Publication du rapport du CESER sur la marétique.

Le CESER, conseil économique, social et environnemental régional de la Région Bretagne a publié en septembre dernier un rapport d’étude appelé “Vous avez dit marétique ? Des opportunités à saisir à la confluence de la mer et du numérique en Bretagne”, que je vous invite à lire en cliquant sur ce lien.

Dans ce rapport de 168 pages, Daniel CLOAREC et Anne COUËTIL, rapporteur et rapporteuse, évoquent notamment les sujets de cybersécurité de la marétique. Voici les principaux extraits sur ce sujet.

p.4 : “Zoom sur une filière en structuration… la cybersécurité maritime”

“Au niveau européen, la Bretagne est considérée comme un territoire en pointe sur les questions de cybersécurité, avec l’Estonie et la Castille-et-León (Espagne). L’implantation d’acteurs emblématiques positionnés sur des activités duales (c’est-à-dire civiles et militaires) lui est très spécifique. La combinaison de la dimension cyber, des acteurs du numérique et d’activités maritimes est un élément différenciant pour le territoire régional, qui a conduit à la création d’un pôle d’excellence par l’État et le Conseil régional. Il comporte un volet maritime,formalisé par la Chaire «Cyberdéfense des systèmes navals», basée à l’École Navale, et qui vise à stimuler la recherche et la formation. Un [projet de] mastère «cybersécurité du monde maritime» a été annoncé pour 2020.”

p. 9 : “Intégrer la marétique dans les formations préparant aux métiers de la mer”

“Pour les métiers de la mer comme pour les autres, ce qui sera déterminant, c’est la capacité d’agir et les moyens d’adaptation des personnes dans un contexte en évolution permanente.Le CESER retient l’impératif d’intégrer davantage le numérique, notamment dans son volet marétique, aux formations préparant aux métiers de la mer, par des modules de formation spécifiques, des programmes d’animation… Il est important que chaque acteur maritime, tous secteurs et tous niveaux de qualification confondus, dispose d’un socle de connaissances lui permettant de s’adapter aux évolutions des métiers, ce qui implique notamment des connaissances relatives à la protection des données (personnelles et commerciales), à la cybersécurité maritime, au traitement des données relatives à la mer et la prise en main des nouveaux outils permettant d’améliorer la sécurité des emplois. Il s’agit de donner à chacun les clés pour comprendre les implications économiques, sociales et environnementales de la transformation numérique dans le cadre de ses activités professionnelles.”

p. 10 “Ancrer et Bretagne des compétences exclusives sur des sujets marétiques de pointe”

“La Bretagne a matière à se distinguer dans des sujets de pointe (tels que la bio-informatique marine, la cybersécurité maritime, l’exploitation de données satellitaires au service des activités maritimes, etc.). Il faut cultiver ce niveau d’expertise, en multipliant et en soutenant les formations de haut niveau. Une telle action doit aller de pair avec le soutien des initiatives de recherche dans le domaine de la marétique (par exemple chaires, bourses doctorales…). Des formations et modules d’enseignement combinant science des données et sciences applicatives marines pourraient notamment être soutenues.”

p.32 “Le développement des systèmes autonomes”

“Au-delà de l’aspect strictement technologique, la transition vers ces nouveaux modes de navigation sera donc aussi sociale, générationnelle et institutionnelle. La réglementation internationale65, les délais de certification et l’âge moyen de la flotte laissent présager une période transitoire où coexisteront les différents systèmes.Enfin, l’information numérique ayant envahi les infrastructures, les réseaux maritimes et les navires, ceux-ci sont aussi plus exposés aux risques d’intrusions et d’attaques numériques (cyberattaques), particulièrement prégnants dans un contexte de tensions internationales et de tentatives de déstabilisation de l’économie mondialisée.”

p. 78 “La marétique dans les filières émergentes de la Bretagne”

“La cybersécurité, avec la création à Rennes d’un pôle d’excellence qui regroupe la Direction générale de l’armement, des entreprises ainsi que des acteurs de l’enseignement supérieur et de la recherche. Il comporte un volet maritime formalisé par la création de la Chaire «Cyberdéfense des systèmes navals» basée à l’École Navale. En partenariat avec l’IMT Atlantique, Thales et Naval group, la chaire vise à stimuler la recherche et la formation (doctorat et post-doctorat) sur ce sujet. La création d’un mastère «cybersécurité du monde maritime» a été annoncée.”

p. 88 “Le conseil régional dispose de plusieurs leviers d’action

“Au terme de cette étude, le CESER affirme que la marétique peut constituer l’un de ces axes de différenciation. En ce sens, il invite le Conseil régional à identifier la marétique comme un champ stratégique d’innovation à part entière de la S3. Un volet particulier sur la cybersécurité maritime pourrait également être inscrit, la capacité à regrouper sur le même territoire les activités maritimes,le numérique et la dimension cyber étant un élément réellement différenciant de la Bretagne. La présence de ces compétences sur le territoire régional pourrait être un levier pour le développement de la marétique, et plus précisément des activités liées à la donnée.”

p. 89 “Soutenir la structuration d’un écosystème complet dédié à la marétique”

“Par exemple, le Comité interministériel de la mer (CIMER), réuni le 15 novembre 2018, avait annoncé la préfiguration d’un centre national de coordination de la cybersécurité pour le maritime (mesure 46). Le CESER soutient l’implantation de ce centre à Brest, à proximité du «MICA Center» et de la Chaire de cybersécurité des systèmes navals. En ce sens, il invite le Conseil régional et ses partenaires, notamment Brest Métropole, à poursuivre la mobilisation en ce sens.”

p.111 “Des données faisant l’objet d’une réglementation de plus en plus stricte”

“Une protection accrue des données à caractère personnel.

Les « données à caractère personnel » sont visées par le règlement général sur la protection des données (RGPD), adopté par l’Union européenne en 2016 et applicable dans tous les États membres depuis 2018. Ce texte met à la charge des entreprises, administrations, associations, de nouvelles obligations en matière de captation et de traitement des données personnelles. La notion de «donnée à caractère personnel» vise toute information se rapportant à une personne physique identifiée ou identifiable, directement ou non, grâce à un identifiant ou à un ou plusieurs éléments propres à son identité.

La sécurité des systèmes d’information

La France est le premier pays à avoir inscrit dans la loi, dès 2006, la mise en place d’un dispositif de sécurité de ses infrastructures critiques, en définissant des « secteurs d’activités d’importance vitale » (SAIV) qui ont trait à la production et à la distribution de biens ou de services jugés indispensables ou qui peuvent présenter un danger pour la population. Douze secteurs sont concernés, parmi lesquels les transports ou encore l’énergie. Dans ces secteurs, 259 « opérateurs d’importance vitale » (OIV) ont été identifiés mais leur liste nominative est confidentielle. Avec le renforcement des menaces en matière de cybersécurité et l’intégration d’un volet dédié au sein de la loi de programmation militaire (2013), l’État a engagé le renforcement de la sécurité des systèmes d’information exploités par ces opérateurs, avec des obligations en matière de formation, d’analyse des risques, d’établissement d’un plan de sécurité, d’identification des points nécessitant une protection particulière.”

Les câbles sous-marins

Cela m’a toujours étonné, mais finalement assez peu de personnes connaissent bien le domaine des câbles sous-marins. Je ne parle pas seulement en termes de technologie, mais il est assez surprenant de constater que certains ignorent même jusqu’à leur existence. Il faut dire que, tapis, dans les profondeurs des océans, il est tentant de les oublier. Pourtant, ils permettent au quotidien le transit de 98% des communications téléphoniques et des transferts de données intercontinentaux. Sans eux, notre quotidien et notre économie seraient profondément bouleversés.

km

(Rapide) historique

Je n’aborderai pas le cas des câbles sous-marins servant principalement au transport de l’énergie électrique pour se concentrer sur ceux dédiés aux télécommunications. Le câble n’est pas une invention récente, puisque les premiers essais de transmissions télégraphique via câble sous-marin datent du milieu du XIXè siècle, avant une première exploitation commerciale de transmission d’ordre boursiers (déjà) entre la France et l’Angleterre. Le câble est cependant un équipement fragile à l’époque : sensible aux tremblements de terre, à de fortes pressions, au marées, et aux fonds parfois rugueux, ils n’ont qu’une espérance de vie limitée.

Il faut attendre la fin du XIXè siècle, et notamment la création de la Compagnie Française des Câbles Télégraphiques, pour que le premier câble longue distance (surnommé le “Direct” !) permette les communications sans relai entre la France (la station de Brest Déolen) et les États-Unis. Le développement des câbles se poursuit alors rapidement, début XXè, avec le déploiement de câbles entre l’Europe et l’Afrique, mais aussi à travers l’océan Pacifique. Les câbles, sur lesquels on exploite surtout la télégraphie, passent progressivement à l’utilisation de codes plus performants et adaptés, comme le code Baudot.

L’amélioration des technologies, comme l’emploi du câble coaxial et des répéteurs permettent alors d’envisager des télécommunications sur des distances beaucoup plus importantes, ainsi que l’acheminement des communications téléphoniques. Dans les années 1990, la fibre optique devient la technologie de référence : offrant des possibilités de multiplexage très avantageuses, elle décuple le nombre de circuits téléphoniques disponibles sur les câbles. Le cap symbolique du Gbit/s est franchi.

Le câble Sea-Me-We 3 (South-East Asia – Middle East – Western Europe) est mis en service le 23 août 1999. Câble à technologie optique, il relie l’Europe à l’océan Indien, le Japon et l’Australie. Long de 40 000 km, il reste aujourd’hui le plus long câble sous-marin en service, tout en restant compétitif (130 Gbit/s par paire de fibres optiques).

Mais qu’est-ce qu’un câble ?

Un câble sous-marin moderne est avant tout un support physique (vous vous rappelez, la fameuse couche 1 du modèle OSI). En l’occurrence, il permet de transmettre de la lumière (pour être plus précis, des longueurs d’ondes, donc des couleurs, différentes) à grande distance. On utilise des techniques de multiplexage en longueur d’onde (WDM, Wavelength Division Multiplexing) ou plus récemment SDM pour améliorer ses capacités en termes de débit.

Le câble sous-marin : une technologie à la fois simple et complexe. Les fibres optiques, (n°8 sur le schéma) sont protégées par de nombreuses couches de polyéthylène et d’acier, pour en assurer la solidité (crédit : Wikipédia)

Mais s’intéresser aux câble seuls n’est pas suffisant : il faut voir le système dans son ensemble, à savoir :

  • le concepteur du câble physique (en France, on peut citer Nexans)
  • les propriétaires des câbles (en France, Orange Marine)
  • les câbleurs (en France, Alcatel Submarine Networks, Orange Marine)
  • les navires câbliers , très reconnaissables (pour Orange Marine, citons le Pierre de Fermat, le René Descartes, le Léon Thévenin, le Raymond Croze) et pour Alcatel Submarine Networks : l’Île d’Aix, l’Île de Batz, l’Île de Sein, l’Île de Bréhat)
  • les sites d’atterrissage : en France, citons Lille (France-UK5), Dieppe (France-UK3), Cayeux (Circe South), Saint-Valéry-en-Caux (TAT 14, Cross Channel), Surville (Ingrid), Plérin (Flag Atlantic 1), Lannion (Apollo, HUGO), Penmarch (ACE, Sea-Me-We3), St Hilaire de Riez (Dunant), Le Porge (AMITIE, projet), Marseille (2Africa, AAE-A, Ariane 2, Atlas Offshore, Hawk, IMEWE, Med Cable Network, PEACE Cable, SeaMeWe-4, TE North/TGN-Eurasia/SEACOM/Alexandro/Medex), La Seyne (CC5), Toulon (Sea-Me-We5), Cannes (CC4), Île Rousse (CC4), Ajaccio (CC5), Saint Pierre et Miquelon (St Pierre and Miquelon cable), Sainte-Marie (La Réunion, Lower Indian Ocean Network), Saint-Paul (La Réunion, SAFE), Le Port (La Réunion, Meltingpot Indianoceanic Submarine System), Cayenne (Guyane Française, Americas II), Kourou (Kanawa, Ellalink), la Polynésie Française (Honotua, Natitua, Manatua), Nouvelle-Calédonie (Picot-1 et 2, Gondwana 1 et 2)
  • les stations de contrôle et de surveillance, qui sont chargées du suivi du bon fonctionnement des câbles, des liens SDN, du routage.
L’île de Bréhat, navire câblier d’Alcatel Submarine Networks (Wikipédia)

Les câbles : un enjeu politique et stratégique

Les océans comprenaient 448 câbles sous-marins en 2019, pour un coût par câble d’environ 700 M€ par câble. Représentant 50% des investissements des GAFAM, la “course au câble” est loin d’être une gageure : qui possède les câbles “possède”, quelque part, les données qui y transitent et dispose d’un pouvoir géopolitique certain. En effet, les coupures de câbles peuvent avoir des effets considérables sur les pays qui sont impactés (cela a été le cas pour l’Algérie, la Somalie notamment).

Parmi les autres risques liés aux câbles, il faut bien entendu évoquer les risques d’interception (certains stations d’atterrissage sont “connues” pour disposer de dispositifs de recopie dont on imagine bien la destination, certains pays disposeraient de sous-marins capables d’actions physiques sur les câbles), les risques de destruction physique (couper un câble dont on connait la position est, finalement, relativement simple). Enfin, les stations d’atterrissage sont des bâtiments très importants à protéger.

Quelques références sur le sujet :

Le futur de la marétique

Se dire que la marétique présente des vulnérabilités, j’espère qu’à la lecture de ces différents articles, vous l’aurez perçu. La vraie difficulté, c’est de se dire que l’avenir de la marétique est en train de se constituer alors même qu’une bonne partie des vulnérabilités n’est pas traitée. C’est un peu comme si vous ajoutiez des étages à votre maison alors que le béton du rez-de-chaussée n’est pas sec. Bref, c’est dangereux. Les navires construits aujourd’hui sont encore insuffisamment sécurisés, et ils sont conçus pour durer jusqu’en 2060 !

Je vous donne ci-après quelques exemples du futur de la marétique, notamment au travers de vidéos (c’est plus parlant) de la firme Rolls-Royce (je n’ai pas d’actions… ni de véhicule de la marque), qui est est en avance sur le sujet des navires autonomes. Vous y découvrirez la vision du fabricant sur l’avenir des navires. De la marétique du futur, vous allez en avoir plein les yeux !

Le futur centre de commandement et de maintenance à distance des navires autonomes.
Le cargo du futur
https://youtu.be/_kv1hQLKOB0
Le futur des navires de soutien aux plateformes offshore.
https://youtu.be/27uCL90s20o
Le futur pour les remorqueurs
https://youtu.be/6NIu7walFRw
La e-maintenance des navires du futur.
https://youtu.be/ZuX5qFdiiI0
Le navire autonome du futur.
https://youtu.be/LAMmeW2oc2Y
Le yacht du futur.

Les particularités de la marétique

La – relative – incompréhension entre les équipementiers cyber “traditionnels” et les utilisateurs de la marétique vient généralement d’un manque de connaissance du milieu maritime et d’adaptation / intégration de systèmes traditionnels avec les contraintes du milieu. Dans cet article, je vous détaille une partie des caractéristiques du milieu qui expliquent qu’une prise en compte particularisée du monde maritime est nécessaire lorsqu’on veut y déployer des systèmes et logiciels “sur étagère”.

Parmi les contraintes rencontrées, la première d’entre elle est la connectivité : si les navires récents sont de plus en plus connectés à la terre grâce au recours aux liaisons satellitaires et 4G, la bande passante, notamment pour les navires hauturiers, reste limitée et coûteuse. En complément des contraintes de débit évoquées, le RTT (Round Trip Time) d’une liaison satellitaire peut être important : plusieurs centaines de millisecondes séparent l’émission d’un message de sa réception. Cela complexifie la connectivité terre/bord et notamment le soutien et la prise en main à distance (e-maintenance, surveillance) de la marétique (ce n’est pas toujours un mal !).

Ce – relatif – sentiment d’isolement a aussi des conséquences en termes de sécurité informatique : l’équipage peut avoir l’impression par ce biais d’être relativement “protégé” des cyberattaques qui grouillent sur le continent.
La résilience et la sécurité sont des effets finaux recherchés permanents chez le marin : la numérisation du secteur ne doit en aucun cas entraîner de risque insurmontable en mer : la sécurité (de l’environnement, du marin, de sa cargaison, de son navire…) ne doit pas pouvoir être impactée, même en cas de perte d’un système d’information critique.

Il n’y a pas d’expert IT/OT/cyber à temps plein à bord d’un navire en mer, du moins sur la majorité des navires civils :  l’administration, la maintenance, la sécurité est largement sous-traitée et traitée lors des escales des navires. En revanche, à bord des navires se trouvent (souvent) de remarquables experts de leurs installations physiques, maîtrisant parfaitement leur fonctionnement et capables de vous en parler des heures durant. De ce que j’ai pu constater, hormis dans certains cas, leur niveau d’expertise peut s’arrêter au niveau de l’interface où l’informatique “prend le dessus”.

La marétique regroupe assez régulièrement des systèmes achetés sur étagère (COTS, Commercial Off The Shelf) et “intégrés” à bord par des sous-traitants : le marin a donc une vision et une maîtrise limitée de l’installation en question. Ce concept de “boite noire” est d’autant plus prégnant que les protocoles utilisés (systèmes industriels, protocoles spécifiques parfois obscurs et, dans leur majorité, non sécurisés) sont généralement propriétaires. Ce constat rend difficile la configuration sécurisée et la mise à jour régulière des systèmes de la marétique pour faire face à une cyberattaque. Ce point est d’autant plus critique que le cycle de vie d’un navire ou d’une infrastructure navale est particulièrement long (de 20 à 40 ans, à mettre en parallèle de la durée de vie moyenne d’un iPhone à Paris).

Dernier point à ne pas oublier : le navire évolue la plupart du temps dans un milieu hostile, côtier ou hauturier, généralement seul : le paramétrage ou la réinstallation d’un data center par mer 7 n’est pas tellement une option facile à entendre… Pour s’en convaincre/rappeler, une petite vidéo…


https://www.youtube.com/watch?v=SwBbPLota6Q

Les systèmes de la marétique

Dans cet article, je vous détaille un peu plus ce qu’est un système marétique, en essayant de les classer au mieux.

Tout d’abord, l’appellation marétique, comme nous l’avons vu précédemment, peut concerner différentes infrastructures :

  • les navires :
    • marine marchande
    • navires de combat
    • navires de plaisance
    • navire de pêche
    • navires de recherche scientifique / hydro-océanographique / halieutique
    • péniches
  • les ports et infrastructures navales :
    • systèmes de débarquement / embarquement de containers, smartports, systèmes logistiques
    • Port et Cargo Community Systems
    • grues et portiques
    • systèmes de gestion de bassins
    • écluses
    • pipelines
  • les autres installations à terre :
    • marétique des sémaphores, CROSS, centres de commandement et de gestion des navires
  • les installations offshore :
    • plateformes de forage
    • Énergies Marines Renouvelables (EMR) : éoliennes, hydroliennes…

Ensuite, pour faciliter la compréhension, j’ai tendance à séparer les systèmes en deux grandes familles : les systèmes d’information de type “IT” (Information Technology) qui sont finalement assez communs avec ce que l’on peut trouver dans d’autres domaines, et ceux de type “OT” (Operational Technology), qui sont, pour simplifier, ce qu’on pourrait qualifier de “système métier”, plutôt spécifique au monde de la marétique.

Exemples de systèmes de la marétique que l’on peut qualifier d’IT :

  • Wi-Fi embarqué
  • VoIP et autocommutateurs
  • Systèmes de distraction (réception et distribution TV, Internet…)
  • Systèmes de vidéoprotection (CCTV, Closed Circuit TeleVision)

Exemples de systèmes spécifiques de la marétique que l’on peut qualifier d’OT :

  • Systèmes de navigation électronique (ECDIS, Electronic Chart Display and Information System), radars
  • Systèmes de positionnement (GPS, Global Positioning System ou plus précisément et plus largement GNSS, Global Navigation Satellite System) et de communication (AIS, Automatic Identification System, VMS, Vessel Monitoring System, SSAS, communications par satellite…)
  • Systèmes météorologiques et environnementaux
  • Systèmes de contrôle-commande industriels : propulsion, énergie, surveillance, hydroliennes, propulsion dynamique
  • Outils de gestion et de contrôle du trafic maritime et des cargaisons
  • Systèmes militaires spécifiques : systèmes de combat…

Bien entendu, comme dans d’autres domaines, le périmètre et la définition peut être floue : ces systèmes sont de plus en plus fréquemment interconnectés. La marétique comprend donc l’ensemble des équipements (serveurs, postes clients, automates, réseau, applications…) constitutifs du système d’information.

Un ECDIS à bord d’un navire marchand (By Hervé Cozanet (http://www.marine-marchande.net/) [GFDL (http://www.gnu.org/copyleft/fdl.html), via Wikimedia Commons)

Et le futur, ce sont les navires autonomes. Je vous donne plus d’informations ici sur ce sujet.

Dans le prochain article, je vous détaille les spécificités de ces systèmes.

La marétique

Le terme “marétique” est un néologisme : il n’est présent pour ainsi dire dans aucun dictionnaire ni encyclopédie, mais uniquement sur certains sites spécialisés (presse, revues professionnelles, etc…) mais commence à être reconnu, au même tire que l’agrétique pour l’agriculture.

Sa définition a été donnée en 2012 dans le Livre Bleu sur la marétique, publié en 2013 et que vous pouvez retrouver à cette adresse.

Le livre bleu de la marétique

Ensemble des systèmes informatiques et électroniques utilisés dans la gestion et l’utilisation des opérations relatives aux activités maritimes, fluviales et portuaires.

Cette définition, peu reprise par ailleurs, permet de mieux cerner ce qu’est la marétique. Pour mémoire, ce Livre Bleu avait pour volonté initiale de structurer les travaux et les réflexions de certains acteurs du monde maritime, comme le Cluster Maritime Français (CMF).

Bien que datant de 5 ans, ce document dresse un portrait assez précis de l’avenir du mode maritime, au travers de sa composante informatique, avec les premiers traits des systèmes de transport intelligents (navires autonomes).

Si le Livre Bleu souligne l’apport de la marétique pour assister l’officier de quart ou le capitaine dans le domaine de la navigation ou de la manœuvre, le sujet de la cybersécurité de ces systèmes est pour ainsi dire absent. Est simplement évoquée une “bulle sécurité” nécessaire à la protection du navire. Par ailleurs, le cas des systèmes de contrôle industriel n’est pas évoqué, alors que navires (à partir d’un certain tonnage) et infrastructures portuaires ont de plus en plus tendance à regorger de ce type d’équipement.

Dans le prochain article, je vous détaille plus précisément ce qu’est la marétique, en vous donnant des exemple plus concrets.

Mais, on le voit déjà, et on en reparlera : la quasi absence de la cybersécurité dans ce Livre Bleu est assez représentatif de la maturité du secteur maritime sur le sujet de la cybersécurité.