29 novembre 2018 : Colloque : la Normandie : un territoire à la pointe de la cybersécurité

Le 29 novembre 2018, l’EM Normandie organise un colloque sur la cybersécurité. Parmi les thèmes abordés, notons entres autre des sujets intéressant la marétique.

Le matin, parmi les conférences.

  • 11h45 – 12h30 : Un cas d’organisation atypique : le navire, Rémy Février, Col. (r) de gendarmerie, professeur de sciences de gestion, CNAM

L’après-midi, un atelier intéressant de 14 h à 16 h :

Cybersécurité portuaire et logistique : vers une culture commune des risques

  • Jérôme Besancenot, DSI du GPMH
  • Nov@log
  • Stéphane Meynet, Président, CERTitude Numérique, Senior Advisor du CYBERCERCLE
  • Thomas de Menthière, Transportation Development Manager, Airbus Cyberdéfense
  • Olivier Lasmoles, professeur associé de droit, EM Normandi

Plus d’informations et inscriptions ici.

Le futur de la marétique

Se dire que la marétique présente des vulnérabilités, j’espère qu’à la lecture de ces différents articles, vous l’aurez perçu. La vraie difficulté, c’est de se dire que l’avenir de la marétique est en train de se constituer alors même qu’une bonne partie des vulnérabilités n’est pas traitée. C’est un peu comme si vous ajoutiez des étages à votre maison alors que le béton du rez-de-chaussée n’est pas sec. Bref, c’est dangereux. Les navires construits aujourd’hui sont encore insuffisamment sécurisés, et ils sont conçus pour durer jusqu’en 2060 !

Je vous donne ci-après quelques exemples du futur de la marétique, notamment au travers de vidéos (c’est plus parlant) de la firme Rolls-Royce (je n’ai pas d’actions… ni de véhicule de la marque), qui est est en avance sur le sujet des navires autonomes. Vous y découvrirez la vision du fabricant sur l’avenir des navires. De la marétique du futur, vous allez en avoir plein les yeux !

Le futur centre de commandement et de maintenance à distance des navires autonomes.
Le cargo du futur
https://youtu.be/_kv1hQLKOB0
Le futur des navires de soutien aux plateformes offshore.
https://youtu.be/27uCL90s20o
Le futur pour les remorqueurs
https://youtu.be/6NIu7walFRw
La e-maintenance des navires du futur.
https://youtu.be/ZuX5qFdiiI0
Le navire autonome du futur.
https://youtu.be/LAMmeW2oc2Y
Le yacht du futur.

L’industrie maritime US mal préparée face à la menace cyber

A lire aujourd’hui, une étude publiée par Jones Walker LLP sur la cybersécurité maritime (aux USA) .

Dans cette étude, réalisée auprès de 126 dirigeants américains indique que 38% d’entre eux ont confirmé avoir été l’objet d’intrusions réussies (10%) ou de tentatives d’intrusions (28%). Le reste ne l’ont peut-être pas détecté me direz-vous, ce qui n’est pas faux.

69% d’entre eux ont confiance dans le niveau de préparation du secteur maritime, mais en même temps seuls 36% pensent que leur propre entreprise est correctement préparée. La partie inquiétante vient bien entendu des petites et moyennes entreprises du secteur, qui à 94% s’estiment mal préparées.

Après, bien entendu, tout dépend de ce qu’on entend par “préparation”. A priori l’assurance face aux menaces cyber semble faire un tabac aux US.

Autres chiffres que j’ai pu noter :

  • 99% des participants estiment avoir inventorié l’ensemble de leurs applications (are you sure?)
  • 45% déclarent avoir un réseau WiFi chiffré
  • 17% seulement ont des réseaux de communication résilients

Du côté du facteur humain, 50% des petites et moyennes entreprises du secteur n’exigent pas la sensibilisation / entraînement de leur personnel, alors que ce chiffre est de 97% pour les grandes entreprises.

Les entreprises consacrent 1 à 2% de leur budget au sujet de la cybersécurité, et ce chiffre est prévu d’augmenter pour 92% des petites entreprises et 59% des grandes.

Au final, les entreprises recherchent avant tout des solutions ayant le meilleur rapport sur investissement, et on les comprend.

Un article en anglais : https://www.hstoday.us/subject-matter-areas/maritime-security/survey-finds-u-s-maritime-industry-unprepared-for-cyber-attacks/

Le lien complet du sondage : https://sites-communications.joneswalker.com/38/990/landing-pages/2018-maritime-cybersecurity-survey-landing-page-only-(v1).asp

Airbus présente sa vision de la cyber-marétique à Euronaval

https://youtu.be/WsB4EfPvFgk

Cette vidéo, twittée par Airbus Defence à l’occasion d’Euronaval 2018, montre les ambitions (pas complètement attendues) d’un acteur avant tout aérien comme Airbus dans le domaine maritime. Airbus est un acteur qui se développe sur les sujets de cyberdéfense. Pas grand’chose cependant de maritime dans la vidéo, hélas, qui ne reprend que les grands classiques de cyber-défense sans vraiment les adapter au monde maritime. Peut-être ont-ils été plus ambitieux sur leur stand à Euronaval ? Si quelqu’un a l’info ?

Références

Je partage avec vous quelques références intéressantes. Non pas MES références, mais des pointeurs vers quelques sites et documents intéressants sur le sujet. C’est un travail de longue haleine, donc il manque encore sûrement plein de choses.

Thème “réglementation et bonnes pratiques” :

Thème “certification”

Thème “recherche” :

  • Chaire de cyberdéfense des systèmes navals (École navale, Brest, France) : la chaire est issue d’un partenariat entre l’École navale, Thalès, Naval Group et l’IMT (Institut Mines-Télécom). Elle accueille une douzaine de doctorants qui travaillent sur des sujets assez larges: la sécurité des capteurs et des automates, le maintien en conditions de sécurité ou encore les questions de visualisation et d’analyse de la menace.
  • Maritime Cyber Threats Group (University of Plymouth, Royaume-Uni) : ce groupe de recherche a pour objectifs de développer la connaissance des vulnérabilités et risques du secteur maritime. Il travaille sur différents sujets, comme l’aide à la décision, les risques liés aux vulnérabilités des chaînes logistiques, la cybersécurité des navires autonomes, ou encore la composante “humaine” (sensibilisation, entraînements, aspects psychologiques).
  • Cybersecurity incident data reporting for autonomous ships, par Petteri Vistiaho (Tampere University of Technology)
  • A l’été 2013, des chercheurs de l’Université du Texas ont conduit les premières expérimentations de spoofing GPS sur un yacht de luxe.

Thème “conférences”

Thème “rapports” / blogs / vulnérabilités

Vidéos de sensibilisation

J’ai regroupé la plupart des vidéos sur une playlist Youtube dédiée :

Les solutions

Installer de l’UEBA avec un pare-feu de niveau 7, en implémentant de la blockchain sur une approche top down dans un contexte de big data et d’IA.

Mmmmh.

Il n’y a bien sûr pas de solution ultime pour sécuriser le secteur. Je suis breton, j’aime bien la gastronomie, alors je vais vous proposer une recette à base de quatre-quarts.

1 quart d’ambition et de volonté

Je ne sais plus qui disait “Sans volonté, pas de réussite”, mais bon on y est. Et pas de la volonté d’affichage, mais une vraie envie. On vit dans un monde merveilleux, mais où, je trouve, on dit beaucoup et on fait peu. Il y a de nombreux acteurs, chacun avec des envies et des attentes différentes. Qui pour coordonner tout cela ? Pour insuffler les bonnes idées efficaces ? Comment faire pour éviter d’en faire une “usine à gaz” et impacter financièrement nos armateurs, pêcheurs, en mettant en place une réglementation trop coûteuse ? Une chose est sûre, il faut y aller pas à pas. Quelques sources d’espoir ? Peut-être (bon, ce ne sont que des tweets) :

1 quart de réglementation et de bonnes pratiques

Le sujet de la réglementation est intéressant : il y a ceux qui pensent qu’il y en a trop et ceux qui disent : il faut faire quelque chose. J’ai rencontré les deux, j’ai moi-même été confronté aux deux cas. Comme souvent, la réponse est médiane : il faut très certainement éviter les couches de réglementation qui se recoupent et s’opposent parfois. Il faut aussi impérativement éviter “l’effet parapluie” : c’est écrit, donc c’est bon. Non, comme on l’a dit, les navires et infrastructures navales ont un cycle de vie très long : écrire un texte aujourd’hui ne signifie pas qu’il sera applique le lendemain (c’est comme pour les correctifs de sécurité !). Donc oui, la réglementation cyber est faible sur le domaine. Oui, l’OMI a écrit, l’IEC aussi, certains armateurs aussi (BIMCO/CLIA/ICS/INTERCARGO/INTERTANKO/IUMI/OCIMF). L’ANSSI aussi. Le secteur est-il plus sûr ? Si la mise en œuvre est exigences relatives aux OIV devrait changer la donne en France, il va falloir être patient. Et, surtout, éviter de copier/coller des bonnes pratiques d’autres secteurs, qui n’ont pas toujours de sens.

Enfin, le partage. Il faut que les acteurs cyber du monde maritime français se rencontrent, se connaissent, créent un véritable réseau d’échange de bonnes pratiques et, peut-être un jour, d’IoC 🙂

1 quart d’effort sur les RH

Formation

Sensibilisation

Responsabilisation

Entraînement et mise en situation

… et on devrait être pas mal.

L’offre de formation en cybermarétique est insuffisant. Oui, on peut s’en sortir avec des formations “généralistes” en cyber (et il y en a de très bonnes en France, suivez mon regard). Mais il faut connaître la marétique. Et cela peut prendre des années pour se bâtir une expérience, soit en naviguant (Marine marchande ou Marine nationale), mais je pense qu’il faut aussi parler de la marétique lors du cursus initial de formation. Il y a en effet tellement de choses à dire.

Sensibilisation : ce point est essentiel, il est généralement déjà pris en compte : il faut sensibiliser les équipages, les capitaines, les armateurs et les intervenants aux risques cyber. Pas en les assommant un jeudi après-midi par des PPT indigestes avec des tonnes de réglementation, mais en leur apportant aussi des exemples et des solutions concrètes. C’est essentiel et cela permet…

de les responsabiliser : ce point est essentiel : les utilisateurs, administrateurs, responsables de systèmes sont prêts à assumer leur responsabilité si on leur donne les bonnes informations et les bons outils. L’humain, qui est souvent pointé du doigt pour ses failles, est aussi une barrière essentielle dans la protection de la marétique.

Enfin, l’entraînement et la mise en situation : il faut entraîner le personnel et l’organisation en les mettant en situation concrète face à un évènement cyber. C’est l’occasion rêvée pour vérifier que les actions de sensibilisation, de responsabilisation et que l’organisation fonctionnent correctement, de l’alerte jusqu’à la phase de résolution. Et en plus ce n’est pas trop cher.

1 quart de technologie

Et oui, je termine par la technologie : ne comptez pas mettre des datacenters à bord des navires, des NIDS qui vous crachent des milliers d’alertes par jour, ou des boîtes noires que personne ne comprend… Il faut adapter les solutions au navire et aux infrastructures, et pas l’inverse ! Pour cela, la connaissance du milieu et des risques est essentielle. Et il faut traiter la marétique dans son ensemble et arrêter de chercher des solutions “en silo”.

La problématique

Je n’aime pas le terme problématique : il est utilisé à tort et à travers et surtout à toutes les sauces, notamment parce que l’on confond “problème” et “problématique”. L’objectif de cet article, loin de vouloir désigner les coupables, est au contraire d’identifier les problèmes “macro” de prise en compte de la cyber-sécurité dans la marétique.

Pour mettre dans l’ambiance, commençons par une citation, vieille de 7 ans, mais qui reste globalement d’actualité :

« Le faible niveau de conscience général inquiète […] il est la conséquence d’un faible sentiment d’urgence combiné à une préparation inadéquate aux risques du cyber-espace. »
ENISA, Analysis of Cyber Security aspects in the maritime sector (2011)

1. Le facteur humain

Dans un monde parfait, toute entreprise a une politique de sécurité, tout le monde l’applique, et le monde est sauvé. Chacun sait que ce n’est pas le cas. C’est encore plus vrai dans la marétique : entre l’équipage du navire (à l’expérience variée et diverse), celle de l’armateur, les nationalités et réglementation variées, les sous-traitants : un joli cocktail de difficultés pour les RSSI ! Faire appliquer une politique de sécurité homogène est donc loin d’être simple. Or, tout le monde vous le dira, “le problème de la cyber est entre la chaise et le clavier”. Oui, peut-être : la sensibilisation aux risques liés à au phishing, au harponnage et aux attaques en point d’eau peuvent être améliorer. Oui, il faut confronter l’ensemble du personnel (PDG inclus, on le rappelle) concrètement à ces menaces.

Mais je suis toujours convaincu que chaque membre d’équipage, chaque employé de l’armateur, chaque maintenancier est aussi un acteur potentiel remarquable dans la protection des systèmes qu’il exploite ou qu’il administre : s’il est bien sensibilisé, accompagné, voire contrôle si nécessaire, il peut aussi être un très bon capteur, pour détecter les procédures dangereuses, voire être le dernier rempart (à défaut de mieux) sur une clé USB à 2 doigts d’être branchée sur votre système en production. Le stigmatiser n’est donc pas forcément la meilleure approche.

Simplifier la cyber en disant “c’est la faute de l’utilisateur”, c’est un peu court…

2. L’inadéquation d’une majorité de technologies “sur étagère”

Les solutions, c’est bien connu, plein de monde en a, et tout le monde est prêt à vous en vendre. Si c’était aussi simple que de copier des technologies “sur étagère” et de les “coller” sur un navire, ça se saurait.

Oui, bien sûr, il y a des meilleures pratiques de certains secteurs (je pense à des recommandations de l’ANSSI sur les systèmes industriels) à mettre en place. Mais on ne peut pas, efficacement, appliquer directement une technologie sur un navire. Parce que la marétique a des particularités qu’il faut prendre en compte (voir cet article). Ne pas les prendre en compte, c’est soit se planter, au mieux (= ça ne fonctionne pas), soit croire qu’on est sécurisés (c’est pire).

Le tout est intégré “en silo”, c’est-à-dire sans intégration à bord du navire, où chacun installe son composant, sans penser à la sécurité de l’ensemble.

3. La méconnaissance du milieu

C’est comme pour de nombreux domaines : c’est souvent ceux qui le connaissent le moins qui en parlent le plus. Si jamais vous êtes un acteur de la marétique, et que dans un salon ou à une autre occasion on essaye de vous vendre quelque chose, demandez à votre interlocuteur ce qu’il connaît du monde maritime, s’il a déjà eu l’occasion de travailler sur des navires, etc… vous serez assez surpris. Cette méconnaissance du milieu a un impact direct (cf le paragraphe précédent).

4. Une réglementation “light” (comme les yaourts)

Alors, oui, on est bien d’accord, la réglementation c’est gonflant, il y en a trop et c’est difficile à appliquer. Bon, vous allez être rassurés, si le domaine maritime est un monde très réglementé (par exemple, un navire ou un armateur doivent respecter de nombreuses contraintes pour être autorisés à naviguer / exploiter une flotte), en cyber, c’est plutôt léger (même s’il parait que l’OMI y travaille). Aujourd’hui, pour simplifier un peu, la réglementation du secteur est très orientée “organisationnel” (gestion des risques) et comprend, de manière générale, de nombreux copier/collers de certaines meilleures pratiques “terrestres”, alors que d’autres manquent. On ne sait pas trop pourquoi, mais c’est comme ça. Ah oui, la plupart des normes est payante (évidemment), donc ça n’aide pas non plus. Au niveau technologique, pas grand’chose à se mettre sous la dent. On vous demandera, au mieux, de disposer d’un pare-feu à bord de votre navire d’ici 2020. Je cherche 300 francs suisses pour obtenir la norme IEC 61162-460:2018 qui semble un peu plus ambitieuse. Dans l’attente, vous pouvez la prévisualiser en (petite) partie ici (à partir de la page 23).

Avec un cycle de vie ultra long (cf infra) et une certaine forme de dilution des responsabilités (qui est responsable en cas d’incident : l’armateur ou le capitaine ? Le chantier naval qui a conçu le navire ? L’intégrateur ou le concepteur du système ?

5. Le cycle de vie long

C’est probablement un des points les plus difficiles avec la marétique. J’en ai déjà parlé, mais un navire est fait pour durer une quarantaine d’années (en moyenne, ça peut dépendre des secteurs : pêche, défense, commerce, plaisance…).  C’est énorme. Cela se rapproche de certains milieux industriels à terre, mais cette durée est très longue.

Alors, pour faire simple et court, patcher la dernière CVE parue sur Windows (ou autres, je n’ai pas d’action Microsoft), comment vous dire, dans la majorité des cas, il va falloir l’oublier pendant un moment, et travailler au niveau des entrées/sorties, du réseau, pour éviter qu’elle soit exploitable. Si vous espérez pouvoir patcher un navire en pleine mer en temps réel, comment vous dire, c’est compliqué. On y arrivera peut-être un jour (restons optimistes). Avec de la blockchain, de l’IA, du bigdata on va être sauvés.

Le secteur maritime en France

L’idée de ce court article n’est pas de vous dresser un portrait exhaustif du secteur maritime, ce serait trop long tant le milieu est passionnant et riche, mais de redonner quelques chiffres et informations-clés du domaine, encore trop souvent méconnu.

Bien que petit hexagone sur la planète, la France est un pays paradoxalement très maritime : elle comprend 7 000 km de littoral et, avec sa zone économique exclusive de 11 millions de kilomètres carrés, elle représente le 2è domaine maritime mondial, après les États-Unis et avant l’Australie. Le secteur maritime rayonne dans 14% du PIB français. L’importance de la ZEE française s’explique notamment par le nombre de points de présence français outre-mer.

De manière plus générale, 71% de la surface de la terre est océanique, 95% des communications transitent via les câbles sous-marins.

90% des marchandises échangées sur le globe transitent via la mer. Au niveau pétrolier, ce transit maritime concerne 60% du volume du brut mondial échangé, et 90% du brut pour la France ! Plus de 52% du trafic de marchandises échangées en Europe transite par la voie maritime, ce qui représente 10 Mds de tonnes transportées en 2016 (+210% depuis les années 2000 !). Les activités maritimes représentent au total entre 3 et 5 % du PIB européen (hors matières premières).

Certains échanges maritimes sont essentiels pour l’approvisionnement de la France en matières premières (cobalt, or, platinoïdes, cuivre, aluminium, nickel, terres rares…).

La mer est aussi une source de ressources essentielles : gaz, pétrole, halieutique pouvant susciter des zone de conflits entre états, c’est notamment le cas aujourd’hui en mer de Chine méridionale, où de nouvelles îles voient le jour.

Les océans sont aussi sources de drames humains, on le voit en Méditerranée avec la crise migratoire actuelle, mais ils peuvent également présenter des risques pour les navires, avec les actes de piraterie qui sont toujours d’actualité, au large de la corne de l’Afrique ou encore dans le Golfe de Guinée. Enfin, on se rappellera que le terme “pirate”, employé dans le terme “pirate informatique” vient tout d’abord de la mer !

A l’heure de la rédaction de cet article, 150 navires / jour transitent par le rail d’Ouessant, soit plus de 50 000 / an ! Ils transportent des conteneurs, essentiellement, mais aussi des matières dangereuses (explosives ou dangereuses pour l’environnement), des passagers, du vrac.

La France comprend de nombreux ports, généralement spécialisés : accueil de navire à passagers, ports à conteneurs, ports de vrac, de pêche, réparation navale, ports militaires et bien entendu l’hinterland qui prolonge l’activité maritime jusque dans les terres (raffineries, industries de transformation).

On le voit, la France est un pays particulièrement maritime, mais qui s’ignore. Une majorité des français reste tournée vers la terre, et ne connaît la mer qu’aux beaux jours, pour les vacances. Ce “raccourci” de la pensée est malheureusement un constat dressé par beaucoup, qui regrettent le manque d’ambition de la France dans le domaine. Même si la France conserve de belles pépites dans le secteur maritime (chantiers navals, armateurs, croisiéristes, ports, industrie militaire), il faut régulièrement rappeler l’importance de la mer pour notre confort quotidien. Pour s’en convaincre, il suffit généralement de regarder autour de soi, ou dans son assiette : il y a de grandes chances que le matériel électronique que vous utilisez, comme le PC sur lequel j’écris ces lignes, ait transité par la voie maritime pour venir jusqu’à vous. Cela ne fait jamais de mal de le rappeler !

Les évènements redoutés en marétique

Une analyse de risques très succincte et “macro” permet d’identifier quelques évènements redoutés pouvant toucher le secteur maritime. Je ne les détaille pas de manière exhaustive, mais en voici une idée :

  • des tentatives d’usurpation ou de brouillage des systèmes de positionnement ou de communication, soit sur le navire visé, soit sur son environnement
  • des dérèglements ou pertes de disponibilité des systèmes de cartographie ECDIS (même s’ils sont souvent redondés)
  • une diffusion de fausses informations de sécurité vers le navire (SMDSM, AIS, météo…)
  • des intrusions visant spécifiquement les systèmes industriels à bord des navires
  • une prise en main à distance du navire ou d’une partie de ses systèmes
  • un chiffrement complet ou partiel de ses systèmes d’information à l’aide d’un rançongiciel

Les ports ne sont à l’abri non plus, avec :

  • une tentative de paralysie (rançongiciel)
  • là aussi, une prise en main à distance du smart port en exploitant l’interconnexion croissante entre les systèmes
  • la modification des systèmes d’information logistiques des ports (mouvement des navires, des passagers, du fret ou des moyens de manutention et de transport)
  • la désorganisation de la disponibilité des services portuaires (pilotage, avitaillement…) et la disponibilité des quais et des aires de stockage, etc.