« Maritime cyber security awareness is currently low, to non-existent ». C’est en ces termes alarmistes que l’European Union Agency for Network and Information Security (ENISA) qualifie, dans un rapport publié en 2011, le niveau de cybersécurité dans le secteur maritime. L’inquiétude de l’Agence pour cette problématique se justifie, d‘une part, par le caractère stratégique du secteur maritime pour l’économie européenne : 90% du commerce extérieur européen repose sur le trafic maritime, 22 pays membres disposent d’un littoral et se partagent 1200 ports commerciaux. D’autre part, l’ENISA constate que le secteur maritime est dorénavant totalement dépendant de ce qu’on appelle la « marétique », l’ensemble des systèmes d’information et de traitement des données relatifs aux activités maritimes et portuaires. Navigation, propulsion des bateaux, gestion du fret, contrôle du trafic en mer… toutes ces activités sont maintenant largement automatisées et portées par des SI – dont des systèmes industriels comme des SCADA – n’intégrant que très rarement les problématiques de cybersécurité.
Cybersécurité de la marétique : le bateau prend l’eau à tous les niveaux
La première faiblesse de la marétique réside dans la forte interconnexion des systèmes d’information qui la composent. Pensée pour générer des gains de productivité opérationnelle, cette interconnexion laisse à un attaquant de multiples opportunités pour s’introduire et se déplacer librement dans les systèmes d’information. Concernant les systèmes en eux-mêmes, les fournisseurs de solutions se sont longtemps détournés des problématiques de sécurité, en omettant par exemple de durcir les OS ou en laissant de nombreux SCADA connectés à Internet sans aucune justification opérationnelle. Ces négligences sont tant le fruit d’une mauvaise connaissance des cybermenaces que d’une croyance bien ancrée dans le secteur selon laquelle la particularité des systèmes utilisés (outils de navigation, SCADA, gestion des stocks…) constitue en elle-même une protection.
Deuxièmement, le secteur n’est pas préparé d’un point de vue organisationnel à affronter les cybermenances. En effet, si les acteurs sont très bien sensibilisés et préparés à gérer les risques physiques (météo, mauvais entretien, contrebande, piraterie…), ils sous-estiment ou tout simplement méconnaissent les risques cyber auxquels ils sont exposés. Les équipages manipulent et sont dépendants de systèmes d’information vulnérables, et pourtant ils ne sont ni formés aux règles de cybersécurité, ni aux bons réflexes en cas d’incidents.
Le troisième écueil concerne l’absence de gouvernance dédiée à la cybersécurité, ni à l’échelle régionale, ni à l’échelle internationale. Il n’existe actuellement pas de texte réglementaire propre au secteur maritime évoquant le traitement des cybermenaces. Pour l’Organisation Maritime Internationale, l’heure est seulement à la prise de conscience du risque cyber.
Peu médiatisées, les cyberattaques contre le secteur ont déjà commencé
Le secteur maritime est donc une proie vulnérable au regard d’autres secteurs, mais est également attractive compte tenu de son importance économique. Alors sans surprise, les premières cyberattaques contre la marétique ont déjà eu lieu.
- Il y a deux ans, des chercheurs de l’université du Texas ont réussi à détourner le cap d’un yacht, en piratant son système GPS, sans que l’équipage ne s’en rende compte.
- En 2011, des pirates somaliens ont bénéficié d’informations obtenues via le piratage d’une base de données concernant le trafic maritime afin de cibler un acte de piraterie dans le golfe d’Aden. Grâce à ces informations, les pirates ont ainsi pu choisir d’attaquer un navire, connaissant sa position, sa cargaison et sachant que l’équipage n’était pas protégé par des gardes.
- Toujours en 2011, le port d’Anvers – deuxième port européen – a été victime d’une cyberattaque permettant aux attaquants de prendre le contrôle du système de gestion des conteneurs. Cette infiltration dans le système d’information du port a permis aux attaquants d’acheminer pendant deux ans de la drogue d’Amérique du sud.
- Plus récemment, en 2014, des pirates ont réussi à s’infiltrer dans le système d’information d’une plateforme pétrolière offshore, au large de l’Afrique, et à l’incliner de plusieurs degrés.
Encore éparses, ces cyberattaques révèlent l’étendue et la diversité des menaces qui pèsent sur le secteur maritime à travers la marétique. Ces risques sont doublés d’enjeux économiques et environnementaux largement sous-estimés, compte-tenu des grandes capacités de chargement des porte-conteneurs et supertankers actuels.
Des initiatives émergent mais la route vers la cybersécurité promet d’être longue
Le premier niveau de solutions qui puissent être apportées concerne les acteurs du secteur, à la fois les premiers concernés par les cybermenaces mais également les seuls à pouvoir prendre des initiatives rapidement en matière de cybersécurité. À court terme, la première action pourrait être l’introduction d’un minimum d’hygiène informatique dans les formations des équipages, ce qui permettrait de limiter un certain nombre de cyber-risques. À moyen terme, les armateurs pourraient mettre en place des politiques de sécurité des systèmes d’information, afin de cadrer l’utilisation ou la maintenance de leurs SI. Enfin, l’ensemble des acteurs (armateurs, constructeurs, fournisseurs de solutions…) pourraient s’inscrire dans une collaboration de long-terme afin de définir des standards de cybersécurité et travailler à la conception de matériels et de solutions. En ce sens, la TAPA peut servir de modèle de collaboration.
Le second niveau de solutions porte sur la capacité des États et des autorités du secteur à produire des règlements à portée nationale, régionale ou internationale, afin d’accroitre le niveau de cybersécurité du secteur maritime. De nombreux États ont fait le premier pas avec le vote de législations spécifiques à la protection des systèmes d’information de leurs infrastructures critiques, comme la France avec l’article 22 de la Loi de Programmation Militaire (LPM). Cependant, les législations nationales ou régionales induisent des distorsions de concurrence, car elles ne permettent pas d’imposer à toutes les entreprises du secteur les mêmes obligations légales. C’est pour cela qu’une règlementation internationale définissant des exigences minimales en termes de cybersécurité de la marétique serait salutaire. Mais une telle réglementation peut se faire longtemps attendre, compte tenu de l’absence de répartition des responsabilités entre les acteurs concernant la cybersécurité et de la durée généralement longue des discussions liées à ce type de texte.
Au cours des derniers siècles, le transport maritime a souvent constitué une cible de choix à qui veut s’enrichir (pirates) ou mettre un pays à genou (blocus maritime). Ces dernières décennies, la pacification des océans a permis au transport maritime de devenir un pilier de la mondialisation. Mais à l’ère du numérique les risques évoluent, exposant le secteur à de nouvelles menaces faute d’actions de protection. Les timides initiatives des pays en matière de cybersécurité ne suffiront pas à équilibrer la passivité de la plupart des acteurs du secteur sur le sujet, acteurs pour qui la gestion de la contrainte logistique au moindre coût reste la priorité. Avec ce contexte, il faudra probablement s’attendre à une multiplication des incidents de cybersécurité avant des investissements dédiés à l’échelle du secteur et un cadre réglementaire global et contraignant.
Très bon article