Le fabricant sud-coréen Hyndai Heavy Industries annonce qu’il a obtenu une certification cyber de l’American Bureau of Shipping (ABS) concernant un Very Large Crude Carrier qu’il doit livrer à un client européen en ce mois de novembre 2018 (peut-être le grec Okeanis ?). Pas beaucoup de détails, là non plus, mais un travail notable sur la sécurité des installations de contrôle industriel.
Partenariat cyber entre KPMG et Kongsberg
Je vous soumets la lecture de ce court article qui nous informe de ce partenariat conclu entre KPMG, le cabinet d’audit et de conseil, et le fabricant norvégien Kongsberg, qui conçoit des installations au profit des industries pétrolières, gazières et du monde maritime. Pas beaucoup plus de détails, mais là aussi il est intéressant de voir que les fabricants s’intéressent enfin à la cybersécurité de leurs systèmes et ont recours à des cabinets d’audits et de conseil externes. Espérons qu’ils y trouveront toute ou partie de la solution qui – on le rappelle – n’est pas simple !
Windows XP (et ME) encore en service dans la Royal Navy.
Je vous conseille la lecture de cet article de The Register sur les difficultés de mise à jour à bord des navires de la Royal Navy (et des 129 commentaires associés…).
On y apprend que la Royal Navy emploie toujours des versions obsolètes de Windows, à savoir Windows ME et XP. Pour le savoir, rien de plus simple, le journaliste… a posé la question lors d’un embarquement à bord du HMS Enterprise…
Les membres de l’équipage ont confirmé que, le navire ayant été construit en 2003, la plupart des systèmes d’informations datent donc de cette époque. Bon, le navire est un navire d’expérimentation. Le voici d’ailleurs :
Ceci explique, selon l’article, l’emploi massif de technologies et d’outils « Commercial Off The Shelf » (COTS, sur étagère) plutôt que des systèmes militaires. Côté sécurité, on retrouve le sentiment de « sécurité » apporté par le traditionnel airgap. Si les ports USB sont annoncés comme verrouillés, on y apprend que le Wi-Fi est présent à bord pour les appareils à usage privatif.
21 novembre 2018 – Paris – Petit-déjeuner-débat “la cybersécurité dans le milieu maritime”
Le 21 novembre prochain, le Cybercercle organise à Paris un petit-déjeuner-débat sur le sujet le la cybersécurité dans le milieu maritime.En présence de plusieurs députés et acteurs du domaine (GICAN, Comité France maritime).
Espérons que cette occasion sera une nouvelle opportunité de mobiliser les acteurs sur les sujets techniques, organisationnels, réglementaires voire politiques sur ce sujet passionnant et complexe.
Plus d’informations ici : https://cybercercle.com/rendez-vous/petit-dejeuner-debat-2/
29 novembre 2018 : Colloque : la Normandie : un territoire à la pointe de la cybersécurité
Le 29 novembre 2018, l’EM Normandie organise un colloque sur la cybersécurité. Parmi les thèmes abordés, notons entres autre des sujets intéressant la marétique.
Le matin, parmi les conférences.
- 11h45 – 12h30 : Un cas d’organisation atypique : le navire, Rémy Février, Col. (r) de gendarmerie, professeur de sciences de gestion, CNAM
L’après-midi, un atelier intéressant de 14 h à 16 h :
Cybersécurité portuaire et logistique : vers une culture commune des risques
- Jérôme Besancenot, DSI du GPMH
- Nov@log
- Stéphane Meynet, Président, CERTitude Numérique, Senior Advisor du CYBERCERCLE
- Thomas de Menthière, Transportation Development Manager, Airbus Cyberdéfense
- Olivier Lasmoles, professeur associé de droit, EM Normandi
Naval Group détaille les enjeux cyber pour le groupe.
Interviewé par Belgium Naval & Robotics qui, on le rappelle, est le tout récent consortium regroupant les activités et ambitions de NG et ECA en Belgique, Patrick Radja (VP CTO Cybersecurity) NG explique les enjeux de cybersécurité navale sur les aspects groupe – sous-traitants – RH.
Le futur de la marétique
Se dire que la marétique présente des vulnérabilités, j’espère qu’à la lecture de ces différents articles, vous l’aurez perçu. La vraie difficulté, c’est de se dire que l’avenir de la marétique est en train de se constituer alors même qu’une bonne partie des vulnérabilités n’est pas traitée. C’est un peu comme si vous ajoutiez des étages à votre maison alors que le béton du rez-de-chaussée n’est pas sec. Bref, c’est dangereux. Les navires construits aujourd’hui sont encore insuffisamment sécurisés, et ils sont conçus pour durer jusqu’en 2060 !
Je vous donne ci-après quelques exemples du futur de la marétique, notamment au travers de vidéos (c’est plus parlant) de la firme Rolls-Royce (je n’ai pas d’actions… ni de véhicule de la marque), qui est est en avance sur le sujet des navires autonomes. Vous y découvrirez la vision du fabricant sur l’avenir des navires. De la marétique du futur, vous allez en avoir plein les yeux !
L’industrie maritime US mal préparée face à la menace cyber
A lire aujourd’hui, une étude publiée par Jones Walker LLP sur la cybersécurité maritime (aux USA) .
Dans cette étude, réalisée auprès de 126 dirigeants américains indique que 38% d’entre eux ont confirmé avoir été l’objet d’intrusions réussies (10%) ou de tentatives d’intrusions (28%). Le reste ne l’ont peut-être pas détecté me direz-vous, ce qui n’est pas faux.
69% d’entre eux ont confiance dans le niveau de préparation du secteur maritime, mais en même temps seuls 36% pensent que leur propre entreprise est correctement préparée. La partie inquiétante vient bien entendu des petites et moyennes entreprises du secteur, qui à 94% s’estiment mal préparées.
Après, bien entendu, tout dépend de ce qu’on entend par « préparation ». A priori l’assurance face aux menaces cyber semble faire un tabac aux US.
Autres chiffres que j’ai pu noter :
- 99% des participants estiment avoir inventorié l’ensemble de leurs applications (are you sure?)
- 45% déclarent avoir un réseau WiFi chiffré
- 17% seulement ont des réseaux de communication résilients
Du côté du facteur humain, 50% des petites et moyennes entreprises du secteur n’exigent pas la sensibilisation / entraînement de leur personnel, alors que ce chiffre est de 97% pour les grandes entreprises.
Les entreprises consacrent 1 à 2% de leur budget au sujet de la cybersécurité, et ce chiffre est prévu d’augmenter pour 92% des petites entreprises et 59% des grandes.
Au final, les entreprises recherchent avant tout des solutions ayant le meilleur rapport sur investissement, et on les comprend.
Un article en anglais : https://www.hstoday.us/subject-matter-areas/maritime-security/survey-finds-u-s-maritime-industry-unprepared-for-cyber-attacks/
Le lien complet du sondage : https://sites-communications.joneswalker.com/38/990/landing-pages/2018-maritime-cybersecurity-survey-landing-page-only-(v1).asp
Airbus présente sa vision de la cyber-marétique à Euronaval
Cette vidéo, twittée par Airbus Defence à l’occasion d’Euronaval 2018, montre les ambitions (pas complètement attendues) d’un acteur avant tout aérien comme Airbus dans le domaine maritime. Airbus est un acteur qui se développe sur les sujets de cyberdéfense. Pas grand’chose cependant de maritime dans la vidéo, hélas, qui ne reprend que les grands classiques de cyber-défense sans vraiment les adapter au monde maritime. Peut-être ont-ils été plus ambitieux sur leur stand à Euronaval ? Si quelqu’un a l’info ?
Références
Je partage avec vous quelques références intéressantes. Non pas MES références, mais des pointeurs vers quelques sites et documents intéressants sur le sujet. C’est un travail de longue haleine, donc il manque encore sûrement plein de choses.
Thème « réglementation et bonnes pratiques » :
- Le site de l’Organisation Maritime Internationale sur les questions de cybersécurité maritime : vous y trouverez notamment ses directives sur la gestion des risques cyber maritimes et le mini-site de la Représentation française auprès de l’OMI sur les risques cyber maritimes
- Les directives sur le sujet publiées par BIMCO, l’Association internationale des lignes de croisière (CLIA), la Chambre internationale de la marine marchande (ICS), l’Association internationale des transporteurs de marchandises solides (INTERCARGO) et l’Association internationale des armateurs pétroliers indépendants (INTERTANKO) (v4)
- Le guide des bonnes pratiques de sécurité informatique à bord des navires, par l’Agence Nationale de Sécurité des Systèmes d’Information
- Le guide et les modèles de la mise en œuvre de la cybersécurité à bord des navires de la Digital Container Shipping Association (DCSA), paru en avril 2020
- Les guides « Renforcer la protection des systèmes industriels des navires« , publié en janvier 2017 et « Cybersécurité – évaluer et protéger le navire » paru en septembre 2016, par la Direction des affaires maritimes
- Le site de l’ENISA European Union Agency for Network and Information Security dédié au secteur maritime et notamment la récente publication sur la sécurité des ports (Good practices for Cybersecurity in the Maritime Sector – Port Security) et le guide Cyber risks management for ports.
- Recommandation on cyber resilience – REC 166 (en anglais) de l’IACS (International Association of Classification Societies)
- Directive européenne NIS (Network & Information Security), transposée en droit français le 26 février 2018, suivie de l’arrêté du 14 septembre 2018 fixant les modalités d’application de la directive NIS aux Opérateurs de Services Essentiels (OSE). Ce texte est compatible avec les mesures préalablement fixées en droit national pour les Opérateurs d’Importance Vitale (OIV)
- Règlement Général sur la Protection des Données, entré en application en mai 2018 et sa transposition en droit français en juin 2018. Les informations complètes sont présentes sur le site de la CNIL
- La transcription en droit français du règlement européen CE725/2004 (article 3.5)
- Un livre blanc du Lloyd’s Register sur la cybersécurité des navires (février 2016)
- UK Department for Transport, Code of practise, CyberSecurity for Ships
- UK Department for Transport, Good Practise Guide, Cybersecurity for Ports and Port Systems
- La note d’Armateurs de France « La gestion des cyber-risques maritimes : décryptage réglementaire«
- US Coast Guards, Guidelines for addressing cyber risks at maritime transportation security act (MTSA) regulated facilities, NVIC 01-20 (concerne les ports du MTS uniquement).
- US Coast Guard Office of Commercial Vessel Compliance (CG-CVC) Mission Management System (MMS) Work Instruction (WI) CVC-WI-027(1) Vessel Cyber Risk Management Work Instruction (concerne les navires)
Thème « certification »
- Nippon Kaiji Kyokai, plus connu sous le nom de ClassNK, a diffusé en avril 2019 un guide de 45 pages, le NK-Cyber Security Management System for Ships (Requirements and Controls), disponible en anglais après inscription sur leur site.
- Le Bureau Veritas a émis en juillet 2018 sa note n°NR 642 DT R00 E, « Cybersecurity Requirements for Products to be Installed On-Board Naval Ships » et la 659 NR « Rules on Cybersecurity for the Classification of Marine Units »
- Les recommandations du Lloyd’s Register sur les navires autonomes.
- Le document de DNV GL CP-0231 « Cyber security capabilities of systems and components » de mars 2020
- Le document de DNV GL RP-G108 « Cyber security in the oil and gas industry based on IEC 62443 » de septembre 2017
- Le document de DNV GL-RP-0496 « Cyber security resilience management for ships and mobile offshore units in operation » de Septembre 2016
Thème « recherche » :
- Chaire de cyberdéfense des systèmes navals (École navale, Brest, France) : la chaire est issue d’un partenariat entre l’École navale, Thalès, Naval Group et l’IMT (Institut Mines-Télécom). Elle accueille une douzaine de doctorants qui travaillent sur des sujets assez larges: la sécurité des capteurs et des automates, le maintien en conditions de sécurité ou encore les questions de visualisation et d’analyse de la menace.
- Maritime Cyber Threats Group (University of Plymouth, Royaume-Uni) : ce groupe de recherche a pour objectifs de développer la connaissance des vulnérabilités et risques du secteur maritime. Il travaille sur différents sujets, comme l’aide à la décision, les risques liés aux vulnérabilités des chaînes logistiques, la cybersécurité des navires autonomes, ou encore la composante « humaine » (sensibilisation, entraînements, aspects psychologiques).
- Cybersecurity incident data reporting for autonomous ships, par Petteri Vistiaho (Tampere University of Technology)
- A l’été 2013, des chercheurs de l’Université du Texas ont conduit les premières expérimentations de spoofing GPS sur un yacht de luxe.
Thème « conférences »
- Le « European Maritime Cyber Risk Management Summit« , 15 juin 2018, à Londres
- Le « Maritime Cyber Threats and Awareness Symposium« , alias CyMar18, 2 novembre 2018, à Londres
- CYpBER, conférence internationale sur la cybersécurité du secteur maritime, du pétrole et du gaz, essentiellement focalisée sur le secteur géographique de l’est de la mer Méditerranée. Dernière édition en juin 2020
Thème « rapports » / blogs / vulnérabilités
- Le rapport de l’ENISA sur les aspects cybersécurité dans le monde maritime (décembre 2011)
- Le rapport « Cybersécurité et marétique, un enjeu européen ? » de Ryan Burton, via le Centre d’études stratégiques de la marine (CESM, 2014)
- Le rapport d’IOActive sur les vulnérabilités des terminaux par satellite
- L’article de Pentest Partners sur les vulnérabilités des logiciels de chargement à bord des porte-conteneurs
- L’article de Pentest Partners sur les risques liés aux terminaux par satellite et à l’ingénierie sociale.
- Un article du Department of Homeland Security américain sur les risques cyber liés aux activités portuaires.
- Le document « Global Maritime Issues Monitor« , de 2018, qui liste le risque cyber comme un risque majeur et avéré pour le secteur maritime.
Vidéos de sensibilisation
J’ai regroupé la plupart des vidéos sur une playlist Youtube dédiée :