques et, peut-être un jour, d’IoC 🙂

1 quart d’effort sur les RH

Formation

Sensibilisation

Responsabilisation

Entraînement et mise en situation

… et on devrait être pas mal.

L’offre de formation en cybermarétique est insuffisant. Oui, on peut s’en sortir avec des formations “généralistes” en cyber (et il y en a de très bonnes en France, suivez mon regard). Mais il faut connaître la marétique. Et cela peut prendre des années pour se bâtir une expérience, soit en naviguant (Marine marchande ou Marine nationale), mais je pense qu’il faut aussi parler de la marétique lors du cursus initial de formation. Il y a en effet tellement de choses à dire.

Sensibilisation : ce point est essentiel, il est généralement déjà pris en compte : il faut sensibiliser les équipages, les capitaines, les armateurs et les intervenants aux risques cyber. Pas en les assommant un jeudi après-midi par des PPT indigestes avec des tonnes de réglementation, mais en leur apportant aussi des exemples et des solutions concrètes. C’est essentiel et cela permet…

de les responsabiliser : ce point est essentiel : les utilisateurs, administrateurs, responsables de systèmes sont prêts à assumer leur responsabilité si on leur donne les bonnes informations et les bons outils. L’humain, qui est souvent pointé du doigt pour ses failles, est aussi une barrière essentielle dans la protection de la marétique.

Enfin, l’entraînement et la mise en situation : il faut entraîner le personnel et l’organisation en les mettant en situation concrète face à un évènement cyber. C’est l’occasion rêvée pour vérifier que les actions de sensibilisation, de responsabilisation et que l’organisation fonctionnent correctement, de l’alerte jusqu’à la phase de résolution. Et en plus ce n’est pas trop cher.

1 quart de technologie

Et oui, je termine par la technologie : ne comptez pas mettre des datacenters à bord des navires, des NIDS qui vous crachent des milliers d’alertes par jour, ou des boîtes noires que personne ne comprend… Il faut adapter les solutions au navire et aux infrastructures, et pas l’inverse ! Pour cela, la connaissance du milieu et des risques est essentielle. Et il faut traiter la marétique dans son ensemble et arrêter de chercher des solutions “en silo”.