Le croisiériste norvégien Hurtigruten victime d’une attaque par rançongiciel

De nombreux articles ([1], [2], [3]) font mention d’une cyberattaque par rançongiciel touchant le croisiériste norvégien Hurtigruten. Cet armateur est notamment connu pour proposer des croisières dans les fjords norvégiens, mais aussi pour assurer le transport de fret dans cette région. La partie visible de cette attaque a eu lieu dans la nuit du 13 au 14 décembre 2020.

Les systèmes IT de la compagnie ont été impactés, de même que les services téléphoniques. Le site Internet de l’entreprise affichait également un message d’indisponibilité au moment de l’attaque.

Déjà lourdement impacté par la pandémie, le secteur maritime et portuaire voit cette attaque se rajouter à la vingtaine de cyberattaques (publiques) qui l’ont touché en 2020.

France Cyber Maritime, réponse de la France face aux menaces cyber qui touchent le secteur maritime.

Un communiqué de presse paru aujourd’hui (24/11/2020) informe que l’association France Cyber Maritime a été créée le 17 novembre 2020, pour “contribuer à répondre aux attentes du monde maritime et portuaire sur les questions de cybersécurité maritime, dans un contexte de numérisation accrue des navires et des ports, de développement des drones et navires autonomes, et d’accroissement des menaces cyber pesant sur ce secteur stratégique pour la France et l’Europe.”

Je cite en grande partie le communiqué, celui-ci étant assez complet :

“Les objectifs de FRANCE CYBER MARITIME sont :

• de créer dans les prochains mois une équipe opérationnelle intitulée Maritime Computer Emergency Response Team (M-CERT). Ce CERT sectoriel aura vocation à centraliser et coordonner les incidents de cybersécurité du secteur maritime et portuaire, à favoriser le partage de l’information afin de permettre aux acteurs d’anticiper au mieux les nouvelles menaces. Cette équipe participera également à la représentation du savoir-faire national auprès des diverses instances européennes et internationales du domaine.” A noter qu’on parle aussi parfois d’ISAC pour Information Sharing and Analysis Center dans les pays anglophones, notamment aux Etats-Unis, le CERT étant plutôt un centre d’expertise d’une entité et plus rarement sectoriel, la principale différence entre le CERT et l’ISAC étant que ce dernier ne comprend pas généralement la partie coordination / réponse à incidents. Vous irez consulter le petit article publié à l’époque de la création du MTS-ISAC outre-Atlantique ;

• “de contribuer au développement de l’écosystème national de cybersécurité maritime par la fédération des acteurs du maritime et de la cybersécurité et par le renforcement de l’offre de services de cybersécurité adaptés au secteur : conseil et expertise, formation etentraînement, analyse et alerte, maintien en condition de sécurité, recherche et développement, promotion et animation.

FRANCE CYBER MARITIME a vu le jour grâce à des travaux réunissant,depuis fin 2019, plusieurs acteurs volontaires des secteurs maritime et cyber, sous la houlette du Secrétariat Général de la Mer (SGMer) et en coordinationavec l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI), organismes qui ont conjointement assuré l’association de leur plein soutien dès sa création.

L’association dispose dès à présentd’une quinzaine de soutiens parmi les industriels du secteur maritime civil et de défense, les entreprises de cybersécurité, les établissements d’enseignement supérieur et de recherche et les associations professionnelles (Bureau Veritas, Cluster Maritime Français, DIATEAM, Elengy, ENSM, ENSTA Bretagne, GICAN, HarfangLab, IMT Atlantique, Naval Group, Pôle Mer Bretagne Atlantique, SEKOIA, SYNACKTIV, Thales, Yes We Hack).”

Un port fluvial de l’ouest des États-Unis touché par un rançongiciel

D’après le Maritime Executive, le Port de Kennewick, dans l’état de Washington, a été victime le 17 novembre d’une cyberattaque à base de rançongiciel. Une rançon de 200 000 $ a été demandée en échange de la récupération des données [1].

Bien que de taille plus modeste que les ports de la côte ouest ou de la côte est des Etats-Unis, ce port fluvial sur la rivière Columbia s’ajoute à la liste des nombreux ports déjà touchés par ce type d’attaque et démontre, s’il en était besoin, que la prise en compte des risques cyber est aussi essentielle pour le secteur fluvial.

Cette attaque, comme c’est bien souvent le cas, a aussi impacté des systèmes d’information de la commune, souvent mal cloisonnés les uns des autres. Les représentants du port pensent à une attaque par phishing qui aurait visé un employé du port.

La rançon demandée était de 200 000 $ pour récupérer l’accès au serveur et aux fichiers du port. Le FBI a été prévenu et travaille de concert avec les autorités du port et les responsables de la maintenance de ses systèmes d’information. Ces derniers ont dit être confiants sur le fait qu’aucune donnée personnelle n’a été compromise, le code malveillant s’étant limité à “bloquer les serveurs plutôt que d’accéder aux données ou aux informations présentes sur ces serveurs” (sic…). Les services informatiques travaillent donc à la récupération des données du serveur à partir de sauvegardes réalisées hors-ligne et restaurent également le serveur de messagerie.

Les officiels du port ont également précisé qu’ils ne comptaient pas payer la rançon : “Il s’agirait de l’utilisation de fonds publics et, qui plus est, il n’y a aucune garantie qu’une clé de déchiffrement serait reçue après paiement.” D’après, eux, les mises à jours étaient régulières et les contrôle antivirus réalisés et ils disposaient de plusieurs niveaux de protection. Ils soulignent que la restauration complète des données et services progresse mais qu’elle va encore prendre du temps.

Compte-rendu du e-BlueDay “Cybersécurité maritime” du 8 octobre 2020

Comme vous le savez, un e-Blue Day “Cybersécurité maritime” s’est déroulé en distanciel le jeudi 8 octobre 2020. Il était organisé par le Pôle Mer Bretagne Atlantique. Animé par Xavier Rebour du Pôle mer, il a regroupé 130 personnes, ce qui souligne, s’il en était besoin, l’intérêt pour le sujet. Je vous dresse une synthèse des différentes interventions des participants à ce Blue Day ci-après.

Intervention de M. Eric Bothorel, Député de la 5è circonscription des Côtes d’Armor

Après avoir précisé que le sujet de la cybersécurité maritime retenait toute son attention, M. le député a rappelé que le milieu maritime avait des caractéristiques propres et des singularités qui devaient être prises en compte pour permettre une bonne mise en oeuvre de la cybersécurité dans ce milieu. Il a ensuite souligné que ce Blue Day était un moment fort dans la création de France Cyber Maritime et du CERT sectoriel dédié au monde maritime. Il a rappelé, par la suite, les transformations numériques importantes réalisées en urgence suite à la pandémie de la COVID-19 pour permettre le télétravail et qui pouvaient être autant de nouveaux vecteurs de vulnérabilités pour les acteurs du monde maritime. Par la suite, il a évoqué les transformations apportées par la 5G sur les ports et la supply chain. La migration progressive de nos infrastructures réseaux de solutions matérielles vers des solutions logicielles entraine de nouveaux défis en termes de cybersécurité, de résistance et de défense. “Le fait de spécialiser et de dédier, à Brest, des éléments issus de la plus belle agence au monde en matière de lutte contre la cybersécurité est une nécessité aujourd’hui”, précise le député.

Intervention de Mme Sylvie Andraud, coordinatrice sectorielle pour le maritime de l’Agence Nationale de Sécurité des Systèmes d’Information

Mme Andraud évoque tout d’abord les principales finalités des attaquants dans le monde maritime : l’atteinte à l’image et à la réputation, la cybercriminalité (recherche de gain financier), l’espionnage (économique/industriel) et le sabotage. Les opérations peuvent être très ciblées ou massives et indiscriminées. Les effets des attaques sont parfois invisibles (espionnage, exflitration discrète de données) ou, au contraire, rechercher une paralysie complète d’une entreprise (sabotage, rançongiciel). Les dommages peuvent être facilement réversibles pour les entreprises ou, a contrario, nécessiter de longs travaux de reconstruction. Mme Andraud souligne également que les attaques peuvent également entraîner des conséquences catastrophiques dans le monde physique en cas de cyberattaque sur des systèmes industriels.

On constate actuellement une prolifération des outils d’attaque informatique et des services associés (Crime As A Service) et une recrudescence des rançongiciels en 2019 et en 2020, qui ont touché tous les secteurs d’activité dont le maritime. L’attaquant conserve donc généralement une longueur d’avance sur le défenseur, qui peine à appliquer les correctifs et mettre en oeuvre des configurations sécurisés sur l’ensemble de son système d’information. En parallèle, l’augmentation de la surface d’attaque est réel, en raison de la forte numérisation des différents secteurs et d’une plus forte interconnexion de l’IT (Information Technology) dans l’OT (Operational Technology). Enfin, l’ANSSI constate également un grand nombre d’attaques indirectes visant la supply chain (compromission d’un prestataire), qui dispose en plus généralement de privilèges d’accès importants lors de mises à jour de logiciels.

Depuis le début de l’année 2020, l’ANSSI a traité plus d’une centaine de cas d’attaques par rançongiciel touchant tous les secteurs de l’économie. Constat plus récent, les attaquants augmentent la pression sur leurs victimes en menaçant de publier sur Internet des données sensibles. Les conséquences sont importantes pour les entreprises touchées : désorganisation, arrêt de la production, chute du chiffre d’affaires, risques juridiques en cas de compromission de données personnelles, atteinte à la réputation, perte de clientèle… alors que pour les attaquants, la rentabilité du modèle économique est juste incroyable. Sylvie Andraud fait ensuite référence au guide publié début septembre 2020 par l’ANSSI, en partenariat avec le Ministère de la justice, sur les attaques par rançongiciels et qui comprend notamment les témoignages du CHU de Rouen, de Fleury Michon et du groupe M6.

La coordinatrice sectorielle aborde ensuite le cas particulier du secteur maritime, en rappelant les principaux incidents à vocation lucrative ayant touché le secteur (vous en retrouverez une liste assez complète ici) avec le port d’Anvers, l’armateur Cosco, les ports de Barcelone et San Diego, Austal, ainsi que plusieurs prestataires (notamment logistiques) du secteur en 2020. Concernant les cas de sabotage, on se rappelle du vrai/faux rançongiciel NotPetya, ayant touché l’armateur Maersk, mais aussi plus récemment en 2020 du port iranien de Shahid Rajaee.

Mme Andraud évoque ensuite la réglementation qui s’applique à tout ou partie du secteur maritime, notamment l’article 22 de la Loi de programmation militaire, la directive européenne NIS de 2016 et les décrets d’application sectoriels en fonction des cas (OIV, OSE…).

En conclusion, la coordinatrice sectorielle de l’ANSSI rappelle les enjeux pour le secteur maritime, de plus en plus numérisé et connecté. Dans un contexte réglementaire fort qui responsabilise les entreprises du secteur, il faut bien être conscient que c’est l’ensemble des acteurs du monde maritime qui est concerné. La décision, validée par le CIMER de novembre 2018, de créer une structure de gouvernance nationale de la cybersécurité maritime pour coordonner l’actions des organismes et le projet de centre de coordination cyber du monde maritime vont en ce sens.

Bruno Bender, coordinateur cybersécurité pour le domaine maritime au Secrétariat Général à la mer

Bruno Bender évoque les travaux menés depuis le CIMER de 2018 et souligne notamment la dynamique sur l’année écoulée grâce à l’investissement de nombreux acteurs. 12 groupes de travail ont ainsi été réunis, dont 8 au sujet de la création du Computer Emergency Response Team sectoriel, avec la participation de grands acteurs publics et privés. Notons aussi la parution d’un guide des bonnes pratiques au profit des ports et un projet de stratégie cyber et maritime.

Il revient ensuite sur les attaques cyber, notamment celles s’étant déroulées en 2020 pendant la crise COVID-19 (spoofing AIS, IMO, CMA/CGM, GEFCO, Marseille/Fos – région Sud, brouillage GPS, Bandar Abbas). Il insiste sur l’importance de la connaissance et de la menace.

Puis, il évoque les résultats d’un questionnaire envoyé aux acteurs du monde maritime, ayant reçu 171 réponses. Sur ce questionnaire, on note que 86% des acteurs s’estiment moyennement (50%) ou fortement (36%) exposés à la menace cyber. 70% ont une dépendance moyenne à forte aux technologiques étrangères. 55% ont connu des tentatives de cyberattaques (détectées) et 1/3 seulement dispose d’un service chargé de la cybersécurité en leur sein.

Première table ronde : Grand Port Maritime du Havre, Brittany Ferries, Elengy

Première table ronde du Blue Day

Cette première table ronde a regroupé le commandant du Grand Port Maritime du Havre et les responsables de la sécurité des systèmes d’information d’Elengy et de Brittany Ferries.

La RSSI de Brittany Ferries, Annes Despoulains, évoque notamment l’arrivée prochaine dans la flotte du Galicia, qui fera l’objet d’une classification cyber. Ce navire offrira de nouveaux services numériques, tant au profit de passagers et des membres d’équipage que pour le suivi du fonctionnement à distance du navire et de ses systèmes OT (Operational Technology). Le navire sera ainsi davantage connecté à Internet vers des datacenters. La conception du navire a donc logiquement intégré les contraintes de cybersécurité et fera l’objet d’une classification cyber par Bureau Veritas. Le Galicia sera le navire pilote en termes de framework pour l’intégration de la cybersécurité dans l’ISM des autres navires, en réponse à la résolution MSC 428(98) de l’OMI qui rentre en vigueur à compter du 1er janvier 2021. Brittany Ferries, présent dans 4 pays et 11 ports, a pour objectif de protéger ses clients, l’image de l’entreprise et doit faire face à des attaques très diverses : phishing, tentatives d’arnaques au président, d’usurpation d’identité, de tentatives d’introduction de rançongiciels. La formation et la sensibilisation du personnel a permis de protéger au mieux les systèmes de l’entreprise au sein d’une organisation performante. Elle insiste également sur l’importance du volet cybersécurité dans le domaine de la conformité réglementaire et des assurances : la compagnie est ainsi auditée, de manière annuelle, dans le cadre du renouvellement de son assurance : une non conformité pourrait avoir des impacts non négligeables sur la prime d’assurance qu’elle doit verser. Brittany Ferries a également été l’objet d’exercices avancés menés par la Marine nationale et l’ANSSI avec un haut niveau de réalisme sur des systèmes IT ou OT. L’entreprise réalise également des exercices réguliers de phishing en interne pour sensibiliser son personnel.

Nicolas Chervy, Commandant du Grand Port Maritime du Havre, intervient ensuite pour évoquer la numérisation des ports, devenue aujourd’hui indispensable pour faire entrer un navire dans un port et permettre le débarquement de ses marchandises. Ces interconnexions sont aujourd’hui internationales, pour répondre à un certain nombre de directives européennes en la matière, notamment la 1239/2019, qui impose la mise en place de nouveaux systèmes interopérables comme l’EMSW (European Maritime Single Window) pour permettre l’échange des données au niveau européen. La réservation de postes à quai, la déclaration de matières dangereuses, les déclarations de déchets, de sûreté, les listes de passagers et d’équipages : tous ces processus utilisent la voie électronique. Dans un contexte où 2,5 millions de containers transitent par le port du Havre chaque année et avec quatre terminaux armés H24 toute l’année, un mode dégradé manuel n’est pas envisageable. Le détournement du fonctionnement des systèmes d’information portuaire au profit de l’attaquant est également évoqué, en prenant comme exemple le cas du port d’Anvers, où des attaquants avaient réussi à écarter des marchandises illicites des contrôles douaniers. Le problème est identique pour les listes de passagers : ce type de détection est donc particulièrement difficile à mettre en oeuvre d’autant plus dans un contexte de systèmes locaux, nationaux et internationaux de plus en plus interconnectés. Le Commandant du Grand port évoque également un exercice majeur dont le port a été l’objet et qui lui a permis de tester ses capacités face à une menace réaliste. “Il faut faire des exercices et voir où on est perfectibles”, insiste-t-il.

Mohamed Abdallah, RSSI d’Elengy, évoque les particularités de son travail dans le contexte d’un opérateur méthanier. Son principal travail, en-dehors de la protection face aux menaces “classiques”, est clairement de protéger ses systèmes d’information OT, notamment pour éviter toute modification en température ou en pression des capacités de stockage du gaz, car les accidents ou incidents dans ce domaine pourraient avoir des impacts majeurs sur l’humain ou l’environnement. Elengy met également en place des exercices réguliers de sensibilisation à la cybersécurité, notamment à l’occasion du cybermois. Il n’y a pas d’interconnexion directe entre les navires et les terminaux méthaniers. Le RSSI voit les “SOC (Security Operations Center) et les CERT comme extrèmement importants pour permettre l’alerte, la veille, la supervision de systèmes et le partage de retour d’expérience si on veut travailler de manière proactive”.

Anne Despoulains précise que tous les acteurs n’ont pas les même moyens financiers et humains en termes de cybersécurité et qu’il est par conséquent “important d’avoir des plateformes ou des centres qui permettent de réaliser les fonctions de veille, d’alerte et permettre un retour sur les solutions palliatives, mais aussi pour l’accompagnement de la formation du personnel.”

Seconde table ronde : les solutions, avec DIATEAM, la Chaire de cyberdéfense des systèmes navals et Naval Group

Deuxième table ronde du Blue Day

Patrick Hébrard, responsable Recherche et Innovation en Cybersécurité chez Naval Group, évoque les chiffres d’augmentation de 400 à 900 % du nombre de cyber attaques en 2020. Il aborde l’intégration de la cybersécurité chez Naval Group depuis une quinzaine d’années dans la construction neuve et la maintenance des navires pour les marines militaires. La véritable difficulté rencontrée aujourd’hui est liée au respect des règles d’hygiène numérique et au non-respect de certains gestes barrière. Or, l’application de mesures simples peut permettre de filtrer 80% des attaques par des vecteurs comme les clés USB qui sont, finalement, généralement peu avancées. Les 20% des attaques restant concernent plutôt des menaces de type Advanced Persistent Threat, par nature mal détectées par les solutions traditionnelles de cyberprotection. Il évoque également l’importance de l’utilisation prioritaire de solutions souveraines en termes de cybersécurité, encore trop absentes des offres : c’est avant tout une question de confiance. Naval Group, en tant qu’intégrateur, est donc en charge de mettre en place des solutions adaptées et en adéquation avec la politique de sécurité du client. Il rappelle à nouveau que la cybersécurité n’est pas que de la technique, mais aussi une question d’organisation, de formation, d’entrainement, de protection physique… Il rappelle enfin toute l’importance de l’entrainement à la cyberdéfense : “Le rejeu de scénarios d’attaques dans un contexte de simulation est forcément une des clés de réussite pour augmenter la résilience.” Il a également rappelé l’importance du partage d’information : “on crée à Brest un centre de coordination cyber pour le maritime avec un CERT maritime qui apportera un support effectif.”

Guillaume Prigent, président fondateur de DIATEAM, explique le fonctionnement de l’entraînement : “Face à la transformation numérique, on a tendance à dire que le maillon faible, c’est l’humain. Mais c’est aussi lui qui sauve en cas de crise. On va reproduire tout ou partie d’un système maritime et on va mettre en face des équipes techniques et décisionnelles pour dérouler une crise et tester les techniques, procédures et la communication au plus près de ce qui s’est passé”. Il insiste sur l’importance du réalisme du scénario, tant sur le système que sur la menace reproduite. “On teste la partie IT, la partie OT, les SOC, les CERT, mais aussi la chaîne décisionnelle, pour les OIV, les ports, les ministères, de la gestion du stress à la communication.”

Philippe Vaquer, responsable des opérations de cybersécurité pour Bureau Veritas, rappelle les changements qui interviennent au 1er janvier 2021 avec la rentrée en vigueur de la résolution MSC 428(98) de l’OMI de 2017, qui demande à ce que les armateurs (navires > 500 t) aient intégréla cybersécurité dans leurs Safety Management Systems. Les états des pavillons seront responsables du contrôle de la bonne prise en charge des risques cyber lors des opérations de vérification des documents de conformité. Les armateurs devront prouver qu’ils sont aptes à identifier les risques, s’en protéger, les détecter, y répondre et restaurer les systèmes si nécessaires, en gardant à l’esprit (bear in mind) les recommandations de BIMCO (c’est le fameux Identify, Protect, Detect, Respond, Restore du framework NIST). Les notations de classe de Bureau Veritas adressent essentiellement deux types de navires : ceux qui sont déjà en service (la classification est alors essentiellement axée sur l’organisationnel) et l’autre dédiée aux navires en construction, orientée sécurité par conception. Les armateurs vont devoir être en mesure de présenter la documentation relative à cinq domaines : la formation et la sensibilisation des équipages (adaptées aux niveaux de responsabilité, de l’armateur jusqu’au matelot), la connaissance et la cartographie des équipements à bord (IT et OT), l’analyse des risques de l’armateur (description des menaces, moyens mis en oeuvre), la politique de cybersécurité pour l’ensemble de la flotte (organisation adaptée, responsabilités et rôles, règles d’emploi, gestion des mots de passe, mises à jour…) et, enfin, les procédures d’emploi des matériels au quotidien, la maintenance, et gestion des incidents. Les règles de classification présentes dans la note BV 659 ont été rédigées en ce sens avec de nombreux partenaires français et internationaux (armateurs, chantiers, équipementiers et organismes comme l’ANSSI).

Yvon Kermarrec est le titulaire de la Chaire de cyberdéfense des systèmes navals. Située à l’Ecole navale, cette chaire industrielle a été créée en 2014 (déjà !) pour répondre aux enjeux de cyberdéfense dans le contexte naval et préparer l’avenir. En lien avec la Marine, Thales et Naval Group, elle dispose d’un fort lien académique et de recherche avec IMT Atlantique et ENSTA Bretagne. Elle travaille de manière duale sur les enjeux de la formation et de la recherche, sur des sujets très variés notamment sur la détection d’anomalie. La chaire a permis la sensibilisation de tous les officiers de Marine sur les sujets de cybersécurité maritime dès le début de leur cursus. Yvon Kermarrec évoque également la création du Mastère spécialisé “Cybersécurité des systèmes maritimes et portuaires”, qui vient de voir le jour en partenariat entre l’Ecole navale, IMT Atlantique, ENSTA Bretagne et l’Ecole nationale supérieure maritime (ENSM). Yvon Kermarrec aborde également les sujets de présentation de l’information et d’aide à la décision comme étant un sujet essentiel, en l’absence d’expert cyber à bord des navires. Il précise que certaines des solutions développées au sein de la chaire pour faire face à des problèmes complexes ont été valorisé par une mise en oeuvre opérationnelle à bord des bâtiments de la Marine nationale.

Sur le sujet des navires autonomes et des questions de cybersécurité afférentes, Guillaume Prigent insiste sur le fait que ces technologies gagneraient à être mises entre les mains de hackers éthiques, des plateformes de bug bounty pour éviter de reproduire les erreurs classiques de conception déjà connues de longue date et limiter les vulnérabilités. Yvon Kermarrec insiste sur les besoins de situational awareness et les travaux menés sur ce sujet au sein de la chaire pour améliorer la compréhension des menaces en temps réel. Philippe Vaquer précise que de nombreuses réalisations sur ce sujet sont aussi effectuées en France, et pour lesquelles la cybersécurité a été prise en compte dès la conception sur ces systèmes où les menaces sont beaucoup plus prégnantes : l’analyse de risques doit donc être beaucoup plus poussée que sur des navires armés par l’homme.

Tout le monde s’accorde sur le fait qu’un écosystème en cybersécurité maritime peut parfaitement se développer en France avec des produits “qui tiennent la route”.

Eric Vandebroucke, directeur du développement économique pour Brest Métropole

Eric Vandebroucke rappelle la genèse de l’initiative de Brest pour accueillir le centre de coordination cyber pour le maritime. Il existe à Brest une forte présence d’acteurs de la sécurité maritime (CEDRE, Préfecture Maritime, MICA Center, CROSS, Marine nationale…) et c’est bien dans ce cadre que les questions de cybersécurité maritime doivent s’intégrer. De nombreuses initiatives en cybersécurité maritime peuvent déjà être recensées sur Brest : Mastère spécialisé “Cybersécurité des systèmes maritimes et portuaires”, chaire de cyberdéfense des systèmes navals, unités spécialisées de la Marine, tissu riche de PME oeuvrant sur les sujets numériques et maritimes. C’est donc dans cette suite logique et pour répondre concrètement à ces enjeux que Brest a présenté sa candidature en novembre 2019 en proposant la création à très court terme des premières briques d’un CERT sectoriel maritime couvrant la France métropolitaine et ultramarine dès la fin 2020. D’autre part, un centre national d’expertise et de ressources en cybersécurité maritime, appelé France Cyber Maritime, verra également le jour en octobre 2020 pour fédérer et coordonner la réponse française sur ces sujets. La proposition de Brest a aujourd’hui reçu des soutiens forts de la part d’industriels des secteurs maritime et cyber, d’organisations professionnelles maritimes et d’établissements d’enseignement supérieur et de la recherche : quinze acteurs au total.

France Cyber Maritime travaillera sur de nombreux projets : l’analyse de la menace, un M-SOC, la formation (sensibilisation, formation, entrainement), la formation continue (par le biais du Mastère spécialisé), le conseil (audit, accompagnement), la R&D et l’innovation, le maintien en conditions de sécurité et la valorisation et le développement économique (promotion, animation). Des offres de services seront donc disponibles rapidement face aux besoins des industriels aux plans national et international. France Cyber Maritime sera créée sous la forme d’une association Loi 1901 et les statuts devraient être déposés d’ici fin octobre 2020. Elle disposera de 4 collèges : “Etat”, “Public”, “Solutions” et “Utilisateurs”.

Le M-CERT, quant à lui, assurera les missions de veille, de diffusion, d’alerte, d’analyse et de partage, la centralisation et la gestion des incidents et la coordination de la réponse à incidents. Les documents associés à la création du M-CERT ont été rédigés et présentés à l’ANSSI.

Eric Vandenbroucke termine son propos en précisant que ces deux projets à vocation nationale trouveront, sans aucun doute, des échos favorables aux niveaux européen et international.

Soutiens actuels à l’initiative France Cyber Maritime

Christian Cevaer, délégué à la sécurité numérique pour la région Bretagne

Christian Cevaer, délégué à la sécurité numérique pour la région Bretagne

En conclusion, Christian Cevaer rappelle les apports du numérique pour le monde maritime et, en conséquence, l’augmentation de la surface d’attaque associée. La compréhension des risques doit bien être prise en compte dans le contexte géopolitique global et en intégrant également le caractère protéiforme de la menace cyber. La France dispose d’une position avantageuse dans le domaine de la cybersécurité, que ce soit sur les enjeux techniques mais aussi avec une organisation et une gouvernance claires, associés à un volontarisme fort, sans oublier le recours à des prestataires qualifiés pour la fourniture de services spécifiques et sûrs.

“La filière maritime, fluviale et portuaire doit appréhender la cybersécurité de manière globale et systèmique”, ajoute-t-il. “C’est un travail collectif pour connaître et comprendre ces risques, les anticiper, sensibiliser, former et entrainer les femmes et les hommes à détecter et à réagir aux cybermenaces. Il faut se structurer autour d’un centre opérationnel pour devenir des acteurs de notre défense, sans oublier de s’inscrire dès le départ dans une dynamique européenne”.

Le délégué à la sécurité numérique appelle à la mobilisation et conclut : “Ce Blue Day marque un jalon fort pour la mobilisation autour de la sécurité numérique du maritime que nous soutenons pleinement, en lui souhaitant qu’elle génère une dynamique forte à la hauteur des enjeux.”

e-Blue Day “Cybersécurité maritime, des solutions pour protéger votre activité et vos innovations”

Vous l’attendiez avec impatience ! Le séminaire en présentiel, initialement prévu au printemps et reporté pour cause de confinement, aura bien lieu en format “webinaire” le 8 octobre 2020 de 09h30 à 12h00 !

Vous trouverez le programme ci-dessous :

Et le lien d’inscription est ici.

En espérant avoir le plaisir de vous y retrouver, même en distanciel, pour échanger sur ce sujet d’actualité !

Le groupe Carnival Corporation & Plc victime d’une attaque par rançongiciel

Carnival, le plus important opérateur du marché des croisières (102 navires, 50% du marché des croisiéristes dans le monde (225 000 croisiéristes à bord par jour !) a déclaré avoir été victime d’une cyberattaque par rançongiciel le 15 août 2020 (1 2). Deux navires du groupe avaient déjà été victimes d’une cyberattaque en mai 2019.

L’attaque, détectée par le groupe, a accédé et chiffré une partie des systèmes d’information du groupe. L’accès non autorisé a aussi entraîné le téléchargement de certains fichiers de données, sans que le groupe n’en précise le type.

Le groupe a lancé une enquête interne, prévenu les forces de l’ordre et devrait déposer plainte. A noter que l’entreprise a fait appel à une expertise externe pour la réponse à incident. En parallèle, le groupe assure avoir mis en œuvre des mesures de confinement et de remédiation pour faire face à l’incident et pour renforcer la sécurité de ses systèmes d’information. Elle travail avec des entreprises reconnues de cybresécurité pour assurer la réponse immédiate à la menace, défendre ses systèmes et conduire la remédiation.

En se basant sur les informations aujourd’hui en sa possession, le groupe pense que l’attaque n’aura pas de conséquences sur ses résultats économiques, ses opérations quotidiennes ni ses résultats financiers. Cependant, il s’attend à ce que cette attaque ait permis l’accès non autorisé à des données personnelles de croisiéristes et d’employés, ce qui pourrait conduire à des plaintes de ces derniers ou des autorités.

Les investigations en cours devraient permettre de déterminer si d’autres portions du système d’information du groupe ont été impactées.

En avril 2020, on se rappelle que le groupe MSC avait été lui aussi touché par une attaque.

900% d’augmentation des attaques cyber sur les systèmes métiers de la marétique

D’après le site anglophone Vanguard, le systèmes d’information OT du monde maritime auraient connu une augmentation des cyberattaques de l’ordre de 900% sur les trois dernières années. On le rappelera, par “OT” on entend Operational Technology, c’est-à-dire, d’après le NIST, l’ensemble des systèmes d’information “contraints” du secteur (systèmes industriels, systèmes métier), par opposition avec IT, qui regroupe les systèmes d’information plus “classiques” (accès à l’Intranet, etc…).

Ce chiffre alarmant provient de l’entreprise Naval Dome, donc le responsable pour les opérations aux États-Unis intervenait mi-juillet 2020 lors d’un webinaire s’adressant aux ports et aux opérateurs de terminaux portuaires (2020 Port Security Seminar & Expo).

Parmi ces chiffres, le responsable parle de 50 incidents en 2017, 120 en 2018 et 310 en 2019, avec une projection à plus de 500 brèches majeurs de cybersécurité en 2020. De notre côté, vous trouverez nos chiffres, année par année, avec les références publiques ici. Rappelant les attaques connues sur les ports et armateurs (Barcelone, San Diego), puis Austal, COSCO, MSC, l’infection Ryuk aux États-Unis et celle, plus récente, visant un port iranien. Il a également rappelé le rapport de la Lloyd’s de Londres, dont nous parlions sur ce site, qui précisait qu’une cyber-attaque sur 15 ports d’Asie aurait un impact potentiel supérieur à 110 milliards US$, peu ou pas couverts par les assurances qui ne couvrent généralement pas les systèmes OT.

Dans les ports, les systèmes d’information de type OT sont nombreux : grues type RTG et STS, système de contrôle du navire, gestion du transit des marchandises, systèmes de sûreté et de sécurité. D’après Naval Dome, la difficulté est essentiellement due au fait que ces systèmes OT ne font pas l’objet d’une cybersurveillance : les menaces y sont donc beaucoup plus longues à détecter.

Le rapport “Happy Blue Days, pour une économie maritime compétitive et décarbonée” évoque la cybersécurité maritime.

Mme Sophie PANONACLE, députée de la 8è circonscription de Gironde, a remis son rapport intitulé “Happy Blue Days, pour une économie maritime compétitive et décarbonée” au Président de la République Emmanuel Macron le 18 juin et le 23 juin à la ministre de la Transition écologique et solidaire Elisabeth Borne.

Ce rapport de 618 pages, “issu de la concertation nationale de la communauté maritime“, a pour objectif de dresser un bilan et des perspectives de la France maritime dans un contexte difficile post-COVID 19. En effet, toutes les filières et entreprises maritimes ont été fortement impactées par la pandémie : transport, pêche, construction navale, port, yachting… Le rapport ambitionne donc de donner un cap pour les années à venir pour une croissance bleue plus verte 🙂 et pour favoriser le redémarrage de ce secteur essentiel pour l’économie. Au-delà de sa lecture que je vous recommande, notons que le sujet de la cybersécurité maritime est évoqué comme mesure de relance.

Accélération des plans d’investissement en R&D, notamment sur l’axe de la cybersécurité maritime.

Page 169, le rapport recommande d’accélérer les plans d’investissement, notamment de R&D, en particulier ceux à forte connotation écologique, sans oublier le numérique. Il souligne que “de nombreuses entreprises ne pourront plus lancer de projet faute de trésorerie ; le plan de relance doit donc permettre d’en financer certains à 100% ou les inclure dans les projets confiés aux grands intégrateurs par les opérateurs de l’État.

Parmi les différents axes proposés, le rapport recommande à l’État :

  1. de financer à 100% certains projets de rupture ou de démonstrateurs permettant de renouveler l’offre et d’accélérer la transition vers un développement durable et numérique autour de 3 axes majeurs : l’autonomie des navires, la décarbonatation de la propulsion, la cybersécurité maritime ;
  2. d’imposer dans les appels d’offres de l’État, la prise en compte et la valorisation effective dans les notations des critères d’autonomie des navires ou d’utilisation de systèmes autonomes, d’hybridation de la propulsion et de cybersécurité maritime ainsi que plus largement les critères d’impact écologique de la construction, de l’entretien et de l’exploitation des navires.

L’autonomie des navires, notamment sous l’angle de la cybersécurité, est un enjeu majeur, dès à présent et pour les années à venir, sujet que nous avons déjà évoqué ici même.

A noter rapidement, en page 547, l’évocation par l’ENSM du Mastère spécialisé “Cybersécurité des systèmes maritimes et portuaires”, proposé par l’École Navale, l’ENSM, ENSTA Bretagne et IMT Atlantique.

Les autres projets en cours en France sur le sujet ne sont pas évoqués.

Le Mastère spécialisé “Cybersécurité des systèmes maritimes et portuaires” en finale du Blue Challenge 2020 ! Votez pour lui !

Le Mastère spécialisé “Cybersécurité des systèmes maritimes et portuaires” a été retenu, parmi 11 projets novateurs, pour la finale du Blue Challenge 2020, un défi proposé par le Pôle Mer Bretagne Atlantique !

Je vous invite à découvrir ci-dessous la vidéo de présentation du MS, réalisée dans le cadre Blue Challenge et, bien sûr, à voter pour cette formation unique en Europe, en cliquant sur le client suivant : je vote pour le Mastère Spécialisé !

Blue Day “Cybersécurité maritime” à Brest le 8 octobre 2020.

Le confinement n’avait pas permis de mener à bien le Blue Day “Cybersécurité maritime” en avril dernier, mais il est à présent reprogrammé au 8 octobre 2020 à Brest, le lieu restant à définir.

Le Blue Day est un évènement organisé par le Pôle Mer Bretagne Atlantique.

Je vous tiendrai informé dans cet article dès que le programme et les modalités précises d’inscription auront été publiées !