Les États-Unis créent une association à but non lucratif pour faciliter le partage d’information cyber dans le monde maritime.

En Février 2020, les États-Unis ont créé le Maritime Transportation System Information Sharing and Analysis Center (MTS-ISAC), dont le site Internet a été mis en ligne. Ce MTS-ISAC a été conçu par un groupe d’acteurs américains du monde maritime sous la forme d’une association à but non lucratif (501(c)(6), l’équivalent de notre association type Loi 1901), afin de promouvoir le partage d’information au sein de la communauté maritime.

Une prise de conscience qui mûrit…

Cette création est la suite logique d’une prise de conscience du secteur maritime (smartports, armateurs, opérateurs) face aux enjeux cyber et de leur besoin de pouvoir partager les informations de manière efficace et sécurisée. En effet, au sein de chaque organisation, les ressources humaines combinant une expertise cyber et maritime sont limitées : la solution du partage de l’information avec les acteurs publics et privés a donc été retenue comme étant la meilleure approche. L’objectif final étant d’identifier les menaces, de les détecter et de protéger au mieux les réseaux, les systèmes et le personnel face à ces menaces, des missions finalement très proches de celles généralement réalisées par un CERT (Computer Emergency Response Team).

L’ISAC, le point central de coordination cyber maritime en prévision de l’application des nouveaux règlements

Le MTS-ISAC a donc pour objectif d’être un point central de coordination entre les secteurs publics et privés afin de pouvoir rapidement partager des informations précises et récentes sur les menaces cyber entre ces acteurs de confiance. L’effort de partage et d’analyse de l’information se concentre tout autant sur les menaces relatives à l’Information Technology (IT) et l’Operational Technology (OT). Les services du MTS-ISAC assistent donc les opérateurs du monde maritime avec la compréhension et la prise en compte des risques cyber, dans la perspective des contraintes réglementaires qui approchent (circulaire IMO qui rentre en vigueur à partir du 1er janvier 2021, réglementation spécifique aux États-Unis comme la circulaire des Gardes-côtés américains Navigation and Vessel Inspection Circular (NVIC) 01-20, Guidelines for Addressing Cyber Risks at Maritime Transportation Security Act (MTSA) Regulated Facilities).

Des retours positifs…

Interrogé par Security Magazine, Scott Dickerson, le directeur exécutif du MTS-ISAC, explique “Alors que le secteur maritime voit sa dépendance aux nouvelles technologies augmenter et qu’il les intègre dans ses capacités opérationnelles, nous constatons la nécessité pour les parties prenantes de mettre en commun leurs ressources cyber pour gérer les risques associés de manière efficace. Les menaces cyber augmentant régulièrement, le partage efficace des informations entre les parties prenantes a démultiplié leurs capacités de prise en compte des risques. Bien que les circulaires de l’OMI et de l’USCG aident à fournir des orientations à l’industrie en termes de gestion des risques, nous pensons que les partenariats public-privé maritimes efficaces seront la pierre angulaire de la réussite de la gestion des risques cyber maritimes. La structure MTS-ISAC est utile pour tout acteur maritime qui possède et exploite une infrastructure critique, et permet de placer l’ensemble des acteurs sur un même niveau d’égalité et de protection en ce qui concerne les efforts de partage d’informations sur la cybersécurité. Le MTS-ISAC contribue à bâtir la communauté de la cybersécurité maritime, et nous pensons que les parties prenantes trouveront notre approche de la collaboration et du partage d’informations très représentative de l’environnement opérationnel actuel de la communauté maritime, tout en fournissant les indispensables mécanismes de protection des échanges d’informations“

David Cordell, CIO du port de la Nouvelle-Orléans, précise : “En corrélant les informations de cybersécurité entre les principales parties prenantes de MTS, l’ISAC nous fournit à tous l’alerte rapide nécessaire pour protéger nos organisations contre les incidents. Notre participation au MTS-ISAC nous apporte une valeur que nous n’avons pas pu obtenir ailleurs.“

Christy Coffey, vice-présidente des opérations de MTS-ISAC, est enthousiaste : “Le retour des acteurs sur la création du MTS-ISAC a été phénoménal. Le fort leadership du conseil d’administration et de notre équipe de direction, le partage rapide des activités suspectes et malveillantes ciblant les organisations et des partenariats de qualité ont conduit à un lancement extraordinairement réussi“.

L’organisation associative…

Les premiers membres du conseil d’administration de l’ISAC sont:

• Alabama State Port Authority,
• Greater Lafourche Port Commission (Port Fourchon),
• Jacksonville Port Authority (JAXPORT),
• le port de la Nouvelle-Orléans,
• le port de San Diego,
• le port de Vancouver
• six autres parties prenantes des infrastructures maritimes critiques.

Sur leur site, le MTS-ISAC précise : “Notre conseil d’administration est composé de parties prenantes de l’ensemble du secteur maritime. Il s’agit de leur ISAC, et ils ont une capacité de prise de décision directe sur la façon dont les secteurs privé et public partagent les informations pour améliorer la cyber-résilience du secteur.” Les quinze sièges du conseil d’administration avec droit de vote comprennent les ports, les opérateurs de terminaux, les armateurs, l’industrie des croisières, le secteur de l’énergie et des représentants du gouvernement.

Les missions

Les services du MTS-ISAC sont notamment :

• le partage d’information,
• la sensibilisation,
• l’entraînement,
• la surveillance des réseaux,
• la threat intelligence,
• les tests d’intrusions,
• la recherche de vulnérabilités,
• la collaboration public/privé,
• la gestion du risque…

Concernant l’entraînement, l’ISAC apporte un soutien de bout en bout pour la conception et la réalisation d’exercices “sur table” et “fonctionnels”, pour vérifier que les différents acteurs sont bien coordonnés et prêts à répondre à un incident cyber. L’ISAC est également en charge de la rédaction des rapports suite aux exercices, partageant le retour d’expérience avec l’ensemble des acteurs.

Des connexions avec les autres communautés

​L’ISAC fait aussi bénéficier ses membres d’une communauté plus large d’acteurs exploitant des informations critiques, comme le secteur de l’aviation, du commerce… et assure également les connexions entre les demandeurs et des experts du secteur.