Les gardes-côtes américains (US Coast Guard (USCG)) sont régulièrement à la manœuvre sur les sujets liés à la cybersécurité maritime. On les avait vus récemment intervenir sur un navire objet d’un incident cyber ou encore évoquer l’impact du rançongiciel Ryuk sur un acteur maritime US. Ils évoquent par ailleurs fréquemment, dans leurs bulletins de sécurité, les sujets relatives à la menace cyber dans le contexte maritime. Dans une nouvelle circulaire, consultable ici, les gardes-côtes américains proposent de nouvelles lignes directrices pour lutter contre les menaces cyber pour les installations et unités sous leur responsabilité.
Cette circulaire, appelée Navigation and Vessel Inspection Circular (NVIC) 01-20, “Guidelines for addressing cyber risks at Maritime Transportation Security Act (MTSA) regulated facilities“, passe cependant à la vitesse supérieure, dans la perspective de mise en application des directives de l’OMI à compter du 1er janvier 2021, ne serait-ce que par son titre “Inspection Circular“, qui prépare ls esprits au caractère prochainement obligatoire de certaines recommandations. Les entités concernées doivent notamment évaluer et documenter les vulnérabilités de leurs systèmes d’information dans un document appelé Facility Security Assessment (FSA) et les traiter dans un document listant un plan d’actions, le Facility Security Plan (FSP).
Les USCG précisent que ces lignes directrices ne sont là que pour apporter plus de clarté par rapport à la réglementation existante, qu’elles ne la change pas, et qu’elles n’imposent pas non plus de nouvelles exigences. Libre aux responsables des entités et aux opérateurs de mettre en œuvre des directives plus exigeantes (on pense à celles du NIST…) à partir du moment où elles répondent aux exigences réglementaires. L’USCG précise d’ailleurs qu’ils encouragent l’application des standards du NIST, notamment le Framework for Improving Critical Infrastructure Cybersecurity et la publication NIST 800-82.
En effet, les exigences MSTA existences sont déjà assez nombreuses et rappelées dans ce document (notamment les parties 105 et 106 du CFR 33), qui donne des informations d’ordre général relatives à la cybersécurité et permet à l’USCG de disposer de l’autorité pour assurer les contrôles de conformité et approuver les FSA et les FSP. L’identification, l’évaluation et le traitement des risques cyber reste cependant bien de la responsabilité des opérateurs et directeurs d’entités.
Les USCG rappellent la dépendance croissante de l’industrie maritime aux systèmes d’information. Que ce soit notemment pour les communications, l’ingénierie, le contrôle de la cargaison ou des paramètres environnementaux, le contrôle d’accès ou encore la vérification de la cargaison et des passagers. La sécurité et la sûreté des installations dépendent également de sysèmes informatiques, pour la surveillance incendie, la surveillance périmétrique… tous ces systèmes apportent au monde maritime une fiabilité et une efficacité remarquables, mais introduisent de nouvelles vulnérabilité et donc de nouveaux risques. L’exploitation à des fin malicieuses, la mauvaise utilisation ou la simple panne de ces systèmes informatiques “cyber-physiques” peut même causer des blessures ou des décès, impact l’environnement et interrompre des activités essentielles pour le pays.
Parmi les points soulignés par la circulaire, on note l’entraînement du personnel. L’entité responsable doit donc indiquer comment elle inclut la cybersécurité dans l’entraînement du personnel, les politiques, et les procédures. Des exercices (voir CFR 33 105.220 33 et 106.225) doivent être prévus pour évaluer les vulnérabilités cyber du FSP, par exemple en utilisant des scénarios mélangeant cybersécurité et sécurité physique.
Parmi les autres points intéressants, j’ai noté :
- la description obligatoire des procédures de mise à jour des systèmes et les tests de non-régression ;
- les mesures de sécurité pour les systèmes de contrôle d’accès (voir CFR 33 105.255 33 et CFR 106.260) ;
- une partie plus défensive, liée à la détection antivirale et à la détection d’intrusion temps-réel, le suivi de la journalisation des hôtes et des serveurs, la segmentation des réseaux entre l’IT et l’OT, les sauvegardes et la cartographie.