Je n’aime pas le terme problématique : il est utilisé à tort et à travers et surtout à toutes les sauces, notamment parce que l’on confond “problème” et “problématique”. L’objectif de cet article, loin de vouloir désigner les coupables, est au contraire d’identifier les problèmes “macro” de prise en compte de la cyber-sécurité dans la marétique.
Pour mettre dans l’ambiance, commençons par une citation, vieille de 7 ans, mais qui reste globalement d’actualité :
« Le faible niveau de conscience général inquiète […] il est la conséquence d’un faible sentiment d’urgence combiné à une préparation inadéquate aux risques du cyber-espace. »
ENISA, Analysis of Cyber Security aspects in the maritime sector (2011)
1. Le facteur humain
Dans un monde parfait, toute entreprise a une politique de sécurité, tout le monde l’applique, et le monde est sauvé. Chacun sait que ce n’est pas le cas. C’est encore plus vrai dans la marétique : entre l’équipage du navire (à l’expérience variée et diverse), celle de l’armateur, les nationalités et réglementation variées, les sous-traitants : un joli cocktail de difficultés pour les RSSI ! Faire appliquer une politique de sécurité homogène est donc loin d’être simple. Or, tout le monde vous le dira, “le problème de la cyber est entre la chaise et le clavier”. Oui, peut-être : la sensibilisation aux risques liés à au phishing, au harponnage et aux attaques en point d’eau peuvent être améliorer. Oui, il faut confronter l’ensemble du personnel (PDG inclus, on le rappelle) concrètement à ces menaces.
Mais je suis toujours convaincu que chaque membre d’équipage, chaque employé de l’armateur, chaque maintenancier est aussi un acteur potentiel remarquable dans la protection des systèmes qu’il exploite ou qu’il administre : s’il est bien sensibilisé, accompagné, voire contrôle si nécessaire, il peut aussi être un très bon capteur, pour détecter les procédures dangereuses, voire être le dernier rempart (à défaut de mieux) sur une clé USB à 2 doigts d’être branchée sur votre système en production. Le stigmatiser n’est donc pas forcément la meilleure approche.
Simplifier la cyber en disant “c’est la faute de l’utilisateur”, c’est un peu court…
2. L’inadéquation d’une majorité de technologies “sur étagère”
Les solutions, c’est bien connu, plein de monde en a, et tout le monde est prêt à vous en vendre. Si c’était aussi simple que de copier des technologies “sur étagère” et de les “coller” sur un navire, ça se saurait.
Oui, bien sûr, il y a des meilleures pratiques de certains secteurs (je pense à des recommandations de l’ANSSI sur les systèmes industriels) à mettre en place. Mais on ne peut pas, efficacement, appliquer directement une technologie sur un navire. Parce que la marétique a des particularités qu’il faut prendre en compte (voir cet article). Ne pas les prendre en compte, c’est soit se planter, au mieux (= ça ne fonctionne pas), soit croire qu’on est sécurisés (c’est pire).
Le tout est intégré “en silo”, c’est-à-dire sans intégration à bord du navire, où chacun installe son composant, sans penser à la sécurité de l’ensemble.
3. La méconnaissance du milieu
C’est comme pour de nombreux domaines : c’est souvent ceux qui le connaissent le moins qui en parlent le plus. Si jamais vous êtes un acteur de la marétique, et que dans un salon ou à une autre occasion on essaye de vous vendre quelque chose, demandez à votre interlocuteur ce qu’il connaît du monde maritime, s’il a déjà eu l’occasion de travailler sur des navires, etc… vous serez assez surpris. Cette méconnaissance du milieu a un impact direct (cf le paragraphe précédent).
4. Une réglementation “light” (comme les yaourts)
Alors, oui, on est bien d’accord, la réglementation c’est gonflant, il y en a trop et c’est difficile à appliquer. Bon, vous allez être rassurés, si le domaine maritime est un monde très réglementé (par exemple, un navire ou un armateur doivent respecter de nombreuses contraintes pour être autorisés à naviguer / exploiter une flotte), en cyber, c’est plutôt léger (même s’il parait que l’OMI y travaille). Aujourd’hui, pour simplifier un peu, la réglementation du secteur est très orientée “organisationnel” (gestion des risques) et comprend, de manière générale, de nombreux copier/collers de certaines meilleures pratiques “terrestres”, alors que d’autres manquent. On ne sait pas trop pourquoi, mais c’est comme ça. Ah oui, la plupart des normes est payante (évidemment), donc ça n’aide pas non plus. Au niveau technologique, pas grand’chose à se mettre sous la dent. On vous demandera, au mieux, de disposer d’un pare-feu à bord de votre navire d’ici 2020. Je cherche 300 francs suisses pour obtenir la norme IEC 61162-460:2018 qui semble un peu plus ambitieuse. Dans l’attente, vous pouvez la prévisualiser en (petite) partie ici (à partir de la page 23).
Avec un cycle de vie ultra long (cf infra) et une certaine forme de dilution des responsabilités (qui est responsable en cas d’incident : l’armateur ou le capitaine ? Le chantier naval qui a conçu le navire ? L’intégrateur ou le concepteur du système ?
5. Le cycle de vie long
C’est probablement un des points les plus difficiles avec la marétique. J’en ai déjà parlé, mais un navire est fait pour durer une quarantaine d’années (en moyenne, ça peut dépendre des secteurs : pêche, défense, commerce, plaisance…). C’est énorme. Cela se rapproche de certains milieux industriels à terre, mais cette durée est très longue.
Alors, pour faire simple et court, patcher la dernière CVE parue sur Windows (ou autres, je n’ai pas d’action Microsoft), comment vous dire, dans la majorité des cas, il va falloir l’oublier pendant un moment, et travailler au niveau des entrées/sorties, du réseau, pour éviter qu’elle soit exploitable. Si vous espérez pouvoir patcher un navire en pleine mer en temps réel, comment vous dire, c’est compliqué. On y arrivera peut-être un jour (restons optimistes). Avec de la blockchain, de l’IA, du bigdata on va être sauvés.