Archives des Non classé - Cybermarétique.fr

Politique de confidentialité

12 janvier 201928 octobre 2019Non classé

Qui sommes-nous ?

L’adresse de notre site Internet est : https://cybermaretique.fr.

Utilisation des données personnelles collectées

Commentaires

Quand vous laissez un commentaire sur notre site web, les données inscrites dans le formulaire de commentaire, mais aussi votre adresse IP et l’agent utilisateur de votre navigateur sont collectés pour nous aider à la détection des commentaires indésirables.

Une chaîne anonymisée créée à partir de votre adresse de messagerie (également appelée condensat) peut être envoyée au service Gravatar pour vérifier si vous utilisez ce dernier. Les clauses de confidentialité du service Gravatar sont disponibles ici : https://automattic.com/privacy/. Après validation de votre commentaire, votre photo de profil sera visible publiquement à coté de votre commentaire.

Médias

Si vous êtes un utilisateur enregistré et que vous téléversez des images sur le site web, nous vous conseillons d’éviter de téléverser des images contenant des données EXIF de coordonnées GPS. Les visiteurs de votre site web peuvent télécharger et extraire des données de localisation depuis ces images.

Formulaires de contact

Le site dispose d’un formulaire de contact dont l’objectif unique est de vous permettre de rentrer en contact avec son auteur. Pour l’utilisation de ce formulaire de contact, vous devez remplir votre nom, une adresse de courriel (on l’espère valide), un objet, votre message (en évitant le spam 😉 ) et en acceptant la présente politique de confidentialité des données. Ces informations sont immédiatement transmises par courriel à l’auteur du site et ne sont pas stockées par la suite sur le site cybermaretique.fr .

Cookies

Si vous déposez un commentaire sur notre site, il vous sera proposé d’enregistrer votre nom, adresse de messagerie et site web dans des cookies. C’est uniquement pour votre confort afin de ne pas avoir à saisir ces informations si vous déposez un autre commentaire plus tard. Ces cookies expirent au bout d’un an.

Si vous vous rendez sur la page de connexion, un cookie temporaire sera créé afin de déterminer si votre navigateur accepte les cookies. Il ne contient pas de données personnelles et sera supprimé automatiquement à la fermeture de votre navigateur.

Lorsque vous vous connecterez, nous mettrons en place un certain nombre de cookies pour enregistrer vos informations de connexion et vos préférences d’écran. La durée de vie d’un cookie de connexion est de deux jours, celle d’un cookie d’option d’écran est d’un an. Si vous cochez « Se souvenir de moi », votre cookie de connexion sera conservé pendant deux semaines. Si vous vous déconnectez de votre compte, le cookie de connexion sera effacé.

En modifiant ou en publiant une publication, un cookie supplémentaire sera enregistré dans votre navigateur. Ce cookie ne comprend aucune donnée personnelle. Il indique simplement l’identifiant de la publication que vous venez de modifier. Il expire au bout d’un jour.

Contenu embarqué depuis d’autres sites

Les articles de ce site peuvent inclure des contenus intégrés (par exemple des vidéos, images, articles…). Le contenu intégré depuis d’autres sites se comporte de la même manière que si le visiteur se rendait sur cet autre site.

Ces sites web pourraient collecter des données sur vous, utiliser des cookies, embarquer des outils de suivis tiers, suivre vos interactions avec ces contenus embarqués si vous disposez d’un compte connecté sur leur site web.

Statistiques et mesures d’audience

Ce site utilise un outil de mesure d’audience qui a été choisi pour sa conformité en termes de protection des données personnelles. Cet outil collecte :

les trois premiers octets de votre adresse IP
les dates et heures de connexion
les pages visitées
les informations techniques transmises par votre navigateur et votre système d’exploitation (généralement : le type de système d’exploitation et le nom et la version de votre navigateur, la résolution de votre affichage)

Utilisation et transmission de vos données personnelles

Les données personnelles sont utilisées dans deux cas :

la mesure d’audience,
le contact entre vous et moi par le formulaire mentionné ci-dessus. Dans ce cas, votre adresse de courriel peut être utilisée par mes soins pour vous contacter, mais elle n’est pas utilisée à d’autres fins.

Durées de stockage de vos données

Si vous laissez un commentaire, le commentaire et ses métadonnées sont conservés indéfiniment. Cela permet de reconnaître et approuver automatiquement les commentaires suivants au lieu de les laisser dans la file de modération.

Les droits que vous avez sur vos données

Si vous avez un compte ou si vous avez laissé des commentaires sur le site, vous pouvez demander à recevoir un fichier contenant toutes les données personnelles que nous possédons à votre sujet, incluant celles que vous nous avez fournies. Vous pouvez également demander la suppression des données personnelles vous concernant. Cela ne prend pas en compte les données stockées à des fins administratives, légales ou pour des raisons de sécurité.

Transmission de vos données personnelles

Les commentaires des visiteurs peuvent être vérifiés à l’aide d’un service automatisé de détection des commentaires indésirables.

Informations de contact

Vous pouvez nous contacter en utilisant le formulaire suivant : https://cybermaretique.fr/contact/ .

Informations supplémentaires

Ce site a pour ambition de respect vos données privées : il n’utilise pas de régie publicitaire, n’inclue pas de boutons pour les réseaux sociaux, limite les liens externes au strict nécessaire et n’utilise des cookies qu’à des fins techniques (administration du site) et de mesure d’audience. Conformément aux recommandations de la CNIL, l’outil de mesure d’audience se veut respectueux de vos données :

il vous permet de refuser la capture et le stockage des informations techniques fournies par votre navigateur lors de votre accès au site,
les données collectées ne sont pas recoupées avec d’autres traitements,
le cookie déposé ne sert qu’à la production de statistiques anonymes,
le cookie ne permet pas de suivre votre navigation sur d’autres sites,
l’adresse IP permettant de vous géolocaliser l’internaute n’est pas plus précise que l’échelle de la ville,
les données de fréquentation ne sont pas conservées au conservés au-delà de 13 mois.

Références

25 octobre 201816 février 2021Non classé

Je partage avec vous quelques références intéressantes. Non pas MES références, mais des pointeurs vers quelques sites et documents intéressants sur le sujet. C’est un travail de longue haleine, donc il manque encore sûrement plein de choses.

Thème “réglementation et bonnes pratiques” :

Le site de l’Organisation Maritime Internationale sur les questions de cybersécurité maritime : vous y trouverez notamment ses directives sur la gestion des risques cyber maritimes et le mini-site de la Représentation française auprès de l’OMI sur les risques cyber maritimes
Les directives sur le sujet publiées par BIMCO, l’Association internationale des lignes de croisière (CLIA), la Chambre internationale de la marine marchande (ICS), l’Association internationale des transporteurs de marchandises solides (INTERCARGO) et l’Association internationale des armateurs pétroliers indépendants (INTERTANKO) (v4)
Le guide des bonnes pratiques de sécurité informatique à bord des navires, par l’Agence Nationale de Sécurité des Systèmes d’Information
Le guide et les modèles de la mise en œuvre de la cybersécurité à bord des navires de la Digital Container Shipping Association (DCSA), paru en avril 2020
Les guides “Renforcer la protection des systèmes industriels des navires“, publié en janvier 2017 et “Cybersécurité – évaluer et protéger le navire” paru en septembre 2016, par la Direction des affaires maritimes
Le site de l’ENISA European Union Agency for Network and Information Security dédié au secteur maritime et notamment la récente publication sur la sécurité des ports (Good practices for Cybersecurity in the Maritime Sector – Port Security) et le guide Cyber risks management for ports.
Recommandation on cyber resilience – REC 166 (en anglais) de l’IACS (International Association of Classification Societies)
Directive européenne NIS (Network & Information Security), transposée en droit français le 26 février 2018, suivie de l’a rrêté du 14 septembre 2018 fixant les modalités d’application de la directive NIS aux Opérateurs de Services Essentiels (OSE). Ce texte est compatible avec les mesures préalablement fixées en droit national pour les Opérateurs d’Importance Vitale (OIV)
Règlement Général sur la Protection des Données, entré en application en mai 2018 et sa transposition en droit français en juin 2018. Les informations complètes sont présentes sur le site de la CNIL
La transcription en droit français du règlement européen CE725/2004 (article 3.5)
Un livre blanc du Lloyd’s Register sur la cybersécurité des navires (février 2016)
UK Department for Transport, Code of practise, CyberSecurity for Ships
UK Department for Transport, Good Practise Guide, Cybersecurity for Ports and Port Systems
La note d’Armateurs de France “La gestion des cyber-risques maritimes : décryptage réglementaire“
US Coast Guards, Guidelines for addressing cyber risks at maritime transportation security act (MTSA) regulated facilities, NVIC 01-20 (concerne les ports du MTS uniquement).
US Coast Guard Office of Commercial Vessel Compliance (CG-CVC) Mission Management System (MMS) Work Instruction (WI) CVC-WI-027(1) Vessel Cyber Risk Management Work Instruction (concerne les navires)

Thème “certification”

Nippon Kaiji Kyokai, plus connu sous le nom de ClassNK, a diffusé en avril 2019 un guide de 45 pages, le NK-Cyber Security Management System for Ships (Requirements and Controls), disponible en anglais après inscription sur leur site.
Le Bureau Veritas a émis en juillet 2018 sa note n°NR 642 DT R00 E, “Cybersecurity Requirements for Products to be Installed On-Board Naval Ships” et la 659 NR “Rules on Cybersecurity for the Classification of Marine Units”
Les recommandations du Lloyd’s Register sur les navires autonomes.
Le document de DNV GL CP-0231 “Cyber security capabilities of systems and components” de mars 2020
Le document de DNV GL RP-G108 “Cyber security in the oil and gas industry based on IEC 62443” de septembre 2017
Le document de DNV GL-RP-0496 “Cyber security resilience management for ships and mobile offshore units in operation” de Septembre 2016

Thème “recherche” :

Chaire de cyberdéfense des systèmes navals (École navale, Brest, France) : la chaire est issue d’un partenariat entre l’École navale, Thalès, Naval Group et l’IMT (Institut Mines-Télécom). Elle accueille une douzaine de doctorants qui travaillent sur des sujets assez larges: la sécurité des capteurs et des automates, le maintien en conditions de sécurité ou encore les questions de visualisation et d’analyse de la menace.
Maritime Cyber Threats Group (University of Plymouth, Royaume-Uni) : ce groupe de recherche a pour objectifs de développer la connaissance des vulnérabilités et risques du secteur maritime. Il travaille sur différents sujets, comme l’aide à la décision, les risques liés aux vulnérabilités des chaînes logistiques, la cybersécurité des navires autonomes, ou encore la composante “humaine” (sensibilisation, entraînements, aspects psychologiques).
Cybersecurity incident data reporting for autonomous ships, par Petteri Vistiaho (Tampere University of Technology)
A l’été 2013, des chercheurs de l’Université du Texas ont conduit les premières expérimentations de spoofing GPS sur un yacht de luxe.

Thème “conférences”

Le “European Maritime Cyber Risk Management Summit“, 15 juin 2018, à Londres
Le “Maritime Cyber Threats and Awareness Symposium“, alias CyMar18, 2 novembre 2018, à Londres
CYpBER, conférence internationale sur la cybersécurité du secteur maritime, du pétrole et du gaz, essentiellement focalisée sur le secteur géographique de l’est de la mer Méditerranée. Dernière édition en juin 2020

Thème “rapports” / blogs / vulnérabilités

Le rapport de l’ENISA sur les aspects cybersécurité dans le monde maritime (décembre 2011)
Le rapport “Cybersécurité et marétique, un enjeu européen ?” de Ryan Burton, via le Centre d’études stratégiques de la marine (CESM, 2014)
Le rapport d’IOActive sur les vulnérabilités des terminaux par satellite
L’article de Pentest Partners sur les vulnérabilités des logiciels de chargement à bord des porte-conteneurs
L’article de Pentest Partners sur les risques liés aux terminaux par satellite et à l’ingénierie sociale.
Un article du Department of Homeland Security américain sur les risques cyber liés aux activités portuaires.
Le document “Global Maritime Issues Monitor“, de 2018, qui liste le risque cyber comme un risque majeur et avéré pour le secteur maritime.

Vidéos de sensibilisation

J’ai regroupé la plupart des vidéos sur une playlist Youtube dédiée :

Les solutions

25 octobre 201828 octobre 2019Non classé

Installer de l’UEBA avec un pare-feu de niveau 7, en implémentant de la blockchain sur une approche top down dans un contexte de big data et d’IA.

Mmmmh.

Il n’y a bien sûr pas de solution ultime pour sécuriser le secteur. Je suis breton, j’aime bien la gastronomie, alors je vais vous proposer une recette à base de quatre-quarts.

1 quart d’ambition et de volonté

Je ne sais plus qui disait “Sans volonté, pas de réussite”, mais bon on y est. Et pas de la volonté d’affichage, mais une vraie envie. On vit dans un monde merveilleux, mais où, je trouve, on dit beaucoup et on fait peu. Il y a de nombreux acteurs, chacun avec des envies et des attentes différentes. Qui pour coordonner tout cela ? Pour insuffler les bonnes idées efficaces ? Comment faire pour éviter d’en faire une “usine à gaz” et impacter financièrement nos armateurs, pêcheurs, en mettant en place une réglementation trop coûteuse ? Une chose est sûre, il faut y aller pas à pas. Quelques sources d’espoir ? Peut-être (bon, ce ne sont que des tweets) :

Ouverture par Vincent Bouvier @sgmer @ComiteFr des rencontres parlementaires sur la #Cybersécurité #maritime #RPCyberMaritime @CyberCercle @CyberMaritime @Gican_InduNav : "l'ambition du Gouvernement est de construire une grande filière cyber maritime française" pic.twitter.com/RhZWPuGoFk
— Comité France Maritime (@ComiteFr) May 22, 2018

Nous avons un impératif de fédérer les initiatives et créer une réelle filière économique de la #cybersecurite en #France mais aussi travailler avec l'#UE et nos partenaires européens, comme pour la filière #aéronautique V.Bouvier @SGMer pic.twitter.com/R0A0bB4NFH
— European days (@european_days) May 22, 2018

Rencontre @fmoncany @EPhilippePM. Sans surprise, intérêt fort du PM pour questions #maritimes / #portuaires. Au programme : préparation #cimer, #décarbonation et #Cybersécurité maritime, #EMR, #innovations…
© photo : Benoit Granier / Matignon pic.twitter.com/FlAA3mHNYy
— Cluster Maritime Français (@ClusterMaritime) October 19, 2018

1 quart de réglementation et de bonnes pratiques

Le sujet de la réglementation est intéressant : il y a ceux qui pensent qu’il y en a trop et ceux qui disent : il faut faire quelque chose. J’ai rencontré les deux, j’ai moi-même été confronté aux deux cas. Comme souvent, la réponse est médiane : il faut très certainement éviter les couches de réglementation qui se recoupent et s’opposent parfois. Il faut aussi impérativement éviter “l’effet parapluie” : c’est écrit, donc c’est bon. Non, comme on l’a dit, les navires et infrastructures navales ont un cycle de vie très long : écrire un texte aujourd’hui ne signifie pas qu’il sera applique le lendemain (c’est comme pour les correctifs de sécurité !). Donc oui, la réglementation cyber est faible sur le domaine. Oui, l’OMI a écrit, l’IEC aussi, certains armateurs aussi (BIMCO/CLIA/ICS/INTERCARGO/INTERTANKO/IUMI/OCIMF). L’ANSSI aussi. Le secteur est-il plus sûr ? Si la mise en œuvre est exigences relatives aux OIV devrait changer la donne en France, il va falloir être patient. Et, surtout, éviter de copier/coller des bonnes pratiques d’autres secteurs, qui n’ont pas toujours de sens.

Enfin, le partage. Il faut que les acteurs cyber du monde maritime français se rencontrent, se connaissent, créent un véritable réseau d’échange de bonnes pratiques et, peut-être un jour, d’IoC 🙂

1 quart d’effort sur les RH

Formation

Sensibilisation

Responsabilisation

Entraînement et mise en situation

… et on devrait être pas mal.

L’offre de formation en cybermarétique est insuffisant. Oui, on peut s’en sortir avec des formations “généralistes” en cyber (et il y en a de très bonnes en France, suivez mon regard). Mais il faut connaître la marétique. Et cela peut prendre des années pour se bâtir une expérience, soit en naviguant (Marine marchande ou Marine nationale), mais je pense qu’il faut aussi parler de la marétique lors du cursus initial de formation. Il y a en effet tellement de choses à dire.

Sensibilisation : ce point est essentiel, il est généralement déjà pris en compte : il faut sensibiliser les équipages, les capitaines, les armateurs et les intervenants aux risques cyber. Pas en les assommant un jeudi après-midi par des PPT indigestes avec des tonnes de réglementation, mais en leur apportant aussi des exemples et des solutions concrètes. C’est essentiel et cela permet…

de les responsabiliser : ce point est essentiel : les utilisateurs, administrateurs, responsables de systèmes sont prêts à assumer leur responsabilité si on leur donne les bonnes informations et les bons outils. L’humain, qui est souvent pointé du doigt pour ses failles, est aussi une barrière essentielle dans la protection de la marétique.

Enfin, l’entraînement et la mise en situation : il faut entraîner le personnel et l’organisation en les mettant en situation concrète face à un évènement cyber. C’est l’occasion rêvée pour vérifier que les actions de sensibilisation, de responsabilisation et que l’organisation fonctionnent correctement, de l’alerte jusqu’à la phase de résolution. Et en plus ce n’est pas trop cher.

1 quart de technologie

Et oui, je termine par la technologie : ne comptez pas mettre des datacenters à bord des navires, des NIDS qui vous crachent des milliers d’alertes par jour, ou des boîtes noires que personne ne comprend… Il faut adapter les solutions au navire et aux infrastructures, et pas l’inverse ! Pour cela, la connaissance du milieu et des risques est essentielle. Et il faut traiter la marétique dans son ensemble et arrêter de chercher des solutions “en silo”.

La problématique

25 octobre 201828 octobre 2019Non classé

Je n’aime pas le terme problématique : il est utilisé à tort et à travers et surtout à toutes les sauces, notamment parce que l’on confond “problème” et “problématique”. L’objectif de cet article, loin de vouloir désigner les coupables, est au contraire d’identifier les problèmes “macro” de prise en compte de la cyber-sécurité dans la marétique.

Pour mettre dans l’ambiance, commençons par une citation, vieille de 7 ans, mais qui reste globalement d’actualité :

« Le faible niveau de conscience général inquiète […] il est la conséquence d’un faible sentiment d’urgence combiné à une préparation inadéquate aux risques du cyber-espace. »
ENISA, Analysis of Cyber Security aspects in the maritime sector (2011)

1. Le facteur humain

Dans un monde parfait, toute entreprise a une politique de sécurité, tout le monde l’applique, et le monde est sauvé. Chacun sait que ce n’est pas le cas. C’est encore plus vrai dans la marétique : entre l’équipage du navire (à l’expérience variée et diverse), celle de l’armateur, les nationalités et réglementation variées, les sous-traitants : un joli cocktail de difficultés pour les RSSI ! Faire appliquer une politique de sécurité homogène est donc loin d’être simple. Or, tout le monde vous le dira, “le problème de la cyber est entre la chaise et le clavier”. Oui, peut-être : la sensibilisation aux risques liés à au phishing, au harponnage et aux attaques en point d’eau peuvent être améliorer. Oui, il faut confronter l’ensemble du personnel (PDG inclus, on le rappelle) concrètement à ces menaces.

Mais je suis toujours convaincu que chaque membre d’équipage, chaque employé de l’armateur, chaque maintenancier est aussi un acteur potentiel remarquable dans la protection des systèmes qu’il exploite ou qu’il administre : s’il est bien sensibilisé, accompagné, voire contrôle si nécessaire, il peut aussi être un très bon capteur, pour détecter les procédures dangereuses, voire être le dernier rempart (à défaut de mieux) sur une clé USB à 2 doigts d’être branchée sur votre système en production. Le stigmatiser n’est donc pas forcément la meilleure approche.

Simplifier la cyber en disant “c’est la faute de l’utilisateur”, c’est un peu court…

2. L’inadéquation d’une majorité de technologies “sur étagère”

Les solutions, c’est bien connu, plein de monde en a, et tout le monde est prêt à vous en vendre. Si c’était aussi simple que de copier des technologies “sur étagère” et de les “coller” sur un navire, ça se saurait.

Oui, bien sûr, il y a des meilleures pratiques de certains secteurs (je pense à des recommandations de l’ANSSI sur les systèmes industriels) à mettre en place. Mais on ne peut pas, efficacement, appliquer directement une technologie sur un navire. Parce que la marétique a des particularités qu’il faut prendre en compte (voir cet article). Ne pas les prendre en compte, c’est soit se planter, au mieux (= ça ne fonctionne pas), soit croire qu’on est sécurisés (c’est pire).

Le tout est intégré “en silo”, c’est-à-dire sans intégration à bord du navire, où chacun installe son composant, sans penser à la sécurité de l’ensemble.

3. La méconnaissance du milieu

C’est comme pour de nombreux domaines : c’est souvent ceux qui le connaissent le moins qui en parlent le plus. Si jamais vous êtes un acteur de la marétique, et que dans un salon ou à une autre occasion on essaye de vous vendre quelque chose, demandez à votre interlocuteur ce qu’il connaît du monde maritime, s’il a déjà eu l’occasion de travailler sur des navires, etc… vous serez assez surpris. Cette méconnaissance du milieu a un impact direct (cf le paragraphe précédent).

4. Une réglementation “light” (comme les yaourts)

Alors, oui, on est bien d’accord, la réglementation c’est gonflant, il y en a trop et c’est difficile à appliquer. Bon, vous allez être rassurés, si le domaine maritime est un monde très réglementé (par exemple, un navire ou un armateur doivent respecter de nombreuses contraintes pour être autorisés à naviguer / exploiter une flotte), en cyber, c’est plutôt léger (même s’il parait que l’OMI y travaille). Aujourd’hui, pour simplifier un peu, la réglementation du secteur est très orientée “organisationnel” (gestion des risques) et comprend, de manière générale, de nombreux copier/collers de certaines meilleures pratiques “terrestres”, alors que d’autres manquent. On ne sait pas trop pourquoi, mais c’est comme ça. Ah oui, la plupart des normes est payante (évidemment), donc ça n’aide pas non plus. Au niveau technologique, pas grand’chose à se mettre sous la dent. On vous demandera, au mieux, de disposer d’un pare-feu à bord de votre navire d’ici 2020. Je cherche 300 francs suisses pour obtenir la norme IEC 61162-460:2018 qui semble un peu plus ambitieuse. Dans l’attente, vous pouvez la prévisualiser en (petite) partie ici (à partir de la page 23).

Avec un cycle de vie ultra long (cf infra) et une certaine forme de dilution des responsabilités (qui est responsable en cas d’incident : l’armateur ou le capitaine ? Le chantier naval qui a conçu le navire ? L’intégrateur ou le concepteur du système ?

5. Le cycle de vie long

C’est probablement un des points les plus difficiles avec la marétique. J’en ai déjà parlé, mais un navire est fait pour durer une quarantaine d’années (en moyenne, ça peut dépendre des secteurs : pêche, défense, commerce, plaisance…). C’est énorme. Cela se rapproche de certains milieux industriels à terre, mais cette durée est très longue.

Alors, pour faire simple et court, patcher la dernière CVE parue sur Windows (ou autres, je n’ai pas d’action Microsoft), comment vous dire, dans la majorité des cas, il va falloir l’oublier pendant un moment, et travailler au niveau des entrées/sorties, du réseau, pour éviter qu’elle soit exploitable. Si vous espérez pouvoir patcher un navire en pleine mer en temps réel, comment vous dire, c’est compliqué. On y arrivera peut-être un jour (restons optimistes). Avec de la blockchain, de l’IA, du bigdata on va être sauvés.