Les gardes-côtes américains interviennent à bord d’un navire objet d’un incident cyber.

Une récente alerte de sécurité des gardes-côtes américains nous donne des informations intéressantes sur un incident cyber ayant eu lieu en février 2019 à bord d’un navire à fort tirant d’eau (sans plus de précisions). Ce navire, qui réalisait un trajet international à destination du port de New York et New Jersey, a informé les gardes-côte qu’ils faisaient face à un incident cyber significatif impactant leur réseau informatique à bord.

Une équipe composée de plusieurs experts de différentes agences gouvernementales, dirigée par les gardes-côtes, a répondu à cet appel et a conduit une analyse du réseau du navire et de ses systèmes essentiels de contrôle commande. L’équipe a conclu que, si le code malveillant avait dégradé de manière significative le fonctionnement des ordinateurs du bord, les systèmes essentiels de contrôle commande du navire n’avaient pas été touchés.

Cependant, l’équipe a relevé que le navire opérait sans aucune mesure de cybersécurité, exposant ainsi les systèmes de contrôle-commande critiques du navire à des vulnérabilités significatives. Ce risque de sécurité était cependant bien connu par l’équipage. Bien que la plupart des membres d’équipage n’utilisaient pas les ordinateurs du bord pour consulter leur courrier électronique, réaliser des achats en ligne ou vérifier leurs comptes bancaires, ce réseau était utilisé pour les communications officielles. Ainsi, la mise à jour des cartes électroniques, la gestion de la cargaison et la communication avec les pilotes, agents, gardes-côtes et autres organisations à terre utilisait ce réseau.

Les gardes-côtes américains précisent qu’il est difficile de généraliser pour savoir si la situation de ce navire est représentative de l’état actuel de cybersécurité à bord des autres navires à fort tirant d’eau. Cependant, avec des moteurs aujourd’hui contrôlés par des clics de souris, et une dépendance croissante sur les cartes et systèmes de navigation électroniques, la protection de ces systèmes avec des mesures dédiées de cybersécurité est essentielle, tout comme l’est la protection physique au navire ou la réalisation d’opérations de maintenance de routine sur la machine.

Les gardes-côtes soulignent qu’il est impératif que la communauté maritime s’adapte à l’évolution des technologies et s’organise face à la menace en reconnaissant le besoin pour des mesures d’hygiène numérique et en mettant en œuvre les mesures idoines. Les mesures de sécurité suivantes sont notamment listées (ne vous attendez pas à un scoop !) :

  • la segmentation des réseaux : les réseaux “à plat” permettent à un adversaire de naviguer facilement vers tout système qui y serait connecté. La segmentation en sous-réseaux rendent difficile ce type d’action ;
  • identification et authentification stricte : supprimer l’utilisation de comptes génériques et créer des profils réseau pour chaque employé, en leur obligeant à se connecter par l’utilisatio d’un mot de passe ou l’insertion d’une carte à puce pour se connecter. Limiter également les accès et les privilèges au strict niveau nécessaire pour que chaque utilisateur puisse travailler. Les comptes d’administration ne doivent être utilisés que lorsque strictement nécessaire ;
  • être prudent avec les médias amovibles : cet incident a révélé qu’il est de pratique courante de transférer les informations relatives à la cargaison à quai en utilisant une clé USB. Ces clés étaient traditionnellement connectées directement sur le réseau du bord sans contrôle antivirus préalable. Il est critique que tout média externe soit contrôlé sur un sas antivirus isolé avant toute connexion sur le réseau du bord. Ne jamais lancer d’exécutable provenant d’une source inconnue ;
  • installer un logiciel antivirus de base : une hygiène cyber de base peut stopper les incidents avaient qu’ils aient un impact sur les opérations. Installer et mettre à jour l’antivirus régulièrement ;
  • ne pas oublier d’installer les correctifs sur les systèmes d’exploitation : l’installation de correctifs est à la base de toute bonne hygiène numérique : les vulnérabilités impactant les systèmes d’exploitation et les applications changent quotidiennement.

Maintenir une cybersécurité efficace n’est pas qu’une histoire d'”IT”, mais aussi un impératif opérationnel fondamental au 21è siècle ! Les gardes-côtes encouragent tous les propriétaires et opérateurs du monte maritime à conduire des évaluations de cybersécurité pour mieux comprendre l’étendue de leurs vulnérabilités cyber. Ils rappellent également que le Department of Homeland Security (DHS) et la Cybersecurity and Infrastructure Security Agency (CISA) proposent de nombreuses ressources gratuites pour aider les armateurs à évaluer l’état de leurs réseaux et identifier les vulnérabilités cyber. Aux États-Unis, il existe des groupes d’intervention cyber, appelés les Hunt and Incident Response Team (HIRT), qui dépendent du National Cybersecurity and Communications Integration Center (NCCIC). Ces équipes sont à même de rechercher des traces d’évènements cyber et d’y répondre en assurant le confinement, la remédiation et la restauration au profit des organisations gouvernementales mais aussi du secteur privé. Toute entreprise peut solliciter les services du HIRT en visitant leur site Internet ( https://www.us-cert.gov ) ou en appelant 24h/24h et 7j/7j au (888) 282-0870. Espérons que ce type d’organisation voit le jour en France aussi.