L’agence spatiale européenne finance la recherche sur les risques liés aux systèmes de positionnement par satellite.

Nous avons déjà parlé à plusieurs reprises : les risques liés aux systèmes de positionnement et de suivi des navires par satellites sont nombreux. C’est dans ce cadre que l’Agence spatiale européenne (European Space Agency, ESA) a annoncé récemment financer une étude de faisabilité sur le développement d’une solution pour la sécurisation de ces systèmes.

L’ESA a passé un contrat avec la société suisse CYSEC SA pour identifier les solutions qui permettraient de sécuriser les services de suivi et de positionnement par satellite pour le monde maritime. Les risques, qui passent essentiellement par le leurrage et le brouillage de systèmes de positionnement par satellite (GNSS), comme nous l’avions vu ici. C’est parfois moins connu, mais les données AIS (Automatic Identification System) peuvent également transiter par satellite. On parle alors de S-AIS ou SAT-AIS. Il suffit de regarder, par exemple sur Marine Traffic, le nombre de positions AIS reçues par satellite pour en être convaincu.

Les données issues de l’AIS et les signaux GNSS reçus par satellite sont indispensables pour permettre aux navires d’aujourd’hui et de demain de naviguer en toute sécurité, notamment dans les détroits et les zones dangereuses. Elles le sont également pour les armateurs, les assureurs et les autorités à terre qui les exploitent à des fins de suivi d’activité et de détection d’anomalie et de secours en mer. Pour autant, le nombre d’incidents de brouillage et de leurrage GNSS augmente fortement au cours des années, ce constat ayant récemment poussé les Etats-Unis à le porter à l’attention de l’Organisation Maritime Internationale (OMI).

L’objectif de l’étude est donc de travailler à la fois sur la sécurité GNSS et celle du lien S-AIS. Je referai un article sur le sujet si les compte-rendus de l’étude sont publics. Nul doute qu’on y verra (espérons !) de la cryptographie sous toutes ses formes, de la mesure de qualité des capteurs et de la détection d’anomalies !

Cybercriminalité maritime, de la mer à l’Internet, focus sur la nouvelle piraterie

Je vous invite à lire l’article “Cybercriminalité maritime, de la mer à l’Internet, focus sur la nouvelle piraterie”, paru sur le site BLL Consulting. Dans cette article, l’auteur dresse un portrait complet de la cybercriminalité dans le monde maritime sous ses différents aspects, en dressant un parallèle avec les “pirates” qu’a pu connaître ou connaît encore le secteur maritime.

“Le Cyber, domaine particulier de la pensée navale”, par N. Mazzucchi

Le Centre d’études supérieures de la Marine nationale (CESM) propose dans sa revue “Études marines – Stratégie” n°17 (page 82) un article de Nicolas Mazzucchi, docteur et chargé de recherches à la Fondation pour la recherche stratégique (FRS) intitulé “Le cyber, domaine particulier de la pensée navale”.

Dans cet article, l’auteur rappelle que, si la prise en compte du sujet par la communauté maritime a été relativement tardive, la question de la cybersécurité des navires et des ports est de plus en plus fréquemment traitée lors de différentes conférences, soulignant l’importance de ce sujet stratégique face à la numérisation progressive du secteur, que l’on parle de navires civils ou militaires.

Au niveau militaire, cette question est, d’après l’auteur, renforcée par le besoin important de capacités de combat en réseau. Il est vrai que, même si on en parlait déjà dans les années 90 (C3, C4), l’augmentation des débits satellite et de la connectivité a permis de répondre à un véritable enjeu de communication, que ce soit au sein d’un groupe constitué (comme le groupe aéronaval) que vers les flottes alliées ou les état-majors à terre, offrant de nouvelles capacités militaires… tout en ajoutant de nouvelles menaces.

On associe donc le cyber, au sens large, à un nouveau domaine de lutte transverse qui irrigue le milieu maritime et ses autres milieux (physiques, quant à eux : sous la mer, sur la mer, au-dessus de la mer, espace), mais aussi à un semble de technologies permettant une mutation assez inédite du secteur, y compris vers le futur et l’arrivée des navires autonomes.

L’auteur aborde ensuite sur le navire sous l’angle d’un “système d’information complexe multi-capteurs, sorte d’usine connectée sur mer”, où se rejoignent systèmes de communication, systèmes de combat, capteurs et actionneurs, la composante numérique apportant également de nouveaux aspects intéressants, comme la maintenance prédictive, facilitée par l’augmentation du nombre de données disponibles, y compris sur des installations cyber-physiques.

Une projection dans le futur est ensuite réalisée, avec l’arrivée des nouveaux capteurs et actionneurs déportés, apportés par les nouvelles générations de véhicules autonomes de surface, sous-marins, ou aériens, qui seront un atout capacitaire indéniable dans la projection de force et le renseignement.

Enfin, l’auteur insiste sur les risques liés à la multiplication de nouveaux protocoles et systèmes, qui peuvent venir contrecarrer ces nouvelles capacités, à l’obsolescence “programmée” et au maintien en conditions de sécurité complexes et sur la possibilité d’une fusion des domaines cyber et guerre électronique au niveau tactique naval.

Lancement d’un produit d’assurance spécifique aux risques cyber maritimes

Dans un communiqué de presse, l’assureur Willis Towers Watson annonce le lancement d’un nouveau produit d’assurance spécifiquement dédiés aux risques de cybersécurité dans le monde maritime. L’objectif de ce produit est de répondre à l’imparfaite couverture du risque cyber dans la plupart des contrats d’assurance, et de faire face à la multiplication des évènements cyber dans le monde maritime.

L’assurance semble couvre plusieurs cas, notamment : gestion de crise en cas de rançongiciels, vol de données, incidents relatifs à des tiers, perte de connectivité suite à des attaques sur le lien satellite, cas liés RGPD et NIS.

Une petite vidéo proposée par l’assureur (je n’ai pas d’actions) :

Les gardes-côtes américains de nouveau à la manœuvre sur les sujets de cybersécurité maritime

Les gardes-côtes américains (US Coast Guard (USCG)) sont régulièrement à la manœuvre sur les sujets liés à la cybersécurité maritime. On les avait vus récemment intervenir sur un navire objet d’un incident cyber ou encore évoquer l’impact du rançongiciel Ryuk sur un acteur maritime US. Ils évoquent par ailleurs fréquemment, dans leurs bulletins de sécurité, les sujets relatives à la menace cyber dans le contexte maritime. Dans une nouvelle circulaire, consultable ici, les gardes-côtes américains proposent de nouvelles lignes directrices pour lutter contre les menaces cyber pour les installations et unités sous leur responsabilité.

Cette circulaire, appelée Navigation and Vessel Inspection Circular (NVIC) 01-20, “Guidelines for addressing cyber risks at Maritime Transportation Security Act (MTSA) regulated facilities“, passe cependant à la vitesse supérieure, dans la perspective de mise en application des directives de l’OMI à compter du 1er janvier 2021, ne serait-ce que par son titre “Inspection Circular“, qui prépare ls esprits au caractère prochainement obligatoire de certaines recommandations. Les entités concernées doivent notamment évaluer et documenter les vulnérabilités de leurs systèmes d’information dans un document appelé Facility Security Assessment (FSA) et les traiter dans un document listant un plan d’actions, le Facility Security Plan (FSP).

Les USCG précisent que ces lignes directrices ne sont là que pour apporter plus de clarté par rapport à la réglementation existante, qu’elles ne la change pas, et qu’elles n’imposent pas non plus de nouvelles exigences. Libre aux responsables des entités et aux opérateurs de mettre en œuvre des directives plus exigeantes (on pense à celles du NIST…) à partir du moment où elles répondent aux exigences réglementaires. L’USCG précise d’ailleurs qu’ils encouragent l’application des standards du NIST, notamment le Framework for Improving Critical Infrastructure Cybersecurity et la publication NIST 800-82.

En effet, les exigences MSTA existences sont déjà assez nombreuses et rappelées dans ce document (notamment les parties 105 et 106 du CFR 33), qui donne des informations d’ordre général relatives à la cybersécurité et permet à l’USCG de disposer de l’autorité pour assurer les contrôles de conformité et approuver les FSA et les FSP. L’identification, l’évaluation et le traitement des risques cyber reste cependant bien de la responsabilité des opérateurs et directeurs d’entités.

Les USCG rappellent la dépendance croissante de l’industrie maritime aux systèmes d’information. Que ce soit notemment pour les communications, l’ingénierie, le contrôle de la cargaison ou des paramètres environnementaux, le contrôle d’accès ou encore la vérification de la cargaison et des passagers. La sécurité et la sûreté des installations dépendent également de sysèmes informatiques, pour la surveillance incendie, la surveillance périmétrique… tous ces systèmes apportent au monde maritime une fiabilité et une efficacité remarquables, mais introduisent de nouvelles vulnérabilité et donc de nouveaux risques. L’exploitation à des fin malicieuses, la mauvaise utilisation ou la simple panne de ces systèmes informatiques “cyber-physiques” peut même causer des blessures ou des décès, impact l’environnement et interrompre des activités essentielles pour le pays.

Parmi les points soulignés par la circulaire, on note l’entraînement du personnel. L’entité responsable doit donc indiquer comment elle inclut la cybersécurité dans l’entraînement du personnel, les politiques, et les procédures. Des exercices (voir CFR 33 105.220 33 et 106.225) doivent être prévus pour évaluer les vulnérabilités cyber du FSP, par exemple en utilisant des scénarios mélangeant cybersécurité et sécurité physique.

Parmi les autres points intéressants, j’ai noté :

  • la description obligatoire des procédures de mise à jour des systèmes et les tests de non-régression ;
  • les mesures de sécurité pour les systèmes de contrôle d’accès (voir CFR 33 105.255 33 et CFR 106.260) ;
  • une partie plus défensive, liée à la détection antivirale et à la détection d’intrusion temps-réel, le suivi de la journalisation des hôtes et des serveurs, la segmentation des réseaux entre l’IT et l’OT, les sauvegardes et la cartographie.

Les États-Unis se plaignent auprès de l’Organisation Maritime Internationale de l’explosion du nombre de perturbations des signaux de positionnement par satellite.

Je vous en ai parlé à plusieurs reprises : les signaux GPS (et GNSS au sens large) sont essentiels au fonctionnement quotidien en sécurité du monde maritime. J’ai évoqué avec vous les risques liés au leurrage ou brouillage de ces signaux, les risques particuliers liés aux véhicules maritimes autonomes, ainsi que de quelques exemples, notamment dans le Golfe Persique.

Le 10 mars 2020, les États-Unis ont fait connaître auprès du Maritime Safety Commitee de l’Organisation Maritime Internationale (OMI/IMO) leurs préoccupations sur la multiplication des perturbation des signaux GPS et GNSS. Le document demande à l’OMI et statuer de manière urgente sur les cas de brouillage et de leurrage qui met en danger la sécurité des navires et des marins en mer. Après avoir rappelé les cas intentionnels connus en mer Noire et en Méditerranée orientale de 2016 à 2018 (suivez mon regard…) ayant impacté la navigation en eaux internationales et dans des zones de fort transit maritime, le document souligne le caractère presque systématique de ces cas de leurrage/brouillage. Il s’appuie pour cela sur des recherches ayant montré que, sur une année, chaque transit d’un cargo entre l’Europe et l’Asie du Sud-est permettait d’identifier la survenue d’au-moins un cas d’interférence GNSS.

Ces brouillages intentionnels contreviennent aux conventions internationales, notamment l’International Telecommunication Union Radio Regulation 19.2, qui stipule que toute transmission dont la source est fausse ou trompeuse sont interdites.

En réponse, les États-Unis demandent à l’OMI d’émettre une circulaire :

  • rappelant aux états membres de l’OMI de ne pas commettre ce type d’opération, sauf quand cela est nécessaire pour des raisons de sécurité,
  • demandant aux états membres de prendre les actions nécessaire dans la prévention de ces interférences sur les satellites GNSS et de prévenir les marins des périodes et zones impactées par ces interférences.

Bon, en plus d’une circulaire, on espère surtout que les moyens de prévention (par exemple mais pas uniquement les antennes CRPA..), de détection et de résilience deviendront obligatoires à bord des navires.

Les menaces cyber dans le secteur maritime : a-t-on déjà envisagé tous les scénarios ?

L’assureur maritime bordelais Adam Assurances publie une étude (ici au format blog et au format PDF) sur les risques cyber liés au monde maritime.

Après avoir rappelé la transformation numérique du secteur et la dépendance sous-jacente, l’assureur revient sur quelques incidents cyber ayant touché le secteur (MSC, Cosco, Maersk…).

En reprenant les points saillants de l’étude CyRim (voir cet article de novembre 2019 où nous en parlions), l’étude se base par la suite sur le scénario Shen Attack du rapport, qui s’applique au monde maritime en évaluant à 15 le nombre de ports touchés dans la projection d’une cyberattaque majeure touchant le secteur maritime en Asie. Après avoir rappelé les impacts financiers pour les différents secteurs d’activité, l’assureur conclut en suggérant qu’il est probablement indispensable d’inclure les risques cyber dans les polices d’assurance “tous risques” applicables au monde maritime.

La cyberattaque sur MSC confirmée par l’armateur.

Nous en parlions dans un récent article : l’armateur MSC a été victime d’une cyberattaque, il y a une semaine, qui a impacté le fonctionnement de ses systèmes nominaux de réservation via Internet pendant quatre jours.

Dans un communiqué récent, l’armateur confirme la piste cyber, qui a concerné un certain nombre de serveurs situés à Genève : “nous avons déterminé qu’il s’agit d’une attaque virale exploitant une vulnérabilité ciblée”.

Il est intéressant de noter que l’armateur a partagé les informations sur cette attaque avec ses partenaires, afin que limiter les risques d’une nouvelle attaque.

MSC précise “nous sommes très conscients des risques permanents liés à la cybersécurité dans le monde du transport maritime et nous mettons en œuvre tous les protocoles de sécurité nécessaires dans nos communications et transactions commerciales. En complément de ces protocoles spécifiques, nous disposons de mesures et processus de sécurité confidentiels, comme les entraînements de cybersécurité réguliers auprès de nos employés à terre et en mer.”

Pour le fonctionnement global de MSC, l’armateur considère les impacts comme limités, car il a pu mettre en œuvre des mesures de continuité d’activité.

Mastère spécialisé “Cybersécurité des systèmes maritimes et portuaires” : les inscriptions sont toujours ouvertes !

Je vous en parlais dans un article précédent : un Mastère Spécialisé “Cybersécurité des systèmes maritimes et portuaires” ouvre ses portes à Brest en septembre 2020. La formation, labellisée par le Pôle Mer Bretagne Atlantique et par la Conférence des grandes écoles.

L’objectif de cette formation, unique en Europe, est de répondre aux attentes du secteur maritime dans le domaine de la cybersécurité. Dans une étude, près des 2/3 d’entre eux regrettaient l’absence de formations experte dans ce domaine. La formation, qui associe IMT Atlantique, l’École navale, ENSTA Bretagne et l’ENSM proposera plus de 500 heures de formation sur l’ensemble du spectre de la cybersécurité : technique, organisationnelle et mises en situation.

En ces temps de confinement, les inscriptions sont toujours ouvertes et ce, jusqu’à la mi-juin. La plaquette de présentation de la formation est téléchargeable ici et le lien vers les inscriptions est .

Enfin, sachez que, jusqu’au 15 juin 2020, la Marine nationale propose un système de bourses pour contribuer au financement de la formation et permettre ainsi le recrutement d’officiers sous contrat spécialisés en cybersécurité. Plus d’informations ici : https://www.etremarin.fr/rejoignez-l-equipage/offres-d-emploi/bourses-cyber-marine-nationale-hf .