Dans un communiqué de presse, l’assureur Willis Towers Watson annonce le lancement d’un nouveau produit d’assurance spécifiquement dédiés aux risques de cybersécurité dans le monde maritime. L’objectif de ce produit est de répondre à l’imparfaite couverture du risque cyber dans la plupart des contrats d’assurance, et de faire face à la multiplication des évènements cyber dans le monde maritime.
L’assurance semble couvre plusieurs cas, notamment : gestion de crise en cas de rançongiciels, vol de données, incidents relatifs à des tiers, perte de connectivité suite à des attaques sur le lien satellite, cas liés RGPD et NIS.
Une petite vidéo proposée par l’assureur (je n’ai pas d’actions) :
L’objectif de cette formation, unique en Europe, est de répondre aux attentes du secteur maritime dans le domaine de la cybersécurité. Dans une étude, près des 2/3 d’entre eux regrettaient l’absence de formations experte dans ce domaine. La formation, qui associe IMT Atlantique, l’École navale, ENSTA Bretagne et l’ENSM proposera plus de 500 heures de formation sur l’ensemble du spectre de la cybersécurité : technique, organisationnelle et mises en situation.
En ces temps de confinement, les inscriptions sont toujours ouvertes et ce, jusqu’à la mi-juin. La plaquette de présentation de la formation est téléchargeable ici et le lien vers les inscriptions est là.
Le site Internet de la ville de Brest et de Brest Métropole Océane ainsi que le journal Le Télégramme nous informent que les choses avancent sur la création d’un centre national (voire européen ?) de cybersécurité maritime à Brest, sujet que j’évoquais déjà ici et là. L’annonce publique officielle de la candidature de Brest a été réalisée aujourd’hui par Michel Gourtay, président du Technopôle Brest-Iroise (TBI) et vice-président de Brest Métropole chargé de l’économie à l’issue du conseil d’administration du Technopôle.
Il est vrai que Brest dispose de nombreux atouts pour accueillir ce centre. Je vais en citer quelques uns (et j’en oublierai sûrement) :
des acteurs et organisations publiques de premier plan : le Campus mondial de la mer, Ifremer, IUEM, le SHOM et bien sûr, le Technopôle Brest-Iroise ;
un tissu industriel de qualité et tourné vers la mer, que ce soit pour les grands acteurs, comme Thales ou Naval Group, mais aussi grâce à une myriade d’entreprises de qualité ;
de nombreux laboratoires de recherche, comme le lab-STICC ou encore la chaire de cyberdéfense des systèmes navals ;
des écoles d’ingénieur prestigieuses : IMT Atlantique, ENSTA Bretagne, École navale entre autres ;
enfin, la présence de la Marine nationale, ancrée de si longue date sur le secteur, et dotée de moyens de coordination importants, comme le Préfet maritime ou encore, dans le domaine de la coopération navale volontaire, le MICA Center et le MSHOA.
On apprend également qu’un courrier officiel de candidature en ce sens, cosigné par la Région Bretagne, a été transmis à M. le Premier ministre le 12 juillet dernier, avec le soutien de la Marine nationale.
Mais qu’est-ce qu’un centre national de cybersécurité maritime ? Quelles pourraient être ses missions ?
Tout d’abord, le rôle de coordination et d’animation sectorielles parait essentiel, en relation avec l’ensemble des acteurs du monde maritime en France (on pense aux armateurs, aux ports, aux acteurs industriels, au SGMer notamment), l’Agence nationale de sécurité des systèmes d’information, avec les autres CERT, mais aussi les acteurs européens voire mondiaux, comme l’OMI, sur les aspects liés à la réglementation voire à la certification dans ce domaine.
Ensuite la sensibilisation : il y a toujours à faire dans ce domaine, pour expliquer la menace, démontrer les risques, en appliquant cette sensibilisation au secteur maritime, si particulier. Cette sensibilisation pourrait gagner à passer par la mise en pratique, au travers d’entraînements à la cyberdéfense dédiés.
La formation : comme déjà évoqué, un mastère spécialisé en cybersécurité maritime est déjà en cours de création sur la région Brestoise : ce centre pourrait y apporter sa connaissance du secteur, son expérience, et contribuer à la formation des futurs experts du secteur.
La recherche : en lien avec la chaire de cyberdéfense des systèmes navals, ses partenaires industriels, cette mission est essentielle pour pouvoir répondre aux enjeux de demain sur des thématiques parfois complexes.
Enfin, très certainement une mission opérationnelle de cyberdéfense du monde maritime, proche de celle d’un CSIRT. Cette mission s’appuiera très certainement sur des capacités de cyber-surveillance, au travers d’un Security Operations Center à vocation maritime (navires et infrastructures terrestres, offshore et portuaires). Par ailleurs, le centre pourrait prendre à sa charge des actions préventives et réactives en cas d’incident. Gageons aussi d’une capacité de production et de partage d’information (type renseignement d’intérêt cyber / cyber threat intelligence) au niveau national et international spécifique au secteur. Une organisation et des procédures proches de ce qui fait au niveau du contrôle naval volontaire seraient d’ailleurs une bonne chose.
On l’espère également, un lien favorisé avec les industriels du secteur pour partager les meilleures pratiques et réfléchir ensemble à une meilleure cybersécurité des navires et infrastructures maritimes d’aujourd’hui et de demain !
Bref, un bien beau projet en perspective pour apporter du concret et des réponses au secteur !
P.S. 1 : Notons que le mastère spécialisé en cybersécurité des systèmes maritimes et portuaires indiqué dans l’article devrait bien se construire autour d’un consortium entre l’Institut Mines-Télécom, l’ENSTA Bretagne, l’École navale et l’École nationale supérieure maritime, comme nous l’avions précisé ici.