Références

Je partage avec vous quelques références intéressantes. Non pas MES références, mais des pointeurs vers quelques sites et documents intéressants sur le sujet. C’est un travail de longue haleine, donc il manque encore sûrement plein de choses.

Thème “réglementation et bonnes pratiques” :

• Le site de l’Organisation Maritime Internationale sur les questions de cybersécurité maritime : vous y trouverez notamment ses directives sur la gestion des risques cyber maritimes et le mini-site de la Représentation française auprès de l’OMI sur les risques cyber maritimes
• Les directives sur le sujet publiées par BIMCO, l’Association internationale des lignes de croisière (CLIA), la Chambre internationale de la marine marchande (ICS), l’Association internationale des transporteurs de marchandises solides (INTERCARGO) et l’Association internationale des armateurs pétroliers indépendants (INTERTANKO) (v4)
• Le guide des bonnes pratiques de sécurité informatique à bord des navires, par l’Agence Nationale de Sécurité des Systèmes d’Information
• Le guide et les modèles de la mise en œuvre de la cybersécurité à bord des navires de la Digital Container Shipping Association (DCSA), paru en avril 2020
• Les guides “Renforcer la protection des systèmes industriels des navires“, publié en janvier 2017 et “Cybersécurité – évaluer et protéger le navire” paru en septembre 2016, par la Direction des affaires maritimes
• Le site de l’ENISA European Union Agency for Network and Information Security dédié au secteur maritime et notamment la récente publication sur la sécurité des ports (Good practices for Cybersecurity in the Maritime Sector – Port Security) et le guide Cyber risks management for ports.
• Recommandation on cyber resilience – REC 166 (en anglais) de l’IACS (International Association of Classification Societies)
• Directive européenne NIS (Network & Information Security), transposée en droit français le 26 février 2018, suivie de l’arrêté du 14 septembre 2018 fixant les modalités d’application de la directive NIS aux Opérateurs de Services Essentiels (OSE). Ce texte est compatible avec les mesures préalablement fixées en droit national pour les Opérateurs d’Importance Vitale (OIV)
• Règlement Général sur la Protection des Données, entré en application en mai 2018 et sa transposition en droit français en juin 2018. Les informations complètes sont présentes sur le site de la CNIL
• La transcription en droit français du règlement européen CE725/2004 (article 3.5)
• Un livre blanc du Lloyd’s Register sur la cybersécurité des navires (février 2016)
• UK Department for Transport, Code of practise, CyberSecurity for Ships
• UK Department for Transport, Good Practise Guide, Cybersecurity for Ports and Port Systems
• La note d’Armateurs de France “La gestion des cyber-risques maritimes : décryptage réglementaire“
• US Coast Guards, Guidelines for addressing cyber risks at maritime transportation security act (MTSA) regulated facilities, NVIC 01-20 (concerne les ports du MTS uniquement).
• US Coast Guard Office of Commercial Vessel Compliance (CG-CVC) Mission Management System (MMS) Work Instruction (WI) CVC-WI-027(1) Vessel Cyber Risk Management Work Instruction (concerne les navires)

Thème “certification”

• Nippon Kaiji Kyokai, plus connu sous le nom de ClassNK, a diffusé en avril 2019 un guide de 45 pages, le NK-Cyber Security Management System for Ships (Requirements and Controls), disponible en anglais après inscription sur leur site.
• Le Bureau Veritas a émis en juillet 2018 sa note n°NR 642 DT R00 E, “Cybersecurity Requirements for Products to be Installed On-Board Naval Ships” et la 659 NR “Rules on Cybersecurity for the Classification of Marine Units”
• Les recommandations du Lloyd’s Register sur les navires autonomes.
• Le document de DNV GL CP-0231 “Cyber security capabilities of systems and components” de mars 2020
• Le document de DNV GL RP-G108 “Cyber security in the oil and gas industry based on IEC 62443” de septembre 2017
• Le document de DNV GL-RP-0496 “Cyber security resilience management for ships and mobile offshore units in operation” de Septembre 2016

Thème “recherche” :

• Chaire de cyberdéfense des systèmes navals (École navale, Brest, France) : la chaire est issue d’un partenariat entre l’École navale, Thalès, Naval Group et l’IMT (Institut Mines-Télécom). Elle accueille une douzaine de doctorants qui travaillent sur des sujets assez larges: la sécurité des capteurs et des automates, le maintien en conditions de sécurité ou encore les questions de visualisation et d’analyse de la menace.
• Maritime Cyber Threats Group (University of Plymouth, Royaume-Uni) : ce groupe de recherche a pour objectifs de développer la connaissance des vulnérabilités et risques du secteur maritime. Il travaille sur différents sujets, comme l’aide à la décision, les risques liés aux vulnérabilités des chaînes logistiques, la cybersécurité des navires autonomes, ou encore la composante “humaine” (sensibilisation, entraînements, aspects psychologiques).
• Cybersecurity incident data reporting for autonomous ships, par Petteri Vistiaho (Tampere University of Technology)
• A l’été 2013, des chercheurs de l’Université du Texas ont conduit les premières expérimentations de spoofing GPS sur un yacht de luxe.

Thème “conférences”

• Le “European Maritime Cyber Risk Management Summit“, 15 juin 2018, à Londres
• Le “Maritime Cyber Threats and Awareness Symposium“, alias CyMar18, 2 novembre 2018, à Londres
• CYpBER, conférence internationale sur la cybersécurité du secteur maritime, du pétrole et du gaz, essentiellement focalisée sur le secteur géographique de l’est de la mer Méditerranée. Dernière édition en juin 2020

Thème “rapports” / blogs / vulnérabilités

• Le rapport de l’ENISA sur les aspects cybersécurité dans le monde maritime (décembre 2011)
• Le rapport “Cybersécurité et marétique, un enjeu européen ?” de Ryan Burton, via le Centre d’études stratégiques de la marine (CESM, 2014)
• Le rapport d’IOActive sur les vulnérabilités des terminaux par satellite
• L’article de Pentest Partners sur les vulnérabilités des logiciels de chargement à bord des porte-conteneurs
• L’article de Pentest Partners sur les risques liés aux terminaux par satellite et à l’ingénierie sociale.
• Un article du Department of Homeland Security américain sur les risques cyber liés aux activités portuaires.
• Le document “Global Maritime Issues Monitor“, de 2018, qui liste le risque cyber comme un risque majeur et avéré pour le secteur maritime.

Vidéos de sensibilisation

J’ai regroupé la plupart des vidéos sur une playlist Youtube dédiée :