Les menaces cyber dans le secteur maritime : a-t-on déjà envisagé tous les scénarios ?

L’assureur maritime bordelais Adam Assurances publie une étude (ici au format blog et au format PDF) sur les risques cyber liés au monde maritime.

Après avoir rappelé la transformation numérique du secteur et la dépendance sous-jacente, l’assureur revient sur quelques incidents cyber ayant touché le secteur (MSC, Cosco, Maersk…).

En reprenant les points saillants de l’étude CyRim (voir cet article de novembre 2019 où nous en parlions), l’étude se base par la suite sur le scénario Shen Attack du rapport, qui s’applique au monde maritime en évaluant à 15 le nombre de ports touchés dans la projection d’une cyberattaque majeure touchant le secteur maritime en Asie. Après avoir rappelé les impacts financiers pour les différents secteurs d’activité, l’assureur conclut en suggérant qu’il est probablement indispensable d’inclure les risques cyber dans les polices d’assurance “tous risques” applicables au monde maritime.

Les évènements redoutés en marétique

Une analyse de risques très succincte et “macro” permet d’identifier quelques évènements redoutés pouvant toucher le secteur maritime. Je ne les détaille pas de manière exhaustive, mais en voici une idée :

  • des tentatives d’usurpation ou de brouillage des systèmes de positionnement ou de communication, soit sur le navire visé, soit sur son environnement
  • des dérèglements ou pertes de disponibilité des systèmes de cartographie ECDIS (même s’ils sont souvent redondés)
  • une diffusion de fausses informations de sécurité vers le navire (SMDSM, AIS, météo…)
  • des intrusions visant spécifiquement les systèmes industriels à bord des navires
  • une prise en main à distance du navire ou d’une partie de ses systèmes
  • un chiffrement complet ou partiel de ses systèmes d’information à l’aide d’un rançongiciel

Les ports ne sont à l’abri non plus, avec :

  • une tentative de paralysie (rançongiciel)
  • là aussi, une prise en main à distance du smart port en exploitant l’interconnexion croissante entre les systèmes
  • la modification des systèmes d’information logistiques des ports (mouvement des navires, des passagers, du fret ou des moyens de manutention et de transport)
  • la désorganisation de la disponibilité des services portuaires (pilotage, avitaillement…) et la disponibilité des quais et des aires de stockage, etc.

Les sources de menace pouvant viser le secteur maritime

Qui peut en vouloir à la marétique ?

Les sources de menace (volontaires, cagoulées) sont assez proches de ce qui peut être trouvé par ailleurs. Je ne vais pas vous refaire une liste à la Prévert des sources de menaces possible, l’ANSSI l’a déjà fait (cf p. 15 et suivantes). Les plus réalistes sont aujourd’hui :

  • les “hackers” du dimanche, ayant vu des vidéos de chercheurs lors de conférences en cyber et essayant de reproduire les preuves de concept
  • la concurrence (et oui, on ne peut pas totalement le nier, ou du moins le prendre en compte)
  • les organisations terroristes / de piraterie, qui pourraient y trouver un intérêt pécunier
  • l’infection “collatérale”, c’est-à-dire ne visant pas spécifiquement le secteur maritime, mais dont il est victime comme d’autres (c’est généralement le cas des rançongiciels)

On se rappelle que le “vecteur” cyber a plusieurs avantages : il est généralement anonyme, anomique, et les attaques ont une relative fulgurance et relativement rentable (surtout pour quelqu’un qui n’a qu’à cliquer sur sa souris…).

N’oublions pas les sources non volontaires, qui regroupent principalement deux types d’acteurs :

  • la menace interne, involontaire (par exemple un capitaine qui branche son téléphone portable “intelligent” perso sur le poste de l’Intranet de sa société dans sa cabine sur son navire (il se reconnaîtra !))
  • les interventions extérieures (maintenanciers, concepteurs) qui peuvent avoir une hygiène et une conscience des risques cyber… variées.

Au-delà de ces deux sources de menaces, que l’on a tendance à sur-médiatiser (au moins pour les 4 premières), il ne faut pas oublier les sources de menace involontaires (incendies, avarie, etc…) qui peuvent être tout aussi redoutables mais, parfois, négligées au profit de menaces plus précises.