Le secteur maritime La marétique Les risques Actualités Liens A propos Services Contact EN

Contenu

La divulgation de vulnérabilités cyber dans le maritime : entre communication, méthode et responsabilité

 inclus dans  Actualites
   1850 mots   9 minutes 

Dans le secteur maritime comme dans d’autres secteurs critiques, où les systèmes IT et OT, les chaînes logistiques et les infrastructures sont fortement interconnectés, la gestion des vulnérabilités cyber dépasse largement le cadre technique. Elle engage la continuité des opérations, la sûreté des infrastructures, voire la sécurité des personnes (sans parler des enjeux juridiques et d’image).

Face à la découverte de vulnérabilités cyber, deux approches coexistent aujourd’hui.

Publier pour exister ?

La première est celle de la publication. Certaines entreprises de “cybersécurité” diffusent des analyses globales issues d’audits de surface “passifs” : volumes de vulnérabilités détectées, taux de non-conformité, exposition supposée d’un secteur entier. L’exercice peut sembler utile pour sensibiliser. Pour vous qui êtes des lecteurs exigeants, vous vous doutez que ce type d’exercice doit être regardé avec un minimum de recul, car laisser penser que la cybersécurité du secteur maritime se limite à cela, c’est quand même assez réducteur.

De nombreuses questions légitimes se posent nécessairement : les entités concernées ont-elles été informées en amont ? Ont-elles consenti à l’analyse ou à la publication ? (Généralement, d’expérience, on vous dira “c’est passif”, ou “c’est conforme NIS2”, ou on s’appuiera sur le tiers qui assure le balayage effectif). Les canaux de divulgation attendus — par exemple ceux indiqués dans un fichier security.txt — ont-ils été respectés ? Et surtout, une notification individualisée a-t-elle réellement été effectuée ?

Lorsque des dizaines, voire des centaines d’organisations sont évoquées, la question devient rapidement structurante. Plus le volume de vulnérabilités annoncées est important, plus il devient difficile de garantir qu’elles ont été qualifiées et signalées individuellement dans des conditions conformes aux bonnes (et anciennes !) pratiques de divulgation coordonnée.

C’est pourtant une attente légitime lorsque l’on prétend s’inscrire dans une démarche professionnelle.

On touche ici à une dérive bien connue : le FUD (Fear, Uncertainty and Doubt). Faire peur pour susciter une prise de conscience… ou pour déclencher un acte d’achat. La frontière est parfois ténue.

Les avantages — et les limites — des audits de surface

Un autre point concerne la nature même des analyses réalisées. Les audits “passifs” dits “de surface” reposent largement sur des techniques automatisées : cartographie d’exposition, identification de services, détection de configurations faibles (DNS ou autre). Rien de particulièrement nouveau.

Ces approches ont leur utilité. Elles permettent d’identifier rapidement certaines zones d’exposition. Mais elles présentent aussi des limites structurelles que tout praticien connaît.

Une détection automatisée ne permet pas nécessairement de qualifier une vulnérabilité comme exploitable. Un service exposé ou une configuration imparfaite peut être compensé par des mécanismes de défense. À l’inverse, certaines vulnérabilités réellement critiques ne sont évidemment pas visibles via ce type d’analyse.

Par ailleurs, en fonction des outils, du contexte technique ou même de la qualité des signatures utilisées, des faux positifs peuvent être interprétés comme des vulnérabilités réelles sans validation approfondie. Je l’ai vécu.

Autrement dit : détecter n’est pas qualifier.

Et sur une échelle de risque, une vulnérabilité réellement exploitée — par exemple présente dans une liste de vulnérabilités activement exploitées — aura souvent beaucoup plus d’impact qu’une dizaine de failles théoriques détectées automatiquement et sans échelle de criticité (on ne vous le dira pas, mais il s’agit souvent plutôt de défauts de configuration que de CVE avec un score CVSS à faire pâlir).

Bref : qualité de la qualification versus nombre détecté automatiquement. A chacun de faire son choix.

NIS2 : des conclusions parfois hâtives

La question du lien direct entre “conformité NIS2” et “audit de surface” mérite également d’être traitée avec précaution.

Associer directement exposition technique et non-conformité est, au mieux, approximatif.

La directive NIS2 couvre, vous le savez, un périmètre bien plus large : gouvernance, gestion des risques, continuité d’activité, gestion des incidents, sécurité de la chaîne d’approvisionnement, politiques internes.

Une analyse de surface peut constituer un signal. Elle ne permet pas, à elle seule, de conclure à une non-conformité globale.

Dire l’inverse est, disons-le, un raccourci. Souvent commercial. Fuyez les produits qui se revendiqueraient “conforme NIS2”. La directive est beaucoup plus large que cela, et la réalisation de ce type de prestation ne vous garantira aucunement une “conformité” NIS2. Si ce type de reconnaissance peut s’inscrire dans plusieurs obligations NIS2 (identification des actifs exposés, gestion des vulnérabilités, surveillance des systèmes, détection des menaces), ce n’est qu’un moyen parmi d’autres et ni une obligation, ni l’alfa et l’omega. Avec un peu de chances, votre CSIRT sectoriel le fait déjà…

Signaler pour protéger

À l’opposé, la divulgation coordonnée repose sur une logique différente. Elle consiste à signaler les vulnérabilités aux acteurs compétents : ANSSI, CSIRT sectoriels, exploitants ou industriels concernés.

L’objectif n’est pas de produire un effet d’annonce, mais de qualifier le risque, d’organiser la remédiation et de maîtriser la diffusion de l’information.

Ce modèle est structuré et efficace. L’article 12 de la (même !) directive NIS2 prévoit d’ailleurs que chaque État membre désigne un CSIRT coordinateur chargé de la divulgation coordonnée des vulnérabilités. Ce CSIRT agit comme intermédiaire de confiance, facilitant les interactions entre le déclarant et les acteurs concernés, et peut organiser les délais de divulgation.

Ce n’est donc pas une bonne pratique “optionnelle”, mais bien un cadre organisé. Et, bien sûr, cela prend plus de temps (et donc d’argent) qu’un effet d’annonce. Mais l’effet et le caractère “professionnel” sont sans commune mesure. Bien sûr, il peut être “grisant” de trouver des vulnérabilités, au début. Et de le faire savoir. Je vous le garantis, on se sent en fait beaucoup mieux de le faire discrètement, mais efficacement, auprès des bons acteurs. Certes, on n’aura peut-être pas d’opportunité commerciale associée, mais on dort beaucoup mieux, car on sent plus intégrés dans une chaîne professionnelle de défense. Une vraie relation de confiance.

En plus, en France, ce cadre existe. Il est structuré, notamment sous l’égide de l’ANSSI et du SGDSN, avec des dispositifs sectoriels adaptés — y compris pour le maritime. Ne pas utiliser ces circuits, alors même qu’ils existent, pose nécessairement question et n’apporte probablement qu’une fragilisation d’un édifice.

Méconnaissance, volonté délibérée, manque de maturité ?

Des processus déjà formalisés

Car ce cadre ne date pas d’hier. Les RFC2350 définissent depuis longtemps les attentes relatives au fonctionnement des CSIRT, notamment en matière de communication, de gestion des incidents et de divulgation coordonnée des vulnérabilités.

Elles insistent sur un point essentiel : la qualité du processus.

Cela inclut aussi la gestion de l’information elle-même. Les données liées aux vulnérabilités — preuves de concept, vecteurs d’attaque, configurations exposées — sont sensibles. Elles doivent être stockées dans des environnements sécurisés, avec un contrôle d’accès strict et des mécanismes de traçabilité. La sécurité des échanges avec le CSIRT fait également partie de cette chaîne de confiance.

Une diffusion non maîtrisée, notamment avant correction, si elle peut créer une opportunité d’exploitation commerciale, peut aussi favoriser des exploitations par l’attaquant. Paradoxalement, on peut alors contribuer à exposer davantage ce que l’on prétend vouloir protéger.

Gageons que tout le monde ne lit pas (ou ne connait simplement pas, ce qui est plus inquiétant pour des professionnels de la cybersécurité) la RFC2350 ou l’II 230. Se renseigner sur la bonne manière de faire auprès des acteurs concernés, surtout quand on les connait, c’est quand même aussi plus sympathique et agréable et évite les crispations.

Gratuit… mais à quel prix ?

Enfin, la question des “audits” dits “gratuits” mérite d’être posée.

Ces approches reposent généralement sur des analyses automatisées de surface. Elles peuvent constituer un point d’entrée utile, mais ne remplacent ni une analyse de risque contextualisée, ni un audit approfondi.

Lorsqu’elles sont utilisées comme levier commercial, elles peuvent introduire un biais entre risque perçu et risque réel, en mettant en avant des volumes ou des indicateurs plus “parlants” que réellement représentatifs de l’ensemble des SI, de l’organisation et de leurs vulnérabilités.

Le sujet n’est pas tant leur existence que leur interprétation… et leur utilisation. Et sans parler des plateformes utilisées derrière, qui sont rarement européennes, et aussi parfois les mêmes que celles utilisées par des attaquants, voire au financement opaque (mais on ne vous le dira pas toujours).

Une question d’éthique — et de responsabilité collective

Au-delà des aspects techniques et réglementaires, la divulgation de vulnérabilités reste surtout une question d’éthique.

Elle implique une responsabilité vis-à-vis des entités exposées, de leurs utilisateurs et, dans le maritime, de la sécurité des opérations elles-mêmes.

Communiquer sans coordination préalable, ou avant remédiation effective, c’est aussi fragiliser les acteurs concernés — qu’il s’agisse des opérateurs, des autorités ou des dispositifs de coordination existants.

Dans un contexte déjà tendu, où les ressources — notamment financières — et les niveaux de maturité sont hétérogènes, la question mérite d’être posée. Fragiliser des acteurs déjà contraints, y compris ceux qui participent à la réponse étatique ou sectorielle, n’est probablement pas neutre. Sans vouloir être donneur de leçon, mais pour l’avoir vécu comme RSSI, mettre la “pression” sur des RSSI et des organisations de la sorte, parfois par voie de presse, est-ce la bonne manière de procéder pour établir une relation la confiance ?

Aller, pour vous aider dans vos choix de prestataires ou diagnostiqueurs gratuits, et avec quelques traits d’humour, quelques idées de questions :

  • qui êtes vous et quelles sont vos qualifications et expériences en cybersécurité et en maritime ?
  • sous-traitez-vous toute ou partie de la prestation ?
  • quelle(s) plateforme(s) d’analyse sous-jacentes utilisez-vous ? Quelles sont leurs nationalités et modes de financement / due diligence ?
  • comment sont stockées et sécurisées, chez vous, mes données ? Avec qui les partagez-vous ?
  • êtes-vous en lien avec l’écosystème maritime de cybersécurité français ? Avez-vous déjà contribué à des travaux communs avec eux ? Font-ils également, de leur côté, une veille, et comment vous coordonnez-vous avec eux ?
  • quand vous dites “audit passif”, cela veut dire que vous ne menez pas d’action vous-même, mais il y a au moins une phase de reconnaissance du type “banner hacking” ou équivalent (ou pire) par votre prestataire ?
  • vous dites que vous “scannez” tout en restant 100 % passif, vous pouvez préciser ?
  • quelles sont les adresses IP qui ont été/seront utilisées pour balayer mes systèmes d’information ?
  • quelle est votre vision de mon empreinte numérique ?
  • quand vous dites “audit conforme NIS2”, vous pouvez préciser ? Quelle sera ma conformité après cet audit ?
  • assurez-vous une cotation des risques associés par rapport aux Tactiques, Techniques et Procédures de groupes attaquants classiques ?
  • quel est le recours à l’IA dans votre prestation ?
  • vous semblez très focalisé sur la conformité NIS2, pourriez-vous me préciser votre hébergeur, votre fournisseur de nom de domaine, quelques logiciels européens que vous utilisez pour vous protéger vous même ?

Publier pour exister, ou signaler pour protéger ?

Une vulnérabilité est une information sensible. Elle doit être qualifiée, protégée et partagée selon des processus structurés et professionnels.

Ces processus existent. Utilisons-les.

Le choix entre ces deux postures dépasse la simple communication. Il engage la crédibilité technique, la confiance et la responsabilité des acteurs — en France comme à l’international. Le secteur mérite mieux que des effets d’annonce : concentrons-nous sur ses fragilités structurelles et cherchons, ensemble et surtout, des solutions efficaces et pérennes.

Et que vivent la recherche et la coordination RESPONSABLE des vulnérabilités cyber !

Mis à jour le 04/04/2026
 VulnérabilitésEthique
Retour | Accueil