L’armateur MSC victime d’une probable cyberattaque.

D’après Le Marin et d’autres sites Internet, l’armateur MSC (Mediterranean Shipping Company), numéro 2 du trafic de conteneurs par voie maritime aurait été victime d’une cyberattaque, le privant de son système de réservation électronique appelé “MyMSC”. Cette attaque tombe au plus mal, en parallèle de la pandémie causée par le COVID 19.

Les services de courrier électroniques semblent toujours fonctionnels, mais la société a encore donné peu d’informations, hormis le fait que cela soit probablement lié à une panne réseau dans l’un des datacenters de la société.

We are sorry to inform you that https://t.co/gg5flboFcj and myMSC are currently not available as we’ve experienced a network outage in one of our data centers. We are working on fixing the issue.— MSC Cargo (@MSCCargo) April 10, 2020

Twitter/@MSCCargo

Après plusieurs heures d’enquête, l’armateur a confirmé ce matin que l’évènement était lié à leur siège social à Genève uniquement. A titre de mesures préventives, leurs serveurs suisses ont donc été éteints et une équipe d’experts est au travail pour permettre le retour à la normale.

UPDATE on network outage issue affecting http://msc.com and myMSC.   After several hours of investigations, we can now confirm that the issue is related to our Headquarters in Geneva only.

Twitter/@MSCCargo

Certification cyber pour l’ECDIS made in Wärtsilä

Le groupe technologique finlandais Wärtsilä a obtenu les certifications cyber de DNL-GV et de l’International Electrotechnical Commission (IEC) pour sa solution appelée Translink, l’ECDIS connecté proposé par le groupe qui regroupe, en complément des matériels et logiciels ECDIS traditionnels, une élongation réseau chiffrée vers la terre permettant notamment d’optimiser le routage et les échanges avec l’armateur.

La certification DNV GL a fait l’objet d’une récente mise à jour (mars 2020) que vous retrouverez ici. Quand à la certification IEC, il s’agit de la “classique” IEC61162-460, dont vous pouvez trouver un extrait ici.

Publication d’un guide de cyber-sécurité par la Digital Container Shipping Association (DCSA)

L’association Digital Container Shipping Association (DCSA), qui regroupe des membres tels que MSC, Maersk, CMA-CGM, Hapag-Lloyd ou encore Evergreen a publié un guide et des modèles pour préparer les armateurs et les navires du monde du transport maritime à se mettre en conformité avec la réglementation de l’Organisation Maritime Internationale (OMI), et notamment la résolution MSC.428(98). Cette mesure, rappelons-le, a été adoptée en 2017 pour garantir que les risques cyber présents à bord des navires sont correctement pris en compte par les processus de gestion du risque existant à bord. Cette résolution est applicable dès janvier 2021.

Ces guides proposent des recommandations – essentiellement non techniques – en lien avec la gestion des risques liés à l’IT et l’OT à bord des navires.

La volonté de DCSA est de garder une cohérence avec les standards existants (ISO 27001, NIST 800-83), les guides s’appliquant au monde maritime (BIMCO…), tout en prenant en compte les risques spécifiques du transport de containers afin de permettre l’intégration de la prise en charge de ces risques dans les systèmes de gestion du risque existants (Safety Management Systems (SMS)).

Vous pouvez également regarder le webinaire diffusé par DCSA à cette occasion :

Bien que s’appliquant, par vocation au monde du transport de container, le guide peut également s’appliquer à d’autres cas d’usage du monde maritime.

Reporté – BlueDay “Cybersécurité et maritime” à Brest le 9 avril 2020.

En raison des nouvelles mesures de restriction de déplacement et de réunion imposées par l’épidémie de COVID-19, cette journée est reportée à une date ultérieure, qui sera communiquée dès que la situation sanitaire sera stabilisée. Merci à toutes et tous pour votre intérêt marqué pour cet évènement, dès son annonce.

Le Pôle mer Bretagne Atlantique propose un BlueDay sur le thème “cybersécurité et maritime”. Il se déroulera à Brest le 9 avril 2020.

Vous trouverez le programme complet ci-dessous :

Le ministère des transports du Royaume-Uni publie une mise à jour de son guide relatif à la sécurité portuaire

Après une première publication en 2016, le Ministère des transports a publié ces derniers jours une mise à jour de son guide de bonnes pratiques “Cyber Security for Ports and Ports Systems“.

Ce guide de 71 pages, qui pourrait se rapprocher du remarquable travail réalisé par l’ENISA fin novembre dernier, regroupe en quelques dizaines de pages les meilleures pratiques à appliquer pour assurer une meilleure maîtrise des risques cyber pour les systèmes portuaires.

Le guide est assez complet et couvre les sujets relatifs à l’analyse des risques, à la mise en œuvre d’une politique de sécurité, à la répartition des rôles cyber au sein d’un port ainsi qu’à la cyberprotection des systèmes industriels.

Enjoy your reading 😉

.

Nouvelle coupure de câbles sous-marins en zone Afrique.

D’après le journal Jeune Afrique, deux câbles de télécommunication sous-marins ont été coupés, à 300 km au large du Cameroun. Ces deux câbles, au doux nom de baptême de WACS et SAT3, desservent chacun une dizaine de pays du grand ouest africain, du Sénégal à l’Afrique du Sud.

Déjà victimes de coupures en 2007 et 2009, si ces câbles ne sont pas les seuls à desservir l’Afrique occidentale, leur coupure a cependant un impact majeur en termes de bande passante disponible pour les opérateurs télécom.

Les entreprises comme Orange Marine disposent de navires câbliers, comme le Léon Thévenin ou encore le Pierre de Fermat, aptes à assurer ce type de réparation complexe en grande profondeur. La durée d’intervention (déplacement du navire sur zone et réparation) varie généralement de 6 jours à 2 semaines.

Le Mastère Spécialisé “Cybersécurité des systèmes maritimes et portuaires” ouvre ses portes à Brest en septembre 2020.

On apprend sur le site de IMT Atlantique l’ouverture en septembre 2020 du Mastère Spécialisé (R) “Cybersécurité des systèmes maritimes et portuaires”. Cette formation a été labellisée par le Pôle Mer Bretagne Atlantique et par la Conférence des grandes écoles.

La création de cette formation unique en Europe avait été annoncée lors des Assises de la mer à Brest en novembre 2018. Elle associe IMT Atlantique, l’École navale, ENSTA Bretagne et l’ENSM dans une formation de plus de 500 heures qui a pour vocation de répondre à l’absence de formation adaptée aux particularités du monde maritime et portuaire en matière de cybersécurité.

La plaquette de présentation de la formation est téléchargeable ici, le lien vers les inscriptions est et le communiqué de presse commun ici !

Une bien belle initiative !

Le rançongiciel Ryuk entraîne plus de 30 heures d’interruption d’activité pour un acteur du monde maritime

Le site Internet des gardes-côtes américains (impliqués dans le cyberespace, comme évoqué dans cet article) nous l’apprend : un opérateur du monde maritime américain a été impacté par le rançongiciel “Ryuk”. Ce code malveillant n’est pas un inconnu, puisqu’il a fait se premières apparitions à l’été 2018 et a déjà touché de nombreuses sociétés, comme Eurofins à l’été 2019 ou Prosegur plus récemment. Comme le précise la société CheckPoint, ce n’est pas un code malveillant techniquement très avancé, mais il a la particularité de viser les grandes entreprises et organisations qui disposent de moyens financiers importants et qui préfèrent parfois payer une rançon (ce n’est pas bien, et ça ne fonctionne pas toujours bien, notamment dans le cas de Ryuk) plutôt que de perdre des jours d’activité. Il avait déjà rapporté 3 M€ à ses auteurs en janvier 2019 (source : Le Monde). En mars 2019, l’Agence nationale de sécurité des systèmes d’information (ANSSI) publiait un bulletin d’alerte et un bulletin d’actualité notamment sur ce code malveillant.

Dans le cas évoqué par les garde-côtes américains, l’incident a touché un opérateur travaillant dans le cadre du Maritime Transportation Security Act (la transcription dans la loi américaine du code ISPS). Si les investigations étaient toujours en cours à la date de rédaction du bulletin d’alerte des garde-côtes (le 16 décembre 2019), le code aurait infecté le réseau interne de cet opérateur par le biais d’une campagne de hameçonnage (phishing) par courrier électronique. Une fois le lien malicieux cliqué par un employé, le code malveillant aurait permis à la source de menace d’accéder à d’importantes ressources réseaux (fichiers…), puis le les chiffrer, empêchant l’accès à des fichiers critiques pour le fonctionnement de l’installation. Le code malveillant s’est ensuite propagé au cœur des systèmes de contrôle industriel de l’opérateur en charge du suivi et du transfert des cargaisons, chiffrant les données critiques indispensables aux opérations portuaires.

Les impacts sur l’installation ont été importants : perte complète de l’accès au réseau “IT” (dépassant mêmes les frontières physiques de l’opérateur), perte des systèmes de vidéosurveillance et de contrôle d’accès physique, perte des systèmes critiques de supervision et de contrôle des process industriels. Ces effets combinés ont poussé l’opérateur à arrêter totalement ses opérations pour plus de 30 heures, le temps de mener une investigation cyber.

Près d’un an et demi après les premières apparitions de ce rançongiciel, les dégâts sont donc importants. Les gardes-côtes rappelles qu’un certain nombre de mesure auraient pu prévenir l’attaque ou en limiter les impacts (on peut donc légitimement penser qu’elles étaient plus ou moins absentes) :

  • la présence d’un système de détection et de prévention des intrusions ;
  • l’existence d’antivirus à jour de leurs moteurs et signatures ;
  • une journalisation centralisée et supervisée ;
  • une segmentation réseau minimale entre IT (Information Technology) et OT (Operational Technology) ;
  • une cartographie à jour des réseaux IT/OT ;
  • des sauvegardes de tous les fichiers et logiciels critiques.