Les États-Unis créent une association à but non lucratif pour faciliter le partage d’information cyber dans le monde maritime.

En Février 2020, les États-Unis ont créé le Maritime Transportation System Information Sharing and Analysis Center (MTS-ISAC), dont le site Internet a été mis en ligne. Ce MTS-ISAC a été conçu par un groupe d’acteurs américains du monde maritime sous la forme d’une association à but non lucratif (501(c)(6), l’équivalent de notre association type Loi 1901), afin de promouvoir le partage d’information au sein de la communauté maritime.

Une prise de conscience qui mûrit…

Cette création est la suite logique d’une prise de conscience du secteur maritime (smartports, armateurs, opérateurs) face aux enjeux cyber et de leur besoin de pouvoir partager les informations de manière efficace et sécurisée. En effet, au sein de chaque organisation, les ressources humaines combinant une expertise cyber et maritime sont limitées : la solution du partage de l’information avec les acteurs publics et privés a donc été retenue comme étant la meilleure approche. L’objectif final étant d’identifier les menaces, de les détecter et de protéger au mieux les réseaux, les systèmes et le personnel face à ces menaces, des missions finalement très proches de celles généralement réalisées par un CERT (Computer Emergency Response Team).

L’ISAC, le point central de coordination cyber maritime en prévision de l’application des nouveaux règlements

Le MTS-ISAC a donc pour objectif d’être un point central de coordination entre les secteurs publics et privés afin de pouvoir rapidement partager des informations précises et récentes sur les menaces cyber entre ces acteurs de confiance. L’effort de partage et d’analyse de l’information se concentre tout autant sur les menaces relatives à l’Information Technology (IT) et l’Operational Technology (OT). Les services du MTS-ISAC assistent donc les opérateurs du monde maritime avec la compréhension et la prise en compte des risques cyber, dans la perspective des contraintes réglementaires qui approchent (circulaire IMO qui rentre en vigueur à partir du 1er janvier 2021, réglementation spécifique aux États-Unis comme la circulaire des Gardes-côtés américains Navigation and Vessel Inspection Circular (NVIC) 01-20, Guidelines for Addressing Cyber Risks at Maritime Transportation Security Act (MTSA) Regulated Facilities).

Des retours positifs…

Interrogé par Security Magazine, Scott Dickerson, le directeur exécutif du MTS-ISAC, explique “Alors que le secteur maritime voit sa dépendance aux nouvelles technologies augmenter et qu’il les intègre dans ses capacités opérationnelles, nous constatons la nécessité pour les parties prenantes de mettre en commun leurs ressources cyber pour gérer les risques associés de manière efficace. Les menaces cyber augmentant régulièrement, le partage efficace des informations entre les parties prenantes a démultiplié leurs capacités de prise en compte des risques. Bien que les circulaires de l’OMI et de l’USCG aident à fournir des orientations à l’industrie en termes de gestion des risques, nous pensons que les partenariats public-privé maritimes efficaces seront la pierre angulaire de la réussite de la gestion des risques cyber maritimes. La structure MTS-ISAC est utile pour tout acteur maritime qui possède et exploite une infrastructure critique, et permet de placer l’ensemble des acteurs sur un même niveau d’égalité et de protection en ce qui concerne les efforts de partage d’informations sur la cybersécurité. Le MTS-ISAC contribue à bâtir la communauté de la cybersécurité maritime, et nous pensons que les parties prenantes trouveront notre approche de la collaboration et du partage d’informations très représentative de l’environnement opérationnel actuel de la communauté maritime, tout en fournissant les indispensables mécanismes de protection des échanges d’informations

David Cordell, CIO du port de la Nouvelle-Orléans, précise : “En corrélant les informations de cybersécurité entre les principales parties prenantes de MTS, l’ISAC nous fournit à tous l’alerte rapide nécessaire pour protéger nos organisations contre les incidents. Notre participation au MTS-ISAC nous apporte une valeur que nous n’avons pas pu obtenir ailleurs.

Christy Coffey, vice-présidente des opérations de MTS-ISAC, est enthousiaste : “Le retour des acteurs sur la création du MTS-ISAC a été phénoménal. Le fort leadership du conseil d’administration et de notre équipe de direction, le partage rapide des activités suspectes et malveillantes ciblant les organisations et des partenariats de qualité ont conduit à un lancement extraordinairement réussi“.

L’organisation associative…

Les premiers membres du conseil d’administration de l’ISAC sont:

  • Alabama State Port Authority,
  • Greater Lafourche Port Commission (Port Fourchon),
  • Jacksonville Port Authority (JAXPORT),
  • le port de la Nouvelle-Orléans,
  • le port de San Diego,
  • le port de Vancouver
  • six autres parties prenantes des infrastructures maritimes critiques.

Sur leur site, le MTS-ISAC précise : “Notre conseil d’administration est composé de parties prenantes de l’ensemble du secteur maritime. Il s’agit de leur ISAC, et ils ont une capacité de prise de décision directe sur la façon dont les secteurs privé et public partagent les informations pour améliorer la cyber-résilience du secteur.” Les quinze sièges du conseil d’administration avec droit de vote comprennent les ports, les opérateurs de terminaux, les armateurs, l’industrie des croisières, le secteur de l’énergie et des représentants du gouvernement.

Les missions

Les services du MTS-ISAC sont notamment :

  • le partage d’information,
  • la sensibilisation,
  • l’entraînement,
  • la surveillance des réseaux,
  • la threat intelligence,
  • les tests d’intrusions,
  • la recherche de vulnérabilités,
  • la collaboration public/privé,
  • la gestion du risque…

Concernant l’entraînement, l’ISAC apporte un soutien de bout en bout pour la conception et la réalisation d’exercices “sur table” et “fonctionnels”, pour vérifier que les différents acteurs sont bien coordonnés et prêts à répondre à un incident cyber. L’ISAC est également en charge de la rédaction des rapports suite aux exercices, partageant le retour d’expérience avec l’ensemble des acteurs.

Des connexions avec les autres communautés

​L’ISAC fait aussi bénéficier ses membres d’une communauté plus large d’acteurs exploitant des informations critiques, comme le secteur de l’aviation, du commerce… et assure également les connexions entre les demandeurs et des experts du secteur.

COVID-19 : 400 % d’augmentation des tentatives de cyberattaques dans le monde maritime

Le site offshore-energy.biz rapporte que le nombre de tentatives de cyberattaques dans le monde maritime aurait augmenté de 400 % depuis le février 2020. Ce chiffre s’expliquerait notamment par le recours massif aux outils de télétravail pendant la pandémie du COVID-19.

Ce chiffre a été cité par Naval Dome, une entreprise israélienne de cybersécurité dont nous avions déjà parlé sur ce site, notamment ici. Dans ces 400% d’augmentation, Naval Dome voit notamment une augmentation du nombre de codes malveillants en tous genres, dont les rançongiciels, mais aussi des tentatives d’hameçonnage/phishing, le tout dans un contexte où les règles de distanciation sociales, les restrictions de déplacement et les difficultés économiques limitent les capacités de protection des entreprises du secteur.

Le CEO de Naval Dome, Itai Sela, précise notamment “Les restrictions liées au COVID-19, et notamment la fermeture des frontières, ont contraint les équipementiers, techniciens et vendeurs à connecter des équipements isolés à Internet pour en assurer la maintenance.” Les techniciens ne peuvent ainsi pas assurer la maintenance des navires ou plate-formes pour mettre à jour et assurer la maintenance de systèmes OT (Operational Technology) critiques, les rendant ainsi plus vulnérables à des attaques. “En raison des coupes dans les budgets et de l’absence de maintenance sur site, nous voyons de plus en plus de navires et de plate-formes offshore connecter leurs systèmes OT aux réseaux à terre pour en assurer des diagnostics à distance et réaliser des mises à jour.“, cette connexion signifiant souvent la levée du cloisonnement entre systèmes IT et OT. “L’augmentation du nombre d’opérateurs de maintenance travaillant à distance, à partir de leurs réseaux et ordinateurs personnels, parfois mal protégés, s’ajoute à ce problème.” Sela ajoute que, sur les trois premiers mois de 2020, les attaques visant les télé-travailleurs ont été multipliées par 10, McAfee voyant même une augmentation de 630 % du nombre de tentatives dans le cloud entre Janvier et Avril 2020.

La récession économique et la baisse du prix du brut ont des effets importants sur les compagnies pétrolières qui diminuent en conséquence les investissement nécessaires en cyber-sécurité.

Webinaire sur le Mastère Spécialisé “Cybersécurité des systèmes maritimes et portuaires”.

Vendredi 12 juin aura lieu un webinaire de présentation du Mastère Spécialisé “Cybersécurité des systèmes maritimes et portuaires”. Une occasion unique d’échanger sur cette formation unique en Europe : recrutement, débouchés, contenu de la formation… on vous dira tout !

Pour les inscriptions, c’est ici : https://www.imt-atlantique.fr/fr/l-ecole/evenements/webinaire-mastere-specialise-cybersecurite-des-systemes-maritimes-et-portuaires

L’Estonie reçoit 2,5 M€ de l’Union européenne pour créer un centre cyber maritime

Le centre d’investigation numérique et de cybersécurité de l’Université de technologie de Tallinn (TalTech) et l’École maritime estonienne ont obtenu un financement de l’Union européenne de presque 2,5 M€ pour la création d’un centre de cybersécurité maritime.

Dan Heering, l’un des chefs de projets à l’École maritime estonienne précise que “l’industrie maritime n’a jamais pris les questions de cybersécurité au sérieux, et il y a encore beaucoup de travail à réaliser dans ce domaine. Comme il y a peu d’information publiquement disponibles sur les cyberattaques ayant réussi et les incidents concernant les navires, les armateurs ne prennent pas les menaces au sérieux.”

On rappellera qu’une liste publique d’évènements existe. Elle est bien sûr incomplète, par définition. Et elle est ici.

Il ajoute que, lors de son stage de master 2, il avait surpris de constater que la plupart des armateurs étaient indifférents à ce problème : “C’est lié à un manque de réglementation qui obligerait les armateurs à prendre en compte et réduire les risques cyber et entraîner leurs équipages. Cependant, dès janvier l’année prochaine, les armateurs devront prendre en compte ces risques cyber dans leur documentation de gestion des risques”.

L’Université ajoute sur son site Internet que ce manque d’intérêt actuel par les armateurs peut également s’expliquer par un manque de sensibilisation à la menace et aux dommages potentiels qu’une cyberattaque réussie pourrait entraîner. Les armateurs considèrent également la gestion des risques cyber comme une dépense plus qu’un investissement. Cependant, d’après Dan Heering, plusieurs incidents ont été rendus publics lors des dix dernières années. En 2019, un navire en route pour New York a ainsi dû prendre contact avec les gardes-côtes américains suite à une infection virale à bord. Cette infection avait atteint les systèmes du navire de manière significative, réduisant sa capacité à manœuvrer en toute sécurité. En 2017, l’expert en cyber-criminologie Campbell Murray, démontrait qu’il était possible de prendre contrôle sur un navire utilisant des technologies modernes à l’aide d’un ordinateur portable. 30 minutes ont été suffisantes au professionnel pour s’introduire sur le réseau Wi-Fi du navire et accéder à des courriers électronique, les effacer et même les éditer. Campbell Murray a même réussi à obtenir un accès aux données financières du propriétaire du navire, mais aussi aux caméras de sécurité, au lien satellite et aux systèmes de navigation. Techniquement, il lui était ainsi possible de faire appareiller le navire.

D’après Olaf Maennel, professeur en cybersécurité au centre d’investigation numérique et de cybersécurité, les responsables des armateurs ne sont toujours pas conscients des nuages qui s’amoncellent autour de leur activité. Les navires dépendent de plus en plus de la technologie et d’Internet, avec les cartes électroniques et les manifestes mis à jour de manière électronique, et l’utilisation de plus en plus large des communications par satellite. “Cela signifie que les ordinateurs du navire sont vulnérables et que les dommages potentiels pour les grandes compagnies pourrait se chiffrer en centaines de millions d’euros”, précise-t-il.

Il estime également que le nombre de machines autonomes connectées les unes aux autres va augmenter de manière très significative dans un futur proche. Il est donc nécessaire d’établir les protocoles de communication résistants aux cyberattaques et d’augmenter le niveau de sensibilisation et de préparation des équipages aux incidents cyber. Le futur centre de cybersécurité maritime a ainsi pour objectif de développer des programmes de formation doctorale et de niveau master, d’organiser des conférences et des évènements. Ainsi, les étudiants se préparant à une carrière embarquée au sein de l’École maritime estonienne recevront, pour la première fois l’année prochaine, une formation dédiée à la cybersécurité et à la gestion des risques.

Pour la petite histoire, à l’automne 2019, les deux organismes ont soumis une demande de financement auprès de l’Union européenne dans le cadre du programme H2020 “ERA Chairs”. L’objectif de ce programme est d’aider les universités et les autres organismes de recherche des régions de “convergence” et de la “périphérie” de l’Union européenne à améliorer leur compétitivité pour l’obtention de financements dans la recherche.

On se rappelle que l’Estonie a été victime d’une vague importante de cyberattaques en 2007 et a, par la suite, beaucoup investi sur le sujet. Conséquences directes : la rédaction du fameux “Manuel de Tallinn“, véritable guide sur l’application de la loi internationale dans le cyberespace, et implantation en Estonie du centre d’excellence de l’OTAN sur les questions de cyberdéfense, le (réputé) CCDCOE (Cooperative Cyber Defence Centre of Excellence).

L’agence spatiale européenne finance la recherche sur les risques liés aux systèmes de positionnement par satellite.

Nous avons déjà parlé à plusieurs reprises : les risques liés aux systèmes de positionnement et de suivi des navires par satellites sont nombreux. C’est dans ce cadre que l’Agence spatiale européenne (European Space Agency, ESA) a annoncé récemment financer une étude de faisabilité sur le développement d’une solution pour la sécurisation de ces systèmes.

L’ESA a passé un contrat avec la société suisse CYSEC SA pour identifier les solutions qui permettraient de sécuriser les services de suivi et de positionnement par satellite pour le monde maritime. Les risques, qui passent essentiellement par le leurrage et le brouillage de systèmes de positionnement par satellite (GNSS), comme nous l’avions vu ici. C’est parfois moins connu, mais les données AIS (Automatic Identification System) peuvent également transiter par satellite. On parle alors de S-AIS ou SAT-AIS. Il suffit de regarder, par exemple sur Marine Traffic, le nombre de positions AIS reçues par satellite pour en être convaincu.

Les données issues de l’AIS et les signaux GNSS reçus par satellite sont indispensables pour permettre aux navires d’aujourd’hui et de demain de naviguer en toute sécurité, notamment dans les détroits et les zones dangereuses. Elles le sont également pour les armateurs, les assureurs et les autorités à terre qui les exploitent à des fins de suivi d’activité et de détection d’anomalie et de secours en mer. Pour autant, le nombre d’incidents de brouillage et de leurrage GNSS augmente fortement au cours des années, ce constat ayant récemment poussé les Etats-Unis à le porter à l’attention de l’Organisation Maritime Internationale (OMI).

L’objectif de l’étude est donc de travailler à la fois sur la sécurité GNSS et celle du lien S-AIS. Je referai un article sur le sujet si les compte-rendus de l’étude sont publics. Nul doute qu’on y verra (espérons !) de la cryptographie sous toutes ses formes, de la mesure de qualité des capteurs et de la détection d’anomalies !

Cybercriminalité maritime, de la mer à l’Internet, focus sur la nouvelle piraterie

Je vous invite à lire l’article “Cybercriminalité maritime, de la mer à l’Internet, focus sur la nouvelle piraterie”, paru sur le site BLL Consulting. Dans cette article, l’auteur dresse un portrait complet de la cybercriminalité dans le monde maritime sous ses différents aspects, en dressant un parallèle avec les “pirates” qu’a pu connaître ou connaît encore le secteur maritime.

“Le Cyber, domaine particulier de la pensée navale”, par N. Mazzucchi

Le Centre d’études supérieures de la Marine nationale (CESM) propose dans sa revue “Études marines – Stratégie” n°17 (page 82) un article de Nicolas Mazzucchi, docteur et chargé de recherches à la Fondation pour la recherche stratégique (FRS) intitulé “Le cyber, domaine particulier de la pensée navale”.

Dans cet article, l’auteur rappelle que, si la prise en compte du sujet par la communauté maritime a été relativement tardive, la question de la cybersécurité des navires et des ports est de plus en plus fréquemment traitée lors de différentes conférences, soulignant l’importance de ce sujet stratégique face à la numérisation progressive du secteur, que l’on parle de navires civils ou militaires.

Au niveau militaire, cette question est, d’après l’auteur, renforcée par le besoin important de capacités de combat en réseau. Il est vrai que, même si on en parlait déjà dans les années 90 (C3, C4), l’augmentation des débits satellite et de la connectivité a permis de répondre à un véritable enjeu de communication, que ce soit au sein d’un groupe constitué (comme le groupe aéronaval) que vers les flottes alliées ou les état-majors à terre, offrant de nouvelles capacités militaires… tout en ajoutant de nouvelles menaces.

On associe donc le cyber, au sens large, à un nouveau domaine de lutte transverse qui irrigue le milieu maritime et ses autres milieux (physiques, quant à eux : sous la mer, sur la mer, au-dessus de la mer, espace), mais aussi à un semble de technologies permettant une mutation assez inédite du secteur, y compris vers le futur et l’arrivée des navires autonomes.

L’auteur aborde ensuite sur le navire sous l’angle d’un “système d’information complexe multi-capteurs, sorte d’usine connectée sur mer”, où se rejoignent systèmes de communication, systèmes de combat, capteurs et actionneurs, la composante numérique apportant également de nouveaux aspects intéressants, comme la maintenance prédictive, facilitée par l’augmentation du nombre de données disponibles, y compris sur des installations cyber-physiques.

Une projection dans le futur est ensuite réalisée, avec l’arrivée des nouveaux capteurs et actionneurs déportés, apportés par les nouvelles générations de véhicules autonomes de surface, sous-marins, ou aériens, qui seront un atout capacitaire indéniable dans la projection de force et le renseignement.

Enfin, l’auteur insiste sur les risques liés à la multiplication de nouveaux protocoles et systèmes, qui peuvent venir contrecarrer ces nouvelles capacités, à l’obsolescence “programmée” et au maintien en conditions de sécurité complexes et sur la possibilité d’une fusion des domaines cyber et guerre électronique au niveau tactique naval.

Lancement d’un produit d’assurance spécifique aux risques cyber maritimes

Dans un communiqué de presse, l’assureur Willis Towers Watson annonce le lancement d’un nouveau produit d’assurance spécifiquement dédiés aux risques de cybersécurité dans le monde maritime. L’objectif de ce produit est de répondre à l’imparfaite couverture du risque cyber dans la plupart des contrats d’assurance, et de faire face à la multiplication des évènements cyber dans le monde maritime.

L’assurance semble couvre plusieurs cas, notamment : gestion de crise en cas de rançongiciels, vol de données, incidents relatifs à des tiers, perte de connectivité suite à des attaques sur le lien satellite, cas liés RGPD et NIS.

Une petite vidéo proposée par l’assureur (je n’ai pas d’actions) :

Les gardes-côtes américains de nouveau à la manœuvre sur les sujets de cybersécurité maritime

Les gardes-côtes américains (US Coast Guard (USCG)) sont régulièrement à la manœuvre sur les sujets liés à la cybersécurité maritime. On les avait vus récemment intervenir sur un navire objet d’un incident cyber ou encore évoquer l’impact du rançongiciel Ryuk sur un acteur maritime US. Ils évoquent par ailleurs fréquemment, dans leurs bulletins de sécurité, les sujets relatives à la menace cyber dans le contexte maritime. Dans une nouvelle circulaire, consultable ici, les gardes-côtes américains proposent de nouvelles lignes directrices pour lutter contre les menaces cyber pour les installations et unités sous leur responsabilité.

Cette circulaire, appelée Navigation and Vessel Inspection Circular (NVIC) 01-20, “Guidelines for addressing cyber risks at Maritime Transportation Security Act (MTSA) regulated facilities“, passe cependant à la vitesse supérieure, dans la perspective de mise en application des directives de l’OMI à compter du 1er janvier 2021, ne serait-ce que par son titre “Inspection Circular“, qui prépare ls esprits au caractère prochainement obligatoire de certaines recommandations. Les entités concernées doivent notamment évaluer et documenter les vulnérabilités de leurs systèmes d’information dans un document appelé Facility Security Assessment (FSA) et les traiter dans un document listant un plan d’actions, le Facility Security Plan (FSP).

Les USCG précisent que ces lignes directrices ne sont là que pour apporter plus de clarté par rapport à la réglementation existante, qu’elles ne la change pas, et qu’elles n’imposent pas non plus de nouvelles exigences. Libre aux responsables des entités et aux opérateurs de mettre en œuvre des directives plus exigeantes (on pense à celles du NIST…) à partir du moment où elles répondent aux exigences réglementaires. L’USCG précise d’ailleurs qu’ils encouragent l’application des standards du NIST, notamment le Framework for Improving Critical Infrastructure Cybersecurity et la publication NIST 800-82.

En effet, les exigences MSTA existences sont déjà assez nombreuses et rappelées dans ce document (notamment les parties 105 et 106 du CFR 33), qui donne des informations d’ordre général relatives à la cybersécurité et permet à l’USCG de disposer de l’autorité pour assurer les contrôles de conformité et approuver les FSA et les FSP. L’identification, l’évaluation et le traitement des risques cyber reste cependant bien de la responsabilité des opérateurs et directeurs d’entités.

Les USCG rappellent la dépendance croissante de l’industrie maritime aux systèmes d’information. Que ce soit notemment pour les communications, l’ingénierie, le contrôle de la cargaison ou des paramètres environnementaux, le contrôle d’accès ou encore la vérification de la cargaison et des passagers. La sécurité et la sûreté des installations dépendent également de sysèmes informatiques, pour la surveillance incendie, la surveillance périmétrique… tous ces systèmes apportent au monde maritime une fiabilité et une efficacité remarquables, mais introduisent de nouvelles vulnérabilité et donc de nouveaux risques. L’exploitation à des fin malicieuses, la mauvaise utilisation ou la simple panne de ces systèmes informatiques “cyber-physiques” peut même causer des blessures ou des décès, impact l’environnement et interrompre des activités essentielles pour le pays.

Parmi les points soulignés par la circulaire, on note l’entraînement du personnel. L’entité responsable doit donc indiquer comment elle inclut la cybersécurité dans l’entraînement du personnel, les politiques, et les procédures. Des exercices (voir CFR 33 105.220 33 et 106.225) doivent être prévus pour évaluer les vulnérabilités cyber du FSP, par exemple en utilisant des scénarios mélangeant cybersécurité et sécurité physique.

Parmi les autres points intéressants, j’ai noté :

  • la description obligatoire des procédures de mise à jour des systèmes et les tests de non-régression ;
  • les mesures de sécurité pour les systèmes de contrôle d’accès (voir CFR 33 105.255 33 et CFR 106.260) ;
  • une partie plus défensive, liée à la détection antivirale et à la détection d’intrusion temps-réel, le suivi de la journalisation des hôtes et des serveurs, la segmentation des réseaux entre l’IT et l’OT, les sauvegardes et la cartographie.