Je vous soumets la lecture de ce court article qui nous informe de ce partenariat conclu entre KPMG, le cabinet d’audit et de conseil, et le fabricant norvégien Kongsberg, qui conçoit des installations au profit des industries pétrolières, gazières et du monde maritime. Pas beaucoup plus de détails, mais là aussi il est intéressant de voir que les fabricants s’intéressent enfin à la cybersécurité de leurs systèmes et ont recours à des cabinets d’audits et de conseil externes. Espérons qu’ils y trouveront toute ou partie de la solution qui – on le rappelle – n’est pas simple !
Windows XP (et ME) encore en service dans la Royal Navy.
Je vous conseille la lecture de cet article de The Register sur les difficultés de mise à jour à bord des navires de la Royal Navy (et des 129 commentaires associés…).
On y apprend que la Royal Navy emploie toujours des versions obsolètes de Windows, à savoir Windows ME et XP. Pour le savoir, rien de plus simple, le journaliste… a posé la question lors d’un embarquement à bord du HMS Enterprise…
Les membres de l’équipage ont confirmé que, le navire ayant été construit en 2003, la plupart des systèmes d’informations datent donc de cette époque. Bon, le navire est un navire d’expérimentation. Le voici d’ailleurs :
Ceci explique, selon l’article, l’emploi massif de technologies et d’outils « Commercial Off The Shelf » (COTS, sur étagère) plutôt que des systèmes militaires. Côté sécurité, on retrouve le sentiment de « sécurité » apporté par le traditionnel airgap. Si les ports USB sont annoncés comme verrouillés, on y apprend que le Wi-Fi est présent à bord pour les appareils à usage privatif.
21 novembre 2018 – Paris – Petit-déjeuner-débat “la cybersécurité dans le milieu maritime”
Le 21 novembre prochain, le Cybercercle organise à Paris un petit-déjeuner-débat sur le sujet le la cybersécurité dans le milieu maritime.En présence de plusieurs députés et acteurs du domaine (GICAN, Comité France maritime).
Espérons que cette occasion sera une nouvelle opportunité de mobiliser les acteurs sur les sujets techniques, organisationnels, réglementaires voire politiques sur ce sujet passionnant et complexe.
Plus d’informations ici : https://cybercercle.com/rendez-vous/petit-dejeuner-debat-2/
29 novembre 2018 : Colloque : la Normandie : un territoire à la pointe de la cybersécurité
Le 29 novembre 2018, l’EM Normandie organise un colloque sur la cybersécurité. Parmi les thèmes abordés, notons entres autre des sujets intéressant la marétique.
Le matin, parmi les conférences.
- 11h45 – 12h30 : Un cas d’organisation atypique : le navire, Rémy Février, Col. (r) de gendarmerie, professeur de sciences de gestion, CNAM
L’après-midi, un atelier intéressant de 14 h à 16 h :
Cybersécurité portuaire et logistique : vers une culture commune des risques
- Jérôme Besancenot, DSI du GPMH
- Nov@log
- Stéphane Meynet, Président, CERTitude Numérique, Senior Advisor du CYBERCERCLE
- Thomas de Menthière, Transportation Development Manager, Airbus Cyberdéfense
- Olivier Lasmoles, professeur associé de droit, EM Normandi
Naval Group détaille les enjeux cyber pour le groupe.
Interviewé par Belgium Naval & Robotics qui, on le rappelle, est le tout récent consortium regroupant les activités et ambitions de NG et ECA en Belgique, Patrick Radja (VP CTO Cybersecurity) NG explique les enjeux de cybersécurité navale sur les aspects groupe – sous-traitants – RH.
Le futur de la marétique
Se dire que la marétique présente des vulnérabilités, j’espère qu’à la lecture de ces différents articles, vous l’aurez perçu. La vraie difficulté, c’est de se dire que l’avenir de la marétique est en train de se constituer alors même qu’une bonne partie des vulnérabilités n’est pas traitée. C’est un peu comme si vous ajoutiez des étages à votre maison alors que le béton du rez-de-chaussée n’est pas sec. Bref, c’est dangereux. Les navires construits aujourd’hui sont encore insuffisamment sécurisés, et ils sont conçus pour durer jusqu’en 2060 !
Je vous donne ci-après quelques exemples du futur de la marétique, notamment au travers de vidéos (c’est plus parlant) de la firme Rolls-Royce (je n’ai pas d’actions… ni de véhicule de la marque), qui est est en avance sur le sujet des navires autonomes. Vous y découvrirez la vision du fabricant sur l’avenir des navires. De la marétique du futur, vous allez en avoir plein les yeux !
L’industrie maritime US mal préparée face à la menace cyber
A lire aujourd’hui, une étude publiée par Jones Walker LLP sur la cybersécurité maritime (aux USA) .
Dans cette étude, réalisée auprès de 126 dirigeants américains indique que 38% d’entre eux ont confirmé avoir été l’objet d’intrusions réussies (10%) ou de tentatives d’intrusions (28%). Le reste ne l’ont peut-être pas détecté me direz-vous, ce qui n’est pas faux.
69% d’entre eux ont confiance dans le niveau de préparation du secteur maritime, mais en même temps seuls 36% pensent que leur propre entreprise est correctement préparée. La partie inquiétante vient bien entendu des petites et moyennes entreprises du secteur, qui à 94% s’estiment mal préparées.
Après, bien entendu, tout dépend de ce qu’on entend par « préparation ». A priori l’assurance face aux menaces cyber semble faire un tabac aux US.
Autres chiffres que j’ai pu noter :
- 99% des participants estiment avoir inventorié l’ensemble de leurs applications (are you sure?)
- 45% déclarent avoir un réseau WiFi chiffré
- 17% seulement ont des réseaux de communication résilients
Du côté du facteur humain, 50% des petites et moyennes entreprises du secteur n’exigent pas la sensibilisation / entraînement de leur personnel, alors que ce chiffre est de 97% pour les grandes entreprises.
Les entreprises consacrent 1 à 2% de leur budget au sujet de la cybersécurité, et ce chiffre est prévu d’augmenter pour 92% des petites entreprises et 59% des grandes.
Au final, les entreprises recherchent avant tout des solutions ayant le meilleur rapport sur investissement, et on les comprend.
Un article en anglais : https://www.hstoday.us/subject-matter-areas/maritime-security/survey-finds-u-s-maritime-industry-unprepared-for-cyber-attacks/
Le lien complet du sondage : https://sites-communications.joneswalker.com/38/990/landing-pages/2018-maritime-cybersecurity-survey-landing-page-only-(v1).asp
Airbus présente sa vision de la cyber-marétique à Euronaval
Cette vidéo, twittée par Airbus Defence à l’occasion d’Euronaval 2018, montre les ambitions (pas complètement attendues) d’un acteur avant tout aérien comme Airbus dans le domaine maritime. Airbus est un acteur qui se développe sur les sujets de cyberdéfense. Pas grand’chose cependant de maritime dans la vidéo, hélas, qui ne reprend que les grands classiques de cyber-défense sans vraiment les adapter au monde maritime. Peut-être ont-ils été plus ambitieux sur leur stand à Euronaval ? Si quelqu’un a l’info ?
Références
Je partage avec vous quelques références intéressantes. Non pas MES références, mais des pointeurs vers quelques sites et documents intéressants sur le sujet. C’est un travail de longue haleine, donc il manque encore sûrement plein de choses.
Thème « réglementation et bonnes pratiques » :
- Le site de l’Organisation Maritime Internationale sur les questions de cybersécurité maritime : vous y trouverez notamment ses directives sur la gestion des risques cyber maritimes et le mini-site de la Représentation française auprès de l’OMI sur les risques cyber maritimes
- Les directives sur le sujet publiées par BIMCO, l’Association internationale des lignes de croisière (CLIA), la Chambre internationale de la marine marchande (ICS), l’Association internationale des transporteurs de marchandises solides (INTERCARGO) et l’Association internationale des armateurs pétroliers indépendants (INTERTANKO) (v4)
- Le guide des bonnes pratiques de sécurité informatique à bord des navires, par l’Agence Nationale de Sécurité des Systèmes d’Information
- Le guide et les modèles de la mise en œuvre de la cybersécurité à bord des navires de la Digital Container Shipping Association (DCSA), paru en avril 2020
- Les guides « Renforcer la protection des systèmes industriels des navires« , publié en janvier 2017 et « Cybersécurité – évaluer et protéger le navire » paru en septembre 2016, par la Direction des affaires maritimes
- Le site de l’ENISA European Union Agency for Network and Information Security dédié au secteur maritime et notamment la récente publication sur la sécurité des ports (Good practices for Cybersecurity in the Maritime Sector – Port Security) et le guide Cyber risks management for ports.
- Recommandation on cyber resilience – REC 166 (en anglais) de l’IACS (International Association of Classification Societies)
- Directive européenne NIS (Network & Information Security), transposée en droit français le 26 février 2018, suivie de l’arrêté du 14 septembre 2018 fixant les modalités d’application de la directive NIS aux Opérateurs de Services Essentiels (OSE). Ce texte est compatible avec les mesures préalablement fixées en droit national pour les Opérateurs d’Importance Vitale (OIV)
- Règlement Général sur la Protection des Données, entré en application en mai 2018 et sa transposition en droit français en juin 2018. Les informations complètes sont présentes sur le site de la CNIL
- La transcription en droit français du règlement européen CE725/2004 (article 3.5)
- Un livre blanc du Lloyd’s Register sur la cybersécurité des navires (février 2016)
- UK Department for Transport, Code of practise, CyberSecurity for Ships
- UK Department for Transport, Good Practise Guide, Cybersecurity for Ports and Port Systems
- La note d’Armateurs de France « La gestion des cyber-risques maritimes : décryptage réglementaire«
- US Coast Guards, Guidelines for addressing cyber risks at maritime transportation security act (MTSA) regulated facilities, NVIC 01-20 (concerne les ports du MTS uniquement).
- US Coast Guard Office of Commercial Vessel Compliance (CG-CVC) Mission Management System (MMS) Work Instruction (WI) CVC-WI-027(1) Vessel Cyber Risk Management Work Instruction (concerne les navires)
Thème « certification »
- Nippon Kaiji Kyokai, plus connu sous le nom de ClassNK, a diffusé en avril 2019 un guide de 45 pages, le NK-Cyber Security Management System for Ships (Requirements and Controls), disponible en anglais après inscription sur leur site.
- Le Bureau Veritas a émis en juillet 2018 sa note n°NR 642 DT R00 E, « Cybersecurity Requirements for Products to be Installed On-Board Naval Ships » et la 659 NR « Rules on Cybersecurity for the Classification of Marine Units »
- Les recommandations du Lloyd’s Register sur les navires autonomes.
- Le document de DNV GL CP-0231 « Cyber security capabilities of systems and components » de mars 2020
- Le document de DNV GL RP-G108 « Cyber security in the oil and gas industry based on IEC 62443 » de septembre 2017
- Le document de DNV GL-RP-0496 « Cyber security resilience management for ships and mobile offshore units in operation » de Septembre 2016
Thème « recherche » :
- Chaire de cyberdéfense des systèmes navals (École navale, Brest, France) : la chaire est issue d’un partenariat entre l’École navale, Thalès, Naval Group et l’IMT (Institut Mines-Télécom). Elle accueille une douzaine de doctorants qui travaillent sur des sujets assez larges: la sécurité des capteurs et des automates, le maintien en conditions de sécurité ou encore les questions de visualisation et d’analyse de la menace.
- Maritime Cyber Threats Group (University of Plymouth, Royaume-Uni) : ce groupe de recherche a pour objectifs de développer la connaissance des vulnérabilités et risques du secteur maritime. Il travaille sur différents sujets, comme l’aide à la décision, les risques liés aux vulnérabilités des chaînes logistiques, la cybersécurité des navires autonomes, ou encore la composante « humaine » (sensibilisation, entraînements, aspects psychologiques).
- Cybersecurity incident data reporting for autonomous ships, par Petteri Vistiaho (Tampere University of Technology)
- A l’été 2013, des chercheurs de l’Université du Texas ont conduit les premières expérimentations de spoofing GPS sur un yacht de luxe.
Thème « conférences »
- Le « European Maritime Cyber Risk Management Summit« , 15 juin 2018, à Londres
- Le « Maritime Cyber Threats and Awareness Symposium« , alias CyMar18, 2 novembre 2018, à Londres
- CYpBER, conférence internationale sur la cybersécurité du secteur maritime, du pétrole et du gaz, essentiellement focalisée sur le secteur géographique de l’est de la mer Méditerranée. Dernière édition en juin 2020
Thème « rapports » / blogs / vulnérabilités
- Le rapport de l’ENISA sur les aspects cybersécurité dans le monde maritime (décembre 2011)
- Le rapport « Cybersécurité et marétique, un enjeu européen ? » de Ryan Burton, via le Centre d’études stratégiques de la marine (CESM, 2014)
- Le rapport d’IOActive sur les vulnérabilités des terminaux par satellite
- L’article de Pentest Partners sur les vulnérabilités des logiciels de chargement à bord des porte-conteneurs
- L’article de Pentest Partners sur les risques liés aux terminaux par satellite et à l’ingénierie sociale.
- Un article du Department of Homeland Security américain sur les risques cyber liés aux activités portuaires.
- Le document « Global Maritime Issues Monitor« , de 2018, qui liste le risque cyber comme un risque majeur et avéré pour le secteur maritime.
Vidéos de sensibilisation
J’ai regroupé la plupart des vidéos sur une playlist Youtube dédiée :
Les solutions
Installer de l’UEBA avec un pare-feu de niveau 7, en implémentant de la blockchain sur une approche top down dans un contexte de big data et d’IA.
Mmmmh.
Il n’y a bien sûr pas de solution ultime pour sécuriser le secteur. Je suis breton, j’aime bien la gastronomie, alors je vais vous proposer une recette à base de quatre-quarts.
1 quart d’ambition et de volonté
Je ne sais plus qui disait « Sans volonté, pas de réussite », mais bon on y est. Et pas de la volonté d’affichage, mais une vraie envie. On vit dans un monde merveilleux, mais où, je trouve, on dit beaucoup et on fait peu. Il y a de nombreux acteurs, chacun avec des envies et des attentes différentes. Qui pour coordonner tout cela ? Pour insuffler les bonnes idées efficaces ? Comment faire pour éviter d’en faire une « usine à gaz » et impacter financièrement nos armateurs, pêcheurs, en mettant en place une réglementation trop coûteuse ? Une chose est sûre, il faut y aller pas à pas. Quelques sources d’espoir ? Peut-être (bon, ce ne sont que des tweets) :
1 quart de réglementation et de bonnes pratiques
Le sujet de la réglementation est intéressant : il y a ceux qui pensent qu’il y en a trop et ceux qui disent : il faut faire quelque chose. J’ai rencontré les deux, j’ai moi-même été confronté aux deux cas. Comme souvent, la réponse est médiane : il faut très certainement éviter les couches de réglementation qui se recoupent et s’opposent parfois. Il faut aussi impérativement éviter « l’effet parapluie » : c’est écrit, donc c’est bon. Non, comme on l’a dit, les navires et infrastructures navales ont un cycle de vie très long : écrire un texte aujourd’hui ne signifie pas qu’il sera applique le lendemain (c’est comme pour les correctifs de sécurité !). Donc oui, la réglementation cyber est faible sur le domaine. Oui, l’OMI a écrit, l’IEC aussi, certains armateurs aussi (BIMCO/CLIA/ICS/INTERCARGO/INTERTANKO/IUMI/OCIMF). L’ANSSI aussi. Le secteur est-il plus sûr ? Si la mise en œuvre est exigences relatives aux OIV devrait changer la donne en France, il va falloir être patient. Et, surtout, éviter de copier/coller des bonnes pratiques d’autres secteurs, qui n’ont pas toujours de sens.
Enfin, le partage. Il faut que les acteurs cyber du monde maritime français se rencontrent, se connaissent, créent un véritable réseau d’échange de bonnes pratiques et, peut-être un jour, d’IoC 🙂
1 quart d’effort sur les RH
Formation
Sensibilisation
Responsabilisation
Entraînement et mise en situation
… et on devrait être pas mal.
L’offre de formation en cybermarétique est insuffisant. Oui, on peut s’en sortir avec des formations « généralistes » en cyber (et il y en a de très bonnes en France, suivez mon regard). Mais il faut connaître la marétique. Et cela peut prendre des années pour se bâtir une expérience, soit en naviguant (Marine marchande ou Marine nationale), mais je pense qu’il faut aussi parler de la marétique lors du cursus initial de formation. Il y a en effet tellement de choses à dire.
Sensibilisation : ce point est essentiel, il est généralement déjà pris en compte : il faut sensibiliser les équipages, les capitaines, les armateurs et les intervenants aux risques cyber. Pas en les assommant un jeudi après-midi par des PPT indigestes avec des tonnes de réglementation, mais en leur apportant aussi des exemples et des solutions concrètes. C’est essentiel et cela permet…
de les responsabiliser : ce point est essentiel : les utilisateurs, administrateurs, responsables de systèmes sont prêts à assumer leur responsabilité si on leur donne les bonnes informations et les bons outils. L’humain, qui est souvent pointé du doigt pour ses failles, est aussi une barrière essentielle dans la protection de la marétique.
Enfin, l’entraînement et la mise en situation : il faut entraîner le personnel et l’organisation en les mettant en situation concrète face à un évènement cyber. C’est l’occasion rêvée pour vérifier que les actions de sensibilisation, de responsabilisation et que l’organisation fonctionnent correctement, de l’alerte jusqu’à la phase de résolution. Et en plus ce n’est pas trop cher.
1 quart de technologie
Et oui, je termine par la technologie : ne comptez pas mettre des datacenters à bord des navires, des NIDS qui vous crachent des milliers d’alertes par jour, ou des boîtes noires que personne ne comprend… Il faut adapter les solutions au navire et aux infrastructures, et pas l’inverse ! Pour cela, la connaissance du milieu et des risques est essentielle. Et il faut traiter la marétique dans son ensemble et arrêter de chercher des solutions « en silo ».