Cybersécurité maritime et portuaire.

Je partage avec vous quelques liens vers des sites et documents sur le sujet de la cybersécurité maritime. C’est un travail de longue haleine, donc il manque encore sûrement plein de choses.

• OMI : Le site de l’Organisation Maritime Internationale sur les questions de cybersécurité maritime
• OMI : Résolution MSC.428(98)
• OMI : MSC-FAL.1/Circ.3/Rev.3
• Les directives sur le sujet publiées par BIMCO, CLIA, ICS, INTERCARGO et INTERTANKO (v5)
• ANSSI : Le guide des bonnes pratiques de sécurité informatique à bord des navires, par l’ANSSI
• DCSA : Le guide et les modèles de mise en œuvre de la cybersécurité à bord des navires, par la DCSA
• EMSA : La publication MARSEC 9209 de l’EMSA
• DGAMPA : Guide sur la cybersécurité des systèmes industriels du navire
• DGAMPA : Guide “Évaluer et protéger le navire”
• DGAMPA : Recommandations destinées aux compagnies maritimes pour l’intégration de la cybersécurité dans les systèmes de gestion de la sécurité, par la Direction des Affaires Maritimes.
• DGITM : Guide “Ports cybersécurisés”
• ENISA : site dédié au secteur maritime, avec notamment Good practices for Cybersecurity in the Maritime Sector - Port Security
• IACS : Recommendation on cyber resilience - REC 166 de l’IACS
• Directive européenne NIS
• Règlement (CE) n° 725/2004
• Arrêté du 11 août 2016 relatif aux systèmes d’information d’importance vitale du secteur maritime et fluvial
• Instruction interministérielle n° 230 du 28 juin 2022
• Règlement général sur la protection des données : informations et ressources sur le site de la CNIL
• Transcription en droit français du règlement européen CE 725/2004 (article 3.5)
• Livre blanc du Lloyd’s Register sur la cybersécurité des navires
• UK Department for Transport, Code of Practice: Cyber Security for Ships
• UK Department for Transport, Good Practice Guide: Cyber Security for Ports and Port Systems
• La note d’Armateurs de France “La gestion des cyber-risques maritimes : décryptage réglementaire”
• US Coast Guard, NVIC 01-20: Guidelines for addressing cyber risks at MTSA regulated facilities
• US Coast Guard Office of Commercial Vessel Compliance, Vessel Cyber Risk Management Work Instruction

• France Cyber Maritime
• M-CERT
• Jeu de données ADMIRAL
• NORMA Cyber
• MTS-ISAC

• Nippon Kaiji Kyokai, plus connu sous le nom de ClassNK, a diffusé en avril 2019 un guide de 45 pages, le NK-Cyber Security Management System for Ships (Requirements and Controls), disponible en anglais après inscription sur leur site.
• Bureau Veritas, note n° NR 642 DT R00 E, “Cybersecurity Requirements for Products to be Installed On-Board Naval Ships”
• Bureau Veritas, NR 659 “Rules on Cybersecurity for the Classification of Marine Units”
• Les recommandations du Lloyd’s Register sur les navires autonomes
• Le document DNV GL CP-0231 “Cyber security capabilities of systems and components”
• Le document DNV GL RP-G108 “Cyber security in the oil and gas industry based on IEC 62443”
• Le document DNV GL-RP-0496 “Cyber security resilience management for ships and mobile offshore units in operation”
• IACS Unified Requirement E26 – Cyber resilience of ships
• IACS Unified Requirement E27 – Cyber resilience of onboard systems and equipment

• Chaire de cyberdéfense des systèmes navals (École navale, Brest, France) : la chaire est issue d’un partenariat entre l’École navale, Thalès, Naval Group et l’IMT (Institut Mines-Télécom). Elle accueille une douzaine de doctorants qui travaillent sur des sujets assez larges : la sécurité des capteurs et des automates, le maintien en conditions de sécurité ou encore les questions de visualisation et d’analyse de la menace.
• Maritime Cyber Threats Group (University of Plymouth, Royaume-Uni) : ce groupe de recherche a pour objectifs de développer la connaissance des vulnérabilités et risques du secteur maritime. Il travaille sur différents sujets, comme l’aide à la décision, les risques liés aux vulnérabilités des chaînes logistiques, la cybersécurité des navires autonomes, ou encore la composante humaine.
• Cybersecurity incident data reporting for autonomous ships, par Petteri Vistiaho
• À l’été 2013, des chercheurs de l’Université du Texas ont conduit les premières expérimentations de GPS spoofing sur un yacht de luxe

• European Maritime Cyber Risk Management Summit, 15 juin 2018, à Londres
• Maritime Cyber Threats and Awareness Symposium (CyMar18), 2 novembre 2018, à Londres
• CYpBER, conférence internationale sur la cybersécurité du secteur maritime, du pétrole et du gaz

• Cybersécurité et marétique, un enjeu européen ?, de Ryan Burton, via le Centre d’études stratégiques de la marine (CESM, 2014)
• Le rapport d’IOActive sur les vulnérabilités des terminaux par satellite
• L’article de Pentest Partners sur les vulnérabilités des logiciels de chargement à bord des porte-conteneurs
• L’article de Pentest Partners sur les risques liés aux terminaux par satellite et à l’ingénierie sociale
• Un document du Department of Homeland Security américain sur les risques cyber liés aux activités portuaires
• Global Maritime Issues Monitor, de 2018, qui liste le risque cyber comme un risque majeur et avéré pour le secteur maritime

J’ai regroupé la plupart des vidéos sur une playlist Youtube dédiée :

Installer de l’UEBA avec un pare-feu de niveau 7, en implémentant de la blockchain sur une approche top down dans un contexte de big data et d’IA.

Mmmmh.

Il n’y a bien sûr pas de solution ultime pour sécuriser le secteur. Je suis breton, j’aime bien la gastronomie, alors je vais vous proposer une recette à base de quatre-quarts.

Je ne sais plus qui disait “Sans volonté, pas de réussite”, mais bon on y est. Et pas de la volonté d’affichage, mais une vraie envie. On vit dans un monde merveilleux, mais où, je trouve, on dit beaucoup et on fait peu. Il y a de nombreux acteurs, chacun avec des envies et des attentes différentes. Qui pour coordonner tout cela ? Pour insuffler les bonnes idées efficaces ? Comment faire pour éviter d’en faire une “usine à gaz” et impacter financièrement nos armateurs, pêcheurs, en mettant en place une réglementation trop coûteuse ? Une chose est sûre, il faut y aller pas à pas. Quelques sources d’espoir ? Peut-être (bon, ce ne sont que des tweets) :

Je n’aime pas le terme problématique : il est utilisé à tort et à travers et surtout à toutes les sauces, notamment parce que l’on confond “problème” et “problématique”. L’objectif de cet article, loin de vouloir désigner les coupables, est au contraire d’identifier les problèmes “macro” de prise en compte de la cyber-sécurité dans la marétique.

Pour mettre dans l’ambiance, commençons par une citation, vieille de 7 ans, mais qui reste globalement d’actualité :

Qui peut en vouloir à la marétique ?

Les sources de menace (volontaires, cagoulées) sont assez proches de ce qui peut être trouvé par ailleurs. Je ne vais pas vous refaire une liste à la Prévert des sources de menaces possible, l’ ANSSI l’a déjà fait ( cf p. 15 et suivantes). Les plus réalistes sont aujourd’hui :

• les sources de menaces “étatiques”, à des fins d’espionnage, de prépositionnement, de destruction
• les “hackers” du dimanche, ayant vu des vidéos de chercheurs lors de conférences en cyber et essayant de reproduire les preuves de concept
• la concurrence (et oui, on ne peut pas totalement le nier, ou du moins le prendre en compte)
• les organisations terroristes / de piraterie, qui pourraient y trouver un intérêt pécunier
• l’infection “collatérale”, c’est-à-dire ne visant pas spécifiquement le secteur maritime, mais dont il est victime comme d’autres (c’est généralement le cas des rançongiciels)

On se rappelle que le “vecteur” cyber a plusieurs avantages : il est généralement anonyme, anomique, et les attaques ont une relative fulgurance et relativement rentable (surtout pour quelqu’un qui n’a qu’à cliquer sur sa souris…).

Le groupe finlandais de technologies Wärtsilä vient d’annoncer l’ouverture de son centre d’excellence international en cyber maritime ( International Maritime Cyber Centre of Excellence (IMCCE) ce jour à Singapour. Conçu en partenariat avec Templar Executives, L’IMCCE comprend un CERT maritime (Computer Emergency Response Team) et un centre de formation en cyber, l’objectif premier est de permettre une réaction rapide en cas d’incident, et d’augmenter le niveau de compréhension des enjeux cyber du domaine.

Ceux qui, parmi vous, auront lu la dernière stratégie nationale cyber américaine parue en ce mois de septembre et signée par le Président Trump himself n’auront pas manqué d’y lire quelques points intéressants sur les sujets cyber et maritime, page 18 (juste avant le secteur spatial). Je vous traduis rapidement le paragraphe concerné :

AMÉLIORER LA CYBERSÉCURITÉ DU SECTEUR DU TRANSPORT ET DU SECTEUR MARITIME : la sécurité nationale et l’économie des États-Unis  reposent sur les échanges mondiaux et le transport. Notre capacité à garantir la liberté et les délais dans l’acheminement des biens, des routes maritimes et aériennes libres, l’accès au pétrole et au gaz naturel et la disponibilité des infrastructures critiques associées est essentielle pour notre économie et notre sécurité nationale. Ces secteurs s’étant modernisés, ils sont également devenus plus vulnérables à des exploitations ou des attaques cyber. La cybersécurité maritime est particulièrement concernée concernée, car les pertes ou les retards dans les livraisons peuvent conduire à des interruptions dans les secteurs stratégiques de l’économie, avec de potentiels effets en cascade. Étant donnée la criticité du transport maritime pour les États-Unis et l’économie mondiale et les investissements minimums nécessaires à la réduction du risque conduits jusqu’à présent, les États-Unis vont rapidement se positionner pour clarifier les rôles et responsabilités de la cybersécurité maritime, promouvoir l’amélioration des mécanismes pour la coordination internationale et le partage d’information et accélérer le développement de la prochaine génération d’infrastructures maritimes résilientes. Les Etats-Unis assureront le transport ininterrompu des biens face à toute menace qui pourrait, par des moyens cyber, porter atteinte à cette infrastructure intrinsèquement internationale.