Publication du rapport du CESER sur la marétique.

Le CESER, conseil économique, social et environnemental régional de la Région Bretagne a publié en septembre dernier un rapport d’étude appelé “Vous avez dit marétique ? Des opportunités à saisir à la confluence de la mer et du numérique en Bretagne”, que je vous invite à lire en cliquant sur ce lien.

Dans ce rapport de 168 pages, Daniel CLOAREC et Anne COUËTIL, rapporteur et rapporteuse, évoquent notamment les sujets de cybersécurité de la marétique. Voici les principaux extraits sur ce sujet.

p.4 : “Zoom sur une filière en structuration… la cybersécurité maritime”

“Au niveau européen, la Bretagne est considérée comme un territoire en pointe sur les questions de cybersécurité, avec l’Estonie et la Castille-et-León (Espagne). L’implantation d’acteurs emblématiques positionnés sur des activités duales (c’est-à-dire civiles et militaires) lui est très spécifique. La combinaison de la dimension cyber, des acteurs du numérique et d’activités maritimes est un élément différenciant pour le territoire régional, qui a conduit à la création d’un pôle d’excellence par l’État et le Conseil régional. Il comporte un volet maritime,formalisé par la Chaire «Cyberdéfense des systèmes navals», basée à l’École Navale, et qui vise à stimuler la recherche et la formation. Un [projet de] mastère «cybersécurité du monde maritime» a été annoncé pour 2020.”

p. 9 : “Intégrer la marétique dans les formations préparant aux métiers de la mer”

“Pour les métiers de la mer comme pour les autres, ce qui sera déterminant, c’est la capacité d’agir et les moyens d’adaptation des personnes dans un contexte en évolution permanente.Le CESER retient l’impératif d’intégrer davantage le numérique, notamment dans son volet marétique, aux formations préparant aux métiers de la mer, par des modules de formation spécifiques, des programmes d’animation… Il est important que chaque acteur maritime, tous secteurs et tous niveaux de qualification confondus, dispose d’un socle de connaissances lui permettant de s’adapter aux évolutions des métiers, ce qui implique notamment des connaissances relatives à la protection des données (personnelles et commerciales), à la cybersécurité maritime, au traitement des données relatives à la mer et la prise en main des nouveaux outils permettant d’améliorer la sécurité des emplois. Il s’agit de donner à chacun les clés pour comprendre les implications économiques, sociales et environnementales de la transformation numérique dans le cadre de ses activités professionnelles.”

p. 10 “Ancrer et Bretagne des compétences exclusives sur des sujets marétiques de pointe”

“La Bretagne a matière à se distinguer dans des sujets de pointe (tels que la bio-informatique marine, la cybersécurité maritime, l’exploitation de données satellitaires au service des activités maritimes, etc.). Il faut cultiver ce niveau d’expertise, en multipliant et en soutenant les formations de haut niveau. Une telle action doit aller de pair avec le soutien des initiatives de recherche dans le domaine de la marétique (par exemple chaires, bourses doctorales…). Des formations et modules d’enseignement combinant science des données et sciences applicatives marines pourraient notamment être soutenues.”

p.32 “Le développement des systèmes autonomes”

“Au-delà de l’aspect strictement technologique, la transition vers ces nouveaux modes de navigation sera donc aussi sociale, générationnelle et institutionnelle. La réglementation internationale65, les délais de certification et l’âge moyen de la flotte laissent présager une période transitoire où coexisteront les différents systèmes.Enfin, l’information numérique ayant envahi les infrastructures, les réseaux maritimes et les navires, ceux-ci sont aussi plus exposés aux risques d’intrusions et d’attaques numériques (cyberattaques), particulièrement prégnants dans un contexte de tensions internationales et de tentatives de déstabilisation de l’économie mondialisée.”

p. 78 “La marétique dans les filières émergentes de la Bretagne”

“La cybersécurité, avec la création à Rennes d’un pôle d’excellence qui regroupe la Direction générale de l’armement, des entreprises ainsi que des acteurs de l’enseignement supérieur et de la recherche. Il comporte un volet maritime formalisé par la création de la Chaire «Cyberdéfense des systèmes navals» basée à l’École Navale. En partenariat avec l’IMT Atlantique, Thales et Naval group, la chaire vise à stimuler la recherche et la formation (doctorat et post-doctorat) sur ce sujet. La création d’un mastère «cybersécurité du monde maritime» a été annoncée.”

p. 88 “Le conseil régional dispose de plusieurs leviers d’action

“Au terme de cette étude, le CESER affirme que la marétique peut constituer l’un de ces axes de différenciation. En ce sens, il invite le Conseil régional à identifier la marétique comme un champ stratégique d’innovation à part entière de la S3. Un volet particulier sur la cybersécurité maritime pourrait également être inscrit, la capacité à regrouper sur le même territoire les activités maritimes,le numérique et la dimension cyber étant un élément réellement différenciant de la Bretagne. La présence de ces compétences sur le territoire régional pourrait être un levier pour le développement de la marétique, et plus précisément des activités liées à la donnée.”

p. 89 “Soutenir la structuration d’un écosystème complet dédié à la marétique”

“Par exemple, le Comité interministériel de la mer (CIMER), réuni le 15 novembre 2018, avait annoncé la préfiguration d’un centre national de coordination de la cybersécurité pour le maritime (mesure 46). Le CESER soutient l’implantation de ce centre à Brest, à proximité du «MICA Center» et de la Chaire de cybersécurité des systèmes navals. En ce sens, il invite le Conseil régional et ses partenaires, notamment Brest Métropole, à poursuivre la mobilisation en ce sens.”

p.111 “Des données faisant l’objet d’une réglementation de plus en plus stricte”

“Une protection accrue des données à caractère personnel.

Les « données à caractère personnel » sont visées par le règlement général sur la protection des données (RGPD), adopté par l’Union européenne en 2016 et applicable dans tous les États membres depuis 2018. Ce texte met à la charge des entreprises, administrations, associations, de nouvelles obligations en matière de captation et de traitement des données personnelles. La notion de «donnée à caractère personnel» vise toute information se rapportant à une personne physique identifiée ou identifiable, directement ou non, grâce à un identifiant ou à un ou plusieurs éléments propres à son identité.

La sécurité des systèmes d’information

La France est le premier pays à avoir inscrit dans la loi, dès 2006, la mise en place d’un dispositif de sécurité de ses infrastructures critiques, en définissant des « secteurs d’activités d’importance vitale » (SAIV) qui ont trait à la production et à la distribution de biens ou de services jugés indispensables ou qui peuvent présenter un danger pour la population. Douze secteurs sont concernés, parmi lesquels les transports ou encore l’énergie. Dans ces secteurs, 259 « opérateurs d’importance vitale » (OIV) ont été identifiés mais leur liste nominative est confidentielle. Avec le renforcement des menaces en matière de cybersécurité et l’intégration d’un volet dédié au sein de la loi de programmation militaire (2013), l’État a engagé le renforcement de la sécurité des systèmes d’information exploités par ces opérateurs, avec des obligations en matière de formation, d’analyse des risques, d’établissement d’un plan de sécurité, d’identification des points nécessitant une protection particulière.”

Parution de la 3è édition du guide de bonnes pratiques pour l’industrie maritime dans le domaine cyber

Il existe de nombreux guides de recommandations pour la mise en œuvre de mesures cyber dans le monde maritime. Un peu trop, et inégaux en qualité, ce qui rend parfois les choses un peu illisibles (mettons-nous à la place du marin, de l’armateur, qui doivent les comprendre et les mettre en œuvre…).

Parmi ces guides, un fait malgré tout référence, notamment par le nombre d’associations et d’acteurs d’importance qui y ont participé (21) mais aussi parce qu’il parle correctement au monde maritime et du monde maritime, en adaptant les menaces cyber à ce secteur si particulier. Ce guide, “The Guidelines on Cyber Security Onboard Ships”, vient de paraître sous sa 3ème édition.

Il est le fruit d’un travail au longs cours entre associations d’armateurs et d’industriels du secteurs, notamment BIMCO, CLIA, ICS, INTERCARGO, INTERMANAGER, INTERTANKO, l’IUMI, l’OCIMF et le WORLD SHIPPING COUNCIL.

Au-delà des recommandations classiques que l’on trouve dans ce type d’ouvrage, deux points de lecture méritent une attention particulière : la publication de nouveaux incidents ayant touché le secteur maritime, et la bonne prise en compte des spécificités du secteur.


Concernant les incidents, le guide liste un certain nombre d’évènements ayant touché le secteur maritime, essentiellement à titre d’exemple. Au-delà des incidents publics déjà connus pour lesquels j’avais déjà rédigé une première liste j’en ai retenu quelques évocateurs…

Deux incidents liés directement à des supports USB, qui sont fréquemment utilisés pour mettre à jour des systèmes, réaliser des opérations de maintenance, ou transférer des fichiers de ou vers des systèmes marétiques “hors réseau” :

  • l’infection de navires par un, voire deux (!) rançongiciels, mais dont l’origine provenait de partenaires (industriels ou commerciaux), et non d’une négligence due à l’équipage : ce point montre bien l’importance de mesures de protection bilatérales avec l’ensemble des intervenants extérieurs à l’entreprise et au navire. Il est intéressant de noter que, dans un des cas, le propriétaire a payé la rançon. A l’origine de ces infections, le rapport indique notamment l’absence / la faiblesse de mots de passe sur les outils de télémaintenance des navires, voire l’existence de comptes non documentés.
  • le second concerne un avitailleur, qui a demandé à accéder à la salle des machines pour imprimer des documents à signer. Sa clé USB, infectée, a compromis une partie du réseau “bureautique” du navire sans toucher aux systèmes de contrôle commande, probablement isolés au niveau réseau (ouf). Le second concerne la découverte, lors d’un test d’intrusion, de l’existence d’un code malveillant sur un système non connecté à Internet mais qui était conçu pour l’être. Le code, qui avait été introduit par support USB, était présent dans le système depuis… 875 jours (infection lors de  l’installation du logiciel) ! Amis pentesteurs : vous avez de l’avenir dans la marétique !

Et un joli chapelet d’incidents sur les ECDIS (Electronic Chart Display and Information System). Cela fait partie des évènements redoutés que j’avais cité, donc c’est tout sauf une surprise. Par contre, on voit qu’une confiance exagérée dans le numérique (l’ECDIS) sans disposer d’un système éprouvé en secours (les cartes papiers) peut engager la résilience et la disponibilité du navire :

  • l’infection virale d’un système ECDIS  qui a retardé la mise à l’eau d’un nouveau navire (le navire n’avait pas de carte papier de secours…).  Le guide précise aussi que ni le capitaine ni l’équipage du navire n’avaient identifié le problème comme ayant une origine cyber. Il a fallu un temps important à un technicien dépêché sur place pour identifier que les deux réseaux ECDIS du navire étaient corrompus. Le coût de l’incident est estimé à plusieurs centaines de milliers de dollars (aux US).
  • Dans une zone maritime particulièrement dense, un navire a perdu tous ses moyens de navigation à la mer, qui plus est en conditions météos dégradées (mauvaise visibilité). Il a dû se limiter à la navigation au radar et à la carte papier pendant deux jours avant d’arriver au port. La défaillance de l’ECDIS est due à un système d’exploitation antédiluvien. Durant l’escale suivante, un intervenant a réalisé la mise à jour du système de navigation ECDIS. Mais, en raison de l’obsolescence avancée de l’OS, le nouveau logiciel n’a pas pu fonctionner : le navire a dû rester à quai jusqu’à ce que de nouvelles consoles ECDIS puissent être déployées, entraînant un retard et un impact financier important.
  • Toujours de l’ECDIS : en présence d’un pilote à bord, l’ECDIS et le VDR (Voyage Data Recorder, la “boite noire” du navire) dysfonctionnent, entraînant une certaine désorganisation de la passerelle. Heureusement, le capitaine et le pilote, expérimentés, ont pu ramener l’équipage sur une navigation par moyens dégradés (radar, veille optique). Quand les ordinateurs ont redémarré, clairement là-aussi obsolètes, le capitaine a fait savoir au pilote que ces problèmes étaient fréquents et que ses demandes d’intervention avaient été refusées par le propriétaire du navire.

Le reste du document commence à afficher une bien meilleure maturité que les éditions précédentes, que ce soit dans la gestion des risques, les relations entre les différents acteurs (propriétaire, armateur, équipage, sous-traitants, services logistiques en escale…), BYOD, la séparation IT/OT… Deux petites déceptions seulement :

  • une certaine vision “yaka” : mettre des pare-feux et des NIDS à bord, c’est sympa, mais encore faut-il que quelqu’un puisse les exploiter;
  • conséquence, ou cause, le secteur n’affiche pas encore une ambition suffisante sur la cybersurveillance maritime (désolé, c’est mon dada).

Bref, un “must read” !

Le futur de la marétique

Se dire que la marétique présente des vulnérabilités, j’espère qu’à la lecture de ces différents articles, vous l’aurez perçu. La vraie difficulté, c’est de se dire que l’avenir de la marétique est en train de se constituer alors même qu’une bonne partie des vulnérabilités n’est pas traitée. C’est un peu comme si vous ajoutiez des étages à votre maison alors que le béton du rez-de-chaussée n’est pas sec. Bref, c’est dangereux. Les navires construits aujourd’hui sont encore insuffisamment sécurisés, et ils sont conçus pour durer jusqu’en 2060 !

Je vous donne ci-après quelques exemples du futur de la marétique, notamment au travers de vidéos (c’est plus parlant) de la firme Rolls-Royce (je n’ai pas d’actions… ni de véhicule de la marque), qui est est en avance sur le sujet des navires autonomes. Vous y découvrirez la vision du fabricant sur l’avenir des navires. De la marétique du futur, vous allez en avoir plein les yeux !

Le futur centre de commandement et de maintenance à distance des navires autonomes.
Le cargo du futur
https://youtu.be/_kv1hQLKOB0
Le futur des navires de soutien aux plateformes offshore.
https://youtu.be/27uCL90s20o
Le futur pour les remorqueurs
https://youtu.be/6NIu7walFRw
La e-maintenance des navires du futur.
https://youtu.be/ZuX5qFdiiI0
Le navire autonome du futur.
https://youtu.be/LAMmeW2oc2Y
Le yacht du futur.

Les évènements redoutés en marétique

Une analyse de risques très succincte et “macro” permet d’identifier quelques évènements redoutés pouvant toucher le secteur maritime. Je ne les détaille pas de manière exhaustive, mais en voici une idée :

  • des tentatives d’usurpation ou de brouillage des systèmes de positionnement ou de communication, soit sur le navire visé, soit sur son environnement
  • des dérèglements ou pertes de disponibilité des systèmes de cartographie ECDIS (même s’ils sont souvent redondés)
  • une diffusion de fausses informations de sécurité vers le navire (SMDSM, AIS, météo…)
  • des intrusions visant spécifiquement les systèmes industriels à bord des navires
  • une prise en main à distance du navire ou d’une partie de ses systèmes
  • un chiffrement complet ou partiel de ses systèmes d’information à l’aide d’un rançongiciel

Les ports ne sont à l’abri non plus, avec :

  • une tentative de paralysie (rançongiciel)
  • là aussi, une prise en main à distance du smart port en exploitant l’interconnexion croissante entre les systèmes
  • la modification des systèmes d’information logistiques des ports (mouvement des navires, des passagers, du fret ou des moyens de manutention et de transport)
  • la désorganisation de la disponibilité des services portuaires (pilotage, avitaillement…) et la disponibilité des quais et des aires de stockage, etc.

La marétique

Le terme “marétique” est un néologisme : il n’est présent pour ainsi dire dans aucun dictionnaire ni encyclopédie, mais uniquement sur certains sites spécialisés (presse, revues professionnelles, etc…) mais commence à être reconnu, au même tire que l’agrétique pour l’agriculture.

Sa définition a été donnée en 2012 dans le Livre Bleu sur la marétique, publié en 2013 et que vous pouvez retrouver à cette adresse.

Le livre bleu de la marétique

Ensemble des systèmes informatiques et électroniques utilisés dans la gestion et l’utilisation des opérations relatives aux activités maritimes, fluviales et portuaires.

Cette définition, peu reprise par ailleurs, permet de mieux cerner ce qu’est la marétique. Pour mémoire, ce Livre Bleu avait pour volonté initiale de structurer les travaux et les réflexions de certains acteurs du monde maritime, comme le Cluster Maritime Français (CMF).

Bien que datant de 5 ans, ce document dresse un portrait assez précis de l’avenir du mode maritime, au travers de sa composante informatique, avec les premiers traits des systèmes de transport intelligents (navires autonomes).

Si le Livre Bleu souligne l’apport de la marétique pour assister l’officier de quart ou le capitaine dans le domaine de la navigation ou de la manœuvre, le sujet de la cybersécurité de ces systèmes est pour ainsi dire absent. Est simplement évoquée une “bulle sécurité” nécessaire à la protection du navire. Par ailleurs, le cas des systèmes de contrôle industriel n’est pas évoqué, alors que navires (à partir d’un certain tonnage) et infrastructures portuaires ont de plus en plus tendance à regorger de ce type d’équipement.

Dans le prochain article, je vous détaille plus précisément ce qu’est la marétique, en vous donnant des exemple plus concrets.

Mais, on le voit déjà, et on en reparlera : la quasi absence de la cybersécurité dans ce Livre Bleu est assez représentatif de la maturité du secteur maritime sur le sujet de la cybersécurité.

Présentation cyber-sécurité maritime par Naval Group

Présentation par Naval Group (Thomas Hardy) de la cybersécurité maritime, à l’occasion du forum cybersécurité, orientée recrutement :

  • présentation de l’entreprise
  • présentation de la cybersécurité du groupe
  • cybersécurité navale, incidents, vulnérabilités, évènements redoutés
  • présentation de la marétique d’un navire de guerre
  • cybersécurité portuaire
  • métiers (automates, cyberdéfense…)