Le 31 juillet 2025, la CISA (Cybersecurity and Infrastructure Security Agency) et les gardes-côtes américains (US Coast Guards (USCG)) ont publié un avis conjoint (que vous pouvez lire ici : https://www.cisa.gov/sites/default/files/2025-07/joint-advisory-cisa-identifies-areas-for-cyber-hygiene-improvement-after-conducting-proactive-threat-hunt.pdf), suite à une opération de recherche de vulnérabilité (ou de compromission effective, plutôt) menée sur le réseau d’une infrastructure critique américaine. Ce type d’opération s’inscrit dans le cadre des objectifs de performance de cybersécurité (Cybersecurity Performance Goals (CPGs)) co-pilotés par le NIST et la CISA, mais aussi sur les travaux de longue date (et aussi plus récents) des USCGs sur la cybersécurité maritime.Au bilan : aucune compromission ni activité malveillante détectée… mais éventail somme toute assez « classique » de vulnérabilités
De l’intérêt de ce type d’opération
Le premier objectif de ce type d’opération dite de hunting est de rechercher la présence éventuelle d’acteur(s) malveillants sur le réseau en question. Sur ce point, l’opération n’a pas démontré de compromission (si cela avait été le cas, est-ce que cela aurait été publié ?). Cependant, et c’est là où on peut – ou pas – être d’accord avec le bilan de cette opération, c’est qu’il s’est aussi un peu transformé en audit, avec la découverte de vulnérabilités significatives. Ceci étant dit, l’avis ne précise pas si elles avaient un risque réel d’exploitation :
Mots de passe stockés en clair dans des scripts et outils internes ;
Comptes administrateurs locaux partagés, utilisés sur plusieurs machines sans séparation (j’utilise un mot de passe différent par machine) ni rotation (je le change régulièrement) ;
Absence d’authentification multi-facteurs sur des accès distants critiques (type VPN ou RDP) ;
Manque de journalisation et de centralisation des journaux d’évènements, rendant tout incident difficile à retracer ;
Pas de séparation efficace entre les réseaux IT et OT, avec des passerelles peu durcies ;
Configuration par défaut ou non maintenue sur des équipements d’infrastructure.
Des recommandations CISA/USCG – Beaucoup de fondamentaux
L’avis technique ne réinvente pas la roue, mais réaffirme comme souvent plusieurs principes de base. Nous l’avons déjà évoqué, mais ce type de bonnes pratiques (on se rappelle aussi des 42 mesures de l’ANSSI : https://cyber.gouv.fr/publications/guide-dhygiene-informatique) permet bien souvent de réduire significativement l’occurrence ou l’impact d’un risque. Et, qui plus est, elles permettent de lutter aussi bien contre des sources de risques étatiques que cybercriminelles.
1. Mots de passe et secrets
– Interdire tout stockage de mot de passe en clair ;
– Sécuriser et automatiser la gestion des mots de passe par l’utilisation de protocoles adaptés, de coffres-forts ou de solutions PAM ;
– Chiffrer tous les secrets tant sur les postes qu’en transit sur le réseau ;
– Intégrer l’audit des identifiants dans les revues de code et les pipelines type CI/CD.
2. Accès privilégiés
– Bannir les comptes partagés ;
– Utiliser l’authentification forte (MFA), y compris pour les accès OT ;
– Segmenter les environnements et interdire les rebonds IT vers OT.
3. Journalisation
– Activer la journalisation complète sur tous les systèmes (authentification, connexions réseau, commandes critiques) ;
– Centraliser les journaux d’évènements hors bande ;
– Maintenir une rétention suffisante pour les analyses post-incident.
Au final…
La lecture du document de 19 pages reste intéressante, notamment pour les RSSI d’infrastructures critiques.
Toutefois, il reste assez généraliste, avec assez peu de contexte sectoriel (probablement pour que l’identification de l’infrastructure en question reste difficile), mais avec un niveau de granularité technique assez faible sur les environnements de type OT. En effet, la mise en place de bonnes pratiques « classiques » ou avancées (au pif, l’authentification forte, la sécurisation des automates, ZT…) sur des systèmes OT n’est pas toujours d’une simplicité enfantine, et encore plus sur des infrastructures maritimes. Qui plus est, toute évolution de ces systèmes doit être réalisée dans une démarche de maîtrise des risques fonctionnelle : ajouter de la MFA du du ZT, c’est bien, mais si c’est mal fait on peut aussi potentiellement ajouter de nouveaux risques : il est important de bien les prendre en compte.
Aller, je vous propose dans cet article une petite réflexion personnelle sur et autour du sujet de la cybersécurité portuaire.
En ce beau mois de juillet 2025, le NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE) a émis un document de type Policy Brief, intitulé « Addressing State-Linked Cyber Threats to Critical Maritime Port Infrastructure« .
Je vous propose, dans cet article une petite analyse personnelle.
En préambule, une petite note de rappel : il n’existe pas de port « générique », comme il n’existe pas de navire « générique ». Tous les ports sont différents, que l’on parle de numérique ou pas. Et ce, d’autant plus que les pays eux-mêmes ont des niveaux de maturité et des organisations différents. Je suis donc toujours très prudent, voire mal à l’aise, pour parler de « niveau de cybersécurité des ports » et d’en tirer des conclusions hâtives car trop génériques.
Ceci étant dit…
Un pour tous, ou pas ?
Tout d’abord, arrêtons-nous peut-être sur le titre du brief, dont l’analyse en elle-même est intéressante. Assez logiquement, l’OTAN concentre ce document sur la menace dite « étatique », ou « pseudo-étatique » (state-linked). Nous l’avons déjà évoqué, la ségrégation « habituelle » des sources de risques (ou sources de menace, pour les nostalgiques) en trois catégories (étatique, cybercriminelle, « hacktivisme ») que l’on utilise/utilisait souvent est donc ici relativement effacée, du moins dans l’accroche du document, probablement pour s’accrocher au contexte géopolitique complexe que l’on connait.
En effet, si le CCDCOE s’intéresse en premier lieu à la menace étatique, c’est parce qu’il a bien raison (elle est, par nature, plus sournoise, plus difficile à détecter, et potentiellement plus dévastatrice). Et pouvoir l’imputer à un état, c’est « intéressant ». Pour autant, dans la suite du brief, rassurons-nous, les sources de risques cybercriminelles et hacktivistes sont évoquées.
De la saine lecture des panoramas de la menace à leur analyse nécessairement précautionneuse
On peut noter quelques points sur ce sujet (page 3 du document) :
aussi bons qu’ils soient, et quels que soient leurs émetteurs, les panoramas de la menace ont généralement les mêmes sources (plutôt ouvertes), même si la « comptabilité » (le périmètre et la manière de compter les incidents) et l’analyse qui peuvent être faites peuvent varier : ils voient donc, à peu de chose près, les mêmes évènements. S’ils veulent être plus précis, ils doivent disposer de plus d’éléments, c’est-à-dire disposer de capteurs de terrain efficaces ou d’information privilégiées. Mais attention au risque de prisme dans les analyses et conclusions qui peuvent être tirées de la lecture (toujours intéressante) de ces panoramas. Ainsi, on n’a probablement pas tout vu. Les récentes revendications d’attaques potentielles à l’encontre d’acteurs de la « BITD navale » (sur lesquelles je ne me suis volontairement pas prononcé) en sont un exemple : les opérations d’influence pourraient se multiplier. Et elles vont « user » de la ressource cyber pour l’analyse (vous avez tout mon soutien). Il faudra donc, un jour, réfléchir autrement et de manière « originale » pour comprendre la menace et pour se défendre ;
une partie des sources de risques ont des revendications politiques, ou du moins partisanes, et les attaques étatiques sont généralement connues avec du retard (si jamais elles le sont). Pour autant, une attaque par rançongiciel peut aussi hypothétiquement bloquer le fonctionnement d’un port mal sécurisé. Un vol d’identifiant par un infostealer ou par un simple phishing, qui pourrait être qualifié d’attaque criminelle, pourrait aussi être annonciateur d’une attaque de plus haut niveau à venir, si la cible est d’intérêt. Il convient donc d’être prudent sur l’existence de « petites » attaques, éléments précurseurs auxquels on pourrait ne pas prêter une grande attention au profit de menaces étatiques. Se limiter volontairement à un type de menace en oubliant les autres serait donc une erreur. C’est aussi ce qui me motive toujours pour réaliser des analyses de la menace et à « injecter » de l’incidentologie sectorielle dynamique en complément des analyses de risques ;
pour donner des chiffres, d’après mes calculs (forcément savants, j’ai un doctorat 😉 ), le groupe mentionné en figure 1 du brief a revendiqué 112 victimes dans le secteur maritime en 2024, pour un équivalent total revendiqué de 344 jours continus d’attaques DDoS à l’encontre du secteur, dont 56 % à l’encontre des infrastructures portuaires. Dans les faits, nombre de ces attaques n’ont pas fonctionné, ou n’ont fonctionné qu’une seule fois. C’est la différence entre s’intéresser au buzz des revendications ou à la réalité et aux impacts de l’attaque. Qui influe qui ?
Au bilan, si on regarde sur les dernières années, sur les événements rendus publics (cfhttps://www.m-cert.fr/admiral, notamment), la menace cybercriminelle et hacktiviste a assez durement frappé les ports. Le groupe hacktiviste anti-OTAN mentionné dans ledit brief et récemment annoncé défunt (ou pas ?) a largement contribué à dominer l’activité médiatique cyber (et les craintes) à l’encontre des ports. Les acteurs cybercriminels ont également été nombreux à viser (opportunément) les ports et, plus largement surtout, le secteur de la logistique. En effet, un port c’est aussi tout un écosystème (soyons clair : énorme) à sécuriser. Ne s’intéresser qu’à l’opérateur à proprement parler de la place portuaire est donc potentiellement opportuniste (car simpliste) mais forcément limitant. Ne serait-il pas temps de passer de l’étape « vous avez vu, encore un port vulnérable qui s’est fait avoir » à « sécuriser tout l’écosystème portuaire, c’est comme pour la BITD, c’est vraiment pas simple ! » ?
Donc, et même si le niveau et les moyens « en face » peuvent varier, quand on sécurise un port pour faire face à une menace « étatique » ou « pseudo-étatique », on doit le faire contre un ensemble de menaces et de TTPs. Et ce, d’autant plus que lutter contre un seul type de menace n’a pas forcément de sens (en termes de moyens de protection) et que, à l’inverse, la mise en place de moyens pertinents permet de couper des chemins d’attaque à plusieurs types d’acteurs.
Pour ne pas faire trop long, rappelons aussi les risques liés à la menace interne éventuelle, et aux dépendances numériques des ports vis-à-vis d’autres acteurs (fournisseurs de logiciels, hébergeurs, prestataires divers). Je me rappelle, il y a quelques années, avoir faire un graphe de dépendance d’une seule application portuaire vis-à-vis de l’extérieur : il y en avait 40 ! Dommage que ce ne soit pas trop évoqué.
Des cadres normatifs, réglementaires, législatifs et bonnes pratiques
Face à une menace protéiforme (je l’ai placé), travaillant sur des opérations hybrides (je l’ai placé) et l’arrivée de nouveaux outils pour les attaquants comme l’IA (je l’ai placé) et les risques liés au post-quantique (je l’ai placé), il faut reconnaître que les défenseurs (je me mets dans le panier aussi) regorgent d’idées documentaires pour tout régler.
Si on se met aujourd’hui à la place d’un(e) (chanceuse/chanceux, ou pauvre, ça dépend du point de vue) RSSI d’un port (prenons le cas de la France, en Europe), elle/il est à la croisée d’un nombre de documents et de donneurs d’ordre (ou de conseils) assez impressionnant. Je n’en liste que quelques uns (je vous dispense, de ce fait, du cadre du NIST et des règlements des USCG, des normes ISO et IEC, notamment) :
Les réglementations issues de l’OMI, et notamment le code ISPS, qui impose historiquement l’intégration des risques numériques dans les PFSA (Port Facility Security Assessment). On peut probablement reprocher à l’OMI un certain manque d’ambition et de précision en cybersécurité (cf MSC.428(98), MSC.FAL1 Circ3 Rev. 3 entres autres pour le périmètre concerné), mais est-ce à l’OMI de rentrer dans le détail des mesures technologiques ou opérationnelles cyber à mettre en oeuvre dans un port ? A l’inverse, si elle ne le fait pas, quid d’une homogénéité et d’une équité concurrentielle à l’échelle mondiale, OTANienne ou ne serait-ce qu’européenne ?
Les travaux issus des associations et organisations professionnelles : on peut penser à l’IAPH, qui a émis le document IAPH Cybersecurity Guidelines for Ports and Port Facilities dès 2021.
Au niveau européen, au-delà de la NIS (v1, v2) et consorts, on peut notamment parler du règlement CE 725/2004, relatif à l’amélioration de la sûreté des navires et installations portuaires, mais aussi au guide de bonnes pratiques de l’ENISA sur la cybersécurité des ports.
Au niveau français, on peut évoquer le décret d’application de la Loi de Programmation Militaire (LPM) s’appliquant aux Opérateurs d’Importance Vitale (OIV) du secteur maritime, du guide « Ports cybersécurisés » de la Direction Générale des Infrastructures, des Transports et de la Mobilité (DGITM) ou encore de l’II 230.
Est-ce trop ? Trop peu ? Qu’en pense la/le RSSI de ces documents, face aux moyens qui sont les siens ? Chacun(e) aura son avis. En tous cas, on ne peut pas dire qu’il n’y a « rien ». Bien sûr, il faut séparer ce qui est réglementaire du reste. Mais ne serait-ce pas plutôt signe que notre obligation en soutien de ces acteurs devrait être ailleurs que dans une énième production documentaire, fut-elle réglementaire ?
Quant à la/au RSSI, lorsqu’elle/il existe, lui-donne t-on simplement les moyens de répondre à l’ensemble de ces exigences ? Quel est son niveau de charge ? Quelles sont ses difficultés ?
Recommandations
Pour revenir au brief en question, voici trois principales recommandations émises par le CCDCOE :
intégrer la cybersécurité comme composant fondamental dans le cadre de la révision de la stratégique maritime de l’OTAN dont la dernière version date de… 2011. Engager un dialogue, voire même un protocole pour l’engagement de l’OTAN durant des incidents cyber significatifs… et notamment par une utilisation renforcée des officiers de liaison des différents pays et l’intégration de scénarios cyber portuaires dans des exercices de l’OTAN ;
mettre en place des réseaux structurés de partage d’information. Un peu déçu, peut-être, que le travail précurseur mené par France Cyber Maritime ne soit pas mentionné ;
le développement de groupes de travaux de cybersécurité maritime sous les auspices de l’OMI pour développer des standards de sécurité spécifiques pour le maritime, notamment en développant des mises en oeuvre sectorielles spécifiques de cadres comme celui du NIST ou de NISv2.
Conclusions
Doit-on se préparer, alors que la NISv2 n’a pas encore été transposée dans tous les états de l’UE, et encore moins mise en oeuvre, à une volonté de déclinaison sectorielle, alors que de nombreuses bonnes pratiques et autres documents, issus de longs groupes de travail, ont déjà été rédigés ? Quand on voit la difficulté de transposition à l’échelle nationale de la directive, imaginez le travail à mener si on descend à l’échelon sectoriel… Vous me direz, les navires étant hors du périmètre de la NIS2, on limiterait quand même un peu le périmètre et la complexité. En tous cas, je n’ai jamais entendu parlé d’une telle déclinaison sectorielle de la NIS2.
Comment prendre en compte les aspects concurrentiels entre les ports, les différences de statuts, de moyens financiers et humains, l’exposition numérique, notamment dans le contexte du partage d’information à une échelle internationale ? La cybersécurité a un coût. Certes, elle renforce les opérations et la valeur du port qui s’y engage, mais est-on sûr de l’égalité ?
Dans le contexte géopolitique que nous connaissons, comment s’assurer d’une coordination efficace des différents acteurs qui travaillent au profit des ports ? Agences nationales, CERTs sectoriel et régionaux, associations, agences internationales, administrations et directions nationales ou européennes, entreprises privées, soutien militaire national ou OTAN ?
Bon, même à l’époque de l’IA, je n’ai heureusement pas réponse à tout, mais je lance deux propositions factuelles :
on court (toujours) après l’ennemi, et on a souvent une longueur de retard (au moins) sur lui. Dès lors, ne vaudrait-il mieux pas se concentrer sur la résilience réglementaire du cœur des opérations portuaires plutôt que de la conformité réglementaire à une kyrielle d’exigences qui se recouvrent ou sont parfois incompatibles ? Exemple : exiger réglementairement une preuve que les opérations portuaires sont résilientes face à certains scénarios stratégiques adaptés et mis à jour. Une forme d’obligation de résultats opérationnels plutôt qu’une hypothétique conformité totale ?
s’économiser du temps passé dans des énièmes groupes de travail et passer le temps (et l’argent) économisé, d’une part, à analyser l’existant et faire des matrices de compatibilité entre les règlements, normes et bonnes pratiques existant et, d’autre part, à investir l’argent en question dans la résilience opérationnelle des ports et son évaluation.
My 2 cents, comme diraient nos camarades anglo-saxons.
Et vous, quel est votre avis ? D’autres défis ? D’accord / pas d’accord ?
Toi, aussi, en ce moi de juillet, tu te demandes ce qui a été dit concernant le rôle et l’avenir des CSIRTs durant la séance du 15 juillet 2025 de la commission spéciale de l’Assemblée nationale chargée du projet de loi sur la résilience des infrastructures critiques et le renforcement de la cybersécurité ?
Messieurs les députés Philippe Latombe (Président) et Eric bothorel (Rapporteur général) et Madame la députée Anne Le Hénanff (Rapporteure) recevaient Vincent Strubel, Directeur Général de l’ANSSI – Agence nationale de la sécurité des systèmes d’information.
En voici la transcription (si tu es dans les transports en communs ou le TGV, sur la plage, ou qu’il est tôt ou tard 🙂 ) (seul le parlé fait foi)) :
Eric BOTHOREL (Rapporteur général) : « Dans la revue nationale stratégique 2025 qui vient d’être publiée, on trouve la proposition d’accompagnement, par des financements d’amorçage au profit des secteurs et acteurs les plus vulnérables et les plus critiques pour le fonctionnement de la nation. Les CSIRTs devront être pérennisés et renforcés : est-ce inscrit dans vos orientations budgétaires ? »
Vincent STRUBEL (DG ANSSI) : « Vous nous avez posé la question des financements (…) évidemment, tout cela va demander des financements, je ne m’avancerai pas sur ce plan-là, qui fait d’ailleurs l’objet, en ce moment même, d’un discours du Premier ministre, et je pense que c’est à lui qu’il appartient de donner ces orientations-là. Mais, de fait, il y a un souhait avéré, dans la revue stratégique, de pérenniser, par exemple, les CSIRTs, dans une logique de co-financement plutôt que de financement intégral, puisque finalement c’est ça qui semble se dessiner, comme juste point d’équilibre, mais à travers cette revue se confirme ce que je pense vous avoir dit ici, c’est-à-dire que ces CSIRTs sont devenus des relais précieux, des appuis, qui interviennent dans un champ connexe à celui de l’ANSSI, qui apportent une aide précieuse aux victimes, qui dans certains, et en gardant une liberté d’organisation et de positionnement, choisissent de s’intégrer dans d’autres dispositifs d’accompagnement qui sont ceux mis en œuvre par les régions dans le cadre du développement économique, et qui donc aujourd’hui sont des acteurs précieux, pas les seuls, mais des acteurs importants pour la mise en œuvre de ce passage à l’échelle que nous appelons tous de nos vœux. »
Anne LE HENANFF (Rapporteure) : « L’articulation des compétences entre les CSIRTs et le GIP ACYMA, cela renvoie à une question qui dépasse le strict cadre du projet de loi, mais qui se posera néanmoins après promulgation de la loi : qui fait quoi ? Jusqu’à ce jour, cela n’est pas clair de mon point de vue, d’autant que les CSIRTs et CERTs sont mentionnés dans le projet de loi, alors que leur avenir financier est incertain, c’est le moins qu’on puisse dire, mais que le GIP ACYMA, lui, ne l’est pas. Quelles garanties pouvez-vous nous apporter de ce point de vue ? »
Vincent STRUBEL : « J’en viens au dernier point, mais pas des moindres, l’équilibre entre les CSIRTs et le GIP ACYMA. Alors moi, là-encore vous n’êtes pas obligée de me croire sur parole, mais je répète à chaque fois qu’ils ne sont pas redondants mais, au contraire, très complémentaires. Le GIP ACYMA, que j’ai par ailleurs l’immense honneur de présider, ne fait pas lui-même de la réponse à incidents, il organise l’aiguillage. Le GIP ACYMA ne répond pas au téléphone, il serait bien incapable, compte-tenu des moyens dont il dispose, de le faire et il n’en a pas besoin. Aujourd’hui, le GIP ACYMA (dans sa mission de réponse aux actes de cybermalveillance) oriente vers des acteurs susceptibles d’aider les victimes. Depuis le début, ce sont des prestataires privés. Donc, il y a aujourd’hui dans le périmètre des acteurs qui sont référencés par le GIP ACYMA et qui sont ceux vers lequel les victimes sont orientées à travers la plateforme cybermalveillance.gouv.fr environ 1 200 prestataires privés référencés, dont 200 sont labellisés « Expert Cyber ». S’ajoute, depuis le 17 décembre 2024, un renvoi potentiel, selon les choix là encore de la victime, vers des forces de sécurité intérieure (Police ou Gendarmerie) au travers du 17 Cyber, donc le 17 Cyber a ajouté à la panoplie des répondants les forces de l’ordre, qui sont susceptibles d’instruire un pré-dépôt de plainte ou des choses comme ça. Par ailleurs, demain, et en vertu de travaux qui ont été lancés conjointement par le GIP et par l’ANSSI, qui sont financés par l’ANSSI, s’intègreront dans cette plateforme les CSIRTs, les CSIRTs territoriaux, qui sont aussi des acteurs de la réponse. Le métier d’un CSIRT c’est de traiter, avec sa victime, les incidents, de coordonner la réponse, potentiellement là-aussi de renvoyer vers des prestataires privés, mais aussi d’avoir un échange avec la victime que n’a pas, et que ne peut pas avoir le GIP ACYMA. Donc, l’architecture qui se dessine demain, c’est : un GIP ACYMA, opérant, dans sa mission de réponse aux actes de cybermalveillance, la plateforme 17 Cyber, qui va effacer progressivement cybermalveillance.gouv.fr, pour avoir une signalétique simple et orientant, à travers cette plateforme, les victimes vers, selon leur choix, et selon leurs besoins, des prestataires privés, des CSIRTs, quand il y en a un qui est adapté au cas de la victime, et les forces de l’ordre. Donc, finalement, c’est un guichet qui renvoie vers les bons répondants, je me risquerai à l’analogie avec le SAMU, quand vous appelez le SAMU, selon les cas, il vous envoie un véhicule pour vous évacuer, il vous oriente vers la médecine de ville, il vous oriente vers les urgences, mais en vous y rendant par vos propres moyens donc, finalement, avoir une plateforme de référence qui oriente vers les moyens de réponse adaptés, je pense que c’est la bonne approche, sans vouloir, là encore, avoir une réponse unique à des besoins qui sont très très variables selon la nature des victimes, selon la nature de l’attaque ou de l’acte de cybermalveillance qu’elles connaissent. Evidemment, mais je pense que j’enfonce des portes ouvertes, le métier du GIP ACYMA ne se résume pas à la seule prise en compte des actes de cybermalveillance, mais il a énormément de travail en prévention et le GIP fait, en la matière, un travail formidable de passage des messages de sensibilisation à grande échelle et là, je pense qu’il est seul à le faire à l’échelle nationale pour ce public cible qui sont essentiellement les particuliers ou les toutes petites structures et je pense qu’il a un rôle essentiel à jouer et qu’il continuera à jouer. Sur l’avenir et le financement des CSIRTs, là-encore, au-delà du fait que, ils ont fait leurs preuves aujourd’hui, qu’il y a une volonté affirmée de trouver un modèle de cofinancement dans la revue nationale stratégique, cela renvoie à des débats budgétaires sur lesquels je ne suis pas légitime à m’exprimer aujourd’hui. »
Philippe LATOMBE (Président) : « Sur les CSIRTs, on en a parlé, la question c’est : est-ce que vous avez une idée de ce que, en financement, ça peut représenter comme effort, parce que c’est, là-aussi, quelque chose que nous, nous pouvons regarder si jamais nous avons trouvé des ressources en face (…). Vous avez exprimé la volonté de les voir perdurer, mais la plupart des acteurs nous disent que, s’il n’y a pas les financements, ils vont mourir. Et la question, c’est plutôt : est-ce qu’on les autorise à ouvrir un modèle économique qui permet de faire du co-financement, et ça, comment est-ce que vous le voyez parce que vous l’avez pas vraiment abordé sur ce point-là. »
Vincent STRUBEL : « Enfin, sur la question épineuse du financement des CSIRTs. Combien ça coûte, alors je serai prudent là-dessus, mais les financements initiaux qui ont été accordés au titre du plan de relance, l’ANSSI a versé un million d’euros à chaque CSIRT pour couvrir son fonctionnement dans une période initiale de 3 ans. Est-ce que ça peut être transposé pour dire qu’un CSIRT ça coûte 330 333 € par an, je pense que la généralisation serait un peu hâtive et couperait beaucoup de subtilités, mais c’était le fonds d’amorçage qui a permis de couvrir leur fonctionnement pendant 3 ans, dont des années d’incubation et de montée en puissance, qui ne sont pas forcément toutes révélatrices du coût récurrent. La logique de co-financement, moi je pars du principe que c’est une bonne logique, et c’est un choix qui a été fait, dès le départ, de positionner ces CSIRTs [NdT : régionaux/territoriaux] auprès des régions, et de leur laisser la liberté d’appréciation, de leur laisser le choix de créer, ou pas, un CSIRT [NdT : régional/territorial], toutes ne l’ont pas fait, d’ailleurs, parce qu’il fallait que ça vienne d’une initiative locale, le cas échéant cette initiative locale faisait l’objet d’un soutien de la part de l’ANSSI, de la part de l’Etat, et je pense que c’est une bonne logique. Mais imposer un modèle unique et son financement intégral ne me semble pas la bonne approche, compte tenu du fait que le choix de positionner les CSIRTs [NdT : régionaux/territoriaux] auprès des régions était un choix de les intégrer potentiellement dans les logiques de soutien au développement économique portées par les régions, parce que c’est une logique très complémentaire de la logique sécuritaire régalienne portée par l’Etat central. Donc, finalement, c’était les positionner au croisement de ces deux chemins et donc, ça milite plutôt pour un cofinancement mais aussi une marge d’initiative locale. Vu de l’ANSSI, ce qui importe, c’est qu’un CSIRT respecte l’interface standard d’un CSIRT, c’est-à-dire il y a un certain nombre de choses qui sont normées, qui font l’objet de normes internationales, sur le traitement de l’information, sur la diffusion de l’information, sur le fait de protéger au bon niveau l’information sensible, bon ça, c’est ce qui nous importe, d’avoir un protocole standard qui nous permet de parler à ces CSIRTs comme à n’importe quel autre CSIRT, sectoriel, territorial, peu importe. Au-delà de ça, le fait qu’ils développent des activités annexes de conseil, d’accompagnement, des modèles de financement qui peuvent être variables, j’allais dire, tant mieux, c’est, là-aussi, se donner un degré de liberté pour apprécier et s’intégrer dans des logiques locales, certains de ces CSIRTs, par exemple, s’adossent aux Campus cyber territoriaux. C’est très bien dans ce cas-là, et ça peut faire partie du modèle de financement, mais je pense que ce serait aller trop loin que d’imposer à chaque région de créer son campus territorial, de le financer, et de faire contribuer ce campus territorial au financement d’un CSIRT. Donc je pense qu’il faut se laisser une marge de manœuvre en la matière, je pense que la logique de cofinancement est la bonne, là encore, pour s’assurer que ça s’inscrit, que ça a un sens au niveau local, sans pour autant laisser les régions porter, à elles seules, la charge de ces CSIRTs [NdT : régionaux/territoriaux], qui portent une mission d’intérêt général, mais partagée avec l’Etat central. Et il faut pas non plus trop se cadrer dans les logiques de financement envisageables, du moment qu’on respecte, évidemment, la neutralité du CSIRT vis-à-vis d’autres acteurs. »
Quelques compléments :
Extraits choisis de la Revue nationale stratégique sur le sujet : Objectif stratégique (OS) n°4 (‘Une résilience cyber de premier rang). « En outre, le déploiement de centres de réponse aux incidents (CSIRT) au sein des ministères, dans les secteurs économiques et les territoires s’est concrétisé et se poursuit : l’InterCERT France, qui réunit la plupart des CSIRT français, s’est renforcé durant cette période ; un nouveau dispositif d’accompagnement grand public, le « 17Cyber » a été déployé pour les victimes de cyberattaques. » « Ce plan reposera sur la poursuite de programmes ciblés d’accompagnement à la cybersécurité. Dans la continuité des programmes engagés, la mise en œuvre de la directive NIS 2 doit être accompagnée par des financements d’amorçage au profit des secteurs et des acteurs les plus vulnérables et les plus critiques pour le fonctionnement de la Nation. Les CSIRT devront être pérennisés et renforcés. » et « Pour garantir sa capacité à détecter, prévenir et entraver les cyberattaques, le partage d’informations techniques sur les menaces sera augmenté. Il associera en particulier les OIV, les prestataires de cybersécurité et les opérateurs de télécommunications, en s’appuyant sur les réseaux de CSIRT. »
Le budget de l’ANSSI a diminué de 3,5 M€ de crédits de paiement (CP) en 2025 par rapport à l’année précédente.
Les structures juridiques et l’éventuel rattachement administratif des différents CSIRTs sont variables (le GIP ACYMA est… un GIP, certains CSIRTS sont adossés à des associations, des directions ministérielles, voire sous-traités, in fine, à des acteurs privés, etc…).
Les missions des CSIRTs sont très variées, potentiellement évolutives et fixées dans leur RFC2350 : anticipation, prévention (sensibilisation, autres), identification et suivi des vulnérabilités, cela dépasse bien souvent le simple cadre – souvent seul retenu – de la réponse à incident.
Peut-être surprenant, mais les objectifs de niveau de maturité des CSIRTS n’est pas vraiment évoqué, alors qu’il existe un cadre pour le déterminer (SIM3).
Certains CSIRTs s’intègrent dans des structures d’accompagnement et de montée en maturité aux vocations beaucoup plus larges.
Certains secteurs critiques sont couverts par des instructions interministérielles qui fixent les modalités de remontée des incidents cyber, leur coordination et les intervenants (notamment l’II230/SGDSN).
J’ai hâte de lire la Stratégie nationale de cybersécurité et le budget associé.
Espérons des mesures, notamment sectorielles, claires et efficaces au profit des bénéficiaires.
De nombreux articles ([1], [2], [3]) font mention d’une cyberattaque par rançongiciel touchant le croisiériste norvégien Hurtigruten. Cet armateur est notamment connu pour proposer des croisières dans les fjords norvégiens, mais aussi pour assurer le transport de fret dans cette région. La partie visible de cette attaque a eu lieu dans la nuit du 13 au 14 décembre 2020.
Les systèmes IT de la compagnie ont été impactés, de même que les services téléphoniques. Le site Internet de l’entreprise affichait également un message d’indisponibilité au moment de l’attaque.
Déjà lourdement impacté par la pandémie, le secteur maritime et portuaire voit cette attaque se rajouter à la vingtaine de cyberattaques (publiques) qui l’ont touché en 2020.
Un communiqué de presse paru aujourd’hui (24/11/2020) informe que l’association France Cyber Maritime a été créée le 17 novembre 2020, pour « contribuer à répondre aux attentes du monde maritime et portuaire sur les questions de cybersécurité maritime, dans un contexte de numérisation accrue des navires et des ports, de développement des drones et navires autonomes, et d’accroissement des menaces cyber pesant sur ce secteur stratégique pour la France et l’Europe. »
Je cite en grande partie le communiqué, celui-ci étant assez complet :
« Les objectifs de FRANCE CYBER MARITIME sont :
• de créer dans les prochains mois une équipe opérationnelle intitulée Maritime Computer Emergency Response Team (M-CERT). Ce CERT sectoriel aura vocation à centraliser et coordonner les incidents de cybersécurité du secteur maritime et portuaire, à favoriser le partage de l’information afin de permettre aux acteurs d’anticiper au mieux les nouvelles menaces. Cette équipe participera également à la représentation du savoir-faire national auprès des diverses instances européennes et internationales du domaine. » A noter qu’on parle aussi parfois d’ISAC pour Information Sharing and Analysis Center dans les pays anglophones, notamment aux Etats-Unis, le CERT étant plutôt un centre d’expertise d’une entité et plus rarement sectoriel, la principale différence entre le CERT et l’ISAC étant que ce dernier ne comprend pas généralement la partie coordination / réponse à incidents. Vous irez consulter le petit article publié à l’époque de la création du MTS-ISAC outre-Atlantique ;
• « de contribuer au développement de l’écosystème national de cybersécurité maritime par la fédération des acteurs du maritime et de la cybersécurité et par le renforcement de l’offre de services de cybersécurité adaptés au secteur : conseil et expertise, formation etentraînement, analyse et alerte, maintien en condition de sécurité, recherche et développement, promotion et animation.
FRANCE CYBER MARITIME a vu le jour grâce à des travaux réunissant,depuis fin 2019, plusieurs acteurs volontaires des secteurs maritime et cyber, sous la houlette du Secrétariat Général de la Mer (SGMer) et en coordinationavec l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI), organismes qui ont conjointement assuré l’association de leur plein soutien dès sa création.
L’association dispose dès à présentd’une quinzaine de soutiens parmi les industriels du secteur maritime civil et de défense, les entreprises de cybersécurité, les établissements d’enseignement supérieur et de recherche et les associations professionnelles (Bureau Veritas, Cluster Maritime Français, DIATEAM, Elengy, ENSM, ENSTA Bretagne, GICAN, HarfangLab, IMT Atlantique, Naval Group, Pôle Mer Bretagne Atlantique, SEKOIA, SYNACKTIV, Thales, Yes We Hack). »
Bien que de taille plus modeste que les ports de la côte ouest ou de la côte est des Etats-Unis, ce port fluvial sur la rivière Columbia s’ajoute à la liste des nombreux ports déjà touchés par ce type d’attaque et démontre, s’il en était besoin, que la prise en compte des risques cyber est aussi essentielle pour le secteur fluvial.
Cette attaque, comme c’est bien souvent le cas, a aussi impacté des systèmes d’information de la commune, souvent mal cloisonnés les uns des autres. Les représentants du port pensent à une attaque par phishing qui aurait visé un employé du port.
La rançon demandée était de 200 000 $ pour récupérer l’accès au serveur et aux fichiers du port. Le FBI a été prévenu et travaille de concert avec les autorités du port et les responsables de la maintenance de ses systèmes d’information. Ces derniers ont dit être confiants sur le fait qu’aucune donnée personnelle n’a été compromise, le code malveillant s’étant limité à « bloquer les serveurs plutôt que d’accéder aux données ou aux informations présentes sur ces serveurs » (sic…). Les services informatiques travaillent donc à la récupération des données du serveur à partir de sauvegardes réalisées hors-ligne et restaurent également le serveur de messagerie.
Les officiels du port ont également précisé qu’ils ne comptaient pas payer la rançon : « Il s’agirait de l’utilisation de fonds publics et, qui plus est, il n’y a aucune garantie qu’une clé de déchiffrement serait reçue après paiement. » D’après, eux, les mises à jours étaient régulières et les contrôle antivirus réalisés et ils disposaient de plusieurs niveaux de protection. Ils soulignent que la restauration complète des données et services progresse mais qu’elle va encore prendre du temps.
Comme vous le savez, un e-Blue Day « Cybersécurité maritime » s’est déroulé en distanciel le jeudi 8 octobre 2020. Il était organisé par le Pôle Mer Bretagne Atlantique. Animé par Xavier Rebour du Pôle mer, il a regroupé 130 personnes, ce qui souligne, s’il en était besoin, l’intérêt pour le sujet. Je vous dresse une synthèse des différentes interventions des participants à ce Blue Day ci-après.
Intervention de M. Eric Bothorel, Député de la 5è circonscription des Côtes d’Armor
Après avoir précisé que le sujet de la cybersécurité maritime retenait toute son attention, M. le député a rappelé que le milieu maritime avait des caractéristiques propres et des singularités qui devaient être prises en compte pour permettre une bonne mise en oeuvre de la cybersécurité dans ce milieu. Il a ensuite souligné que ce Blue Day était un moment fort dans la création de France Cyber Maritime et du CERT sectoriel dédié au monde maritime. Il a rappelé, par la suite, les transformations numériques importantes réalisées en urgence suite à la pandémie de la COVID-19 pour permettre le télétravail et qui pouvaient être autant de nouveaux vecteurs de vulnérabilités pour les acteurs du monde maritime. Par la suite, il a évoqué les transformations apportées par la 5G sur les ports et la supply chain. La migration progressive de nos infrastructures réseaux de solutions matérielles vers des solutions logicielles entraine de nouveaux défis en termes de cybersécurité, de résistance et de défense. « Le fait de spécialiser et de dédier, à Brest, des éléments issus de la plus belle agence au monde en matière de lutte contre la cybersécurité est une nécessité aujourd’hui », précise le député.
Intervention de Mme Sylvie Andraud, coordinatrice sectorielle pour le maritime de l’Agence Nationale de Sécurité des Systèmes d’Information
Mme Andraud évoque tout d’abord les principales finalités des attaquants dans le monde maritime : l’atteinte à l’image et à la réputation, la cybercriminalité (recherche de gain financier), l’espionnage (économique/industriel) et le sabotage. Les opérations peuvent être très ciblées ou massives et indiscriminées. Les effets des attaques sont parfois invisibles (espionnage, exflitration discrète de données) ou, au contraire, rechercher une paralysie complète d’une entreprise (sabotage, rançongiciel). Les dommages peuvent être facilement réversibles pour les entreprises ou, a contrario, nécessiter de longs travaux de reconstruction. Mme Andraud souligne également que les attaques peuvent également entraîner des conséquences catastrophiques dans le monde physique en cas de cyberattaque sur des systèmes industriels.
On constate actuellement une prolifération des outils d’attaque informatique et des services associés (Crime As A Service) et une recrudescence des rançongiciels en 2019 et en 2020, qui ont touché tous les secteurs d’activité dont le maritime. L’attaquant conserve donc généralement une longueur d’avance sur le défenseur, qui peine à appliquer les correctifs et mettre en oeuvre des configurations sécurisés sur l’ensemble de son système d’information. En parallèle, l’augmentation de la surface d’attaque est réel, en raison de la forte numérisation des différents secteurs et d’une plus forte interconnexion de l’IT (Information Technology) dans l’OT (Operational Technology). Enfin, l’ANSSI constate également un grand nombre d’attaques indirectes visant la supply chain (compromission d’un prestataire), qui dispose en plus généralement de privilèges d’accès importants lors de mises à jour de logiciels.
Depuis le début de l’année 2020, l’ANSSI a traité plus d’une centaine de cas d’attaques par rançongiciel touchant tous les secteurs de l’économie. Constat plus récent, les attaquants augmentent la pression sur leurs victimes en menaçant de publier sur Internet des données sensibles. Les conséquences sont importantes pour les entreprises touchées : désorganisation, arrêt de la production, chute du chiffre d’affaires, risques juridiques en cas de compromission de données personnelles, atteinte à la réputation, perte de clientèle… alors que pour les attaquants, la rentabilité du modèle économique est juste incroyable. Sylvie Andraud fait ensuite référence au guide publié début septembre 2020 par l’ANSSI, en partenariat avec le Ministère de la justice, sur les attaques par rançongiciels et qui comprend notamment les témoignages du CHU de Rouen, de Fleury Michon et du groupe M6.
La coordinatrice sectorielle aborde ensuite le cas particulier du secteur maritime, en rappelant les principaux incidents à vocation lucrative ayant touché le secteur (vous en retrouverez une liste assez complète ici) avec le port d’Anvers, l’armateur Cosco, les ports de Barcelone et San Diego, Austal, ainsi que plusieurs prestataires (notamment logistiques) du secteur en 2020. Concernant les cas de sabotage, on se rappelle du vrai/faux rançongiciel NotPetya, ayant touché l’armateur Maersk, mais aussi plus récemment en 2020 du port iranien de Shahid Rajaee.
Mme Andraud évoque ensuite la réglementation qui s’applique à tout ou partie du secteur maritime, notamment l’article 22 de la Loi de programmation militaire, la directive européenne NIS de 2016 et les décrets d’application sectoriels en fonction des cas (OIV, OSE…).
En conclusion, la coordinatrice sectorielle de l’ANSSI rappelle les enjeux pour le secteur maritime, de plus en plus numérisé et connecté. Dans un contexte réglementaire fort qui responsabilise les entreprises du secteur, il faut bien être conscient que c’est l’ensemble des acteurs du monde maritime qui est concerné. La décision, validée par le CIMER de novembre 2018, de créer une structure de gouvernance nationale de la cybersécurité maritime pour coordonner l’actions des organismes et le projet de centre de coordination cyber du monde maritime vont en ce sens.
Bruno Bender, coordinateur cybersécurité pour le domaine maritime au Secrétariat Général à la mer
Bruno Bender évoque les travaux menés depuis le CIMER de 2018 et souligne notamment la dynamique sur l’année écoulée grâce à l’investissement de nombreux acteurs. 12 groupes de travail ont ainsi été réunis, dont 8 au sujet de la création du Computer Emergency Response Team sectoriel, avec la participation de grands acteurs publics et privés. Notons aussi la parution d’un guide des bonnes pratiques au profit des ports et un projet de stratégie cyber et maritime.
Il revient ensuite sur les attaques cyber, notamment celles s’étant déroulées en 2020 pendant la crise COVID-19 (spoofing AIS, IMO, CMA/CGM, GEFCO, Marseille/Fos – région Sud, brouillage GPS, Bandar Abbas). Il insiste sur l’importance de la connaissance et de la menace.
Puis, il évoque les résultats d’un questionnaire envoyé aux acteurs du monde maritime, ayant reçu 171 réponses. Sur ce questionnaire, on note que 86% des acteurs s’estiment moyennement (50%) ou fortement (36%) exposés à la menace cyber. 70% ont une dépendance moyenne à forte aux technologiques étrangères. 55% ont connu des tentatives de cyberattaques (détectées) et 1/3 seulement dispose d’un service chargé de la cybersécurité en leur sein.
Première table ronde : Grand Port Maritime du Havre, Brittany Ferries, Elengy
Première table ronde du Blue Day
Cette première table ronde a regroupé le commandant du Grand Port Maritime du Havre et les responsables de la sécurité des systèmes d’information d’Elengy et de Brittany Ferries.
La RSSI de Brittany Ferries, Annes Despoulains, évoque notamment l’arrivée prochaine dans la flotte du Galicia, qui fera l’objet d’une classification cyber. Ce navire offrira de nouveaux services numériques, tant au profit de passagers et des membres d’équipage que pour le suivi du fonctionnement à distance du navire et de ses systèmes OT (Operational Technology). Le navire sera ainsi davantage connecté à Internet vers des datacenters. La conception du navire a donc logiquement intégré les contraintes de cybersécurité et fera l’objet d’une classification cyber par Bureau Veritas. Le Galicia sera le navire pilote en termes de framework pour l’intégration de la cybersécurité dans l’ISM des autres navires, en réponse à la résolution MSC 428(98) de l’OMI qui rentre en vigueur à compter du 1er janvier 2021. Brittany Ferries, présent dans 4 pays et 11 ports, a pour objectif de protéger ses clients, l’image de l’entreprise et doit faire face à des attaques très diverses : phishing, tentatives d’arnaques au président, d’usurpation d’identité, de tentatives d’introduction de rançongiciels. La formation et la sensibilisation du personnel a permis de protéger au mieux les systèmes de l’entreprise au sein d’une organisation performante. Elle insiste également sur l’importance du volet cybersécurité dans le domaine de la conformité réglementaire et des assurances : la compagnie est ainsi auditée, de manière annuelle, dans le cadre du renouvellement de son assurance : une non conformité pourrait avoir des impacts non négligeables sur la prime d’assurance qu’elle doit verser. Brittany Ferries a également été l’objet d’exercices avancés menés par la Marine nationale et l’ANSSI avec un haut niveau de réalisme sur des systèmes IT ou OT. L’entreprise réalise également des exercices réguliers de phishing en interne pour sensibiliser son personnel.
Nicolas Chervy, Commandant du Grand Port Maritime du Havre, intervient ensuite pour évoquer la numérisation des ports, devenue aujourd’hui indispensable pour faire entrer un navire dans un port et permettre le débarquement de ses marchandises. Ces interconnexions sont aujourd’hui internationales, pour répondre à un certain nombre de directives européennes en la matière, notamment la 1239/2019, qui impose la mise en place de nouveaux systèmes interopérables comme l’EMSW (European Maritime Single Window) pour permettre l’échange des données au niveau européen. La réservation de postes à quai, la déclaration de matières dangereuses, les déclarations de déchets, de sûreté, les listes de passagers et d’équipages : tous ces processus utilisent la voie électronique. Dans un contexte où 2,5 millions de containers transitent par le port du Havre chaque année et avec quatre terminaux armés H24 toute l’année, un mode dégradé manuel n’est pas envisageable. Le détournement du fonctionnement des systèmes d’information portuaire au profit de l’attaquant est également évoqué, en prenant comme exemple le cas du port d’Anvers, où des attaquants avaient réussi à écarter des marchandises illicites des contrôles douaniers. Le problème est identique pour les listes de passagers : ce type de détection est donc particulièrement difficile à mettre en oeuvre d’autant plus dans un contexte de systèmes locaux, nationaux et internationaux de plus en plus interconnectés. Le Commandant du Grand port évoque également un exercice majeur dont le port a été l’objet et qui lui a permis de tester ses capacités face à une menace réaliste. « Il faut faire des exercices et voir où on est perfectibles », insiste-t-il.
Mohamed Abdallah, RSSI d’Elengy, évoque les particularités de son travail dans le contexte d’un opérateur méthanier. Son principal travail, en-dehors de la protection face aux menaces « classiques », est clairement de protéger ses systèmes d’information OT, notamment pour éviter toute modification en température ou en pression des capacités de stockage du gaz, car les accidents ou incidents dans ce domaine pourraient avoir des impacts majeurs sur l’humain ou l’environnement. Elengy met également en place des exercices réguliers de sensibilisation à la cybersécurité, notamment à l’occasion du cybermois. Il n’y a pas d’interconnexion directe entre les navires et les terminaux méthaniers. Le RSSI voit les « SOC (Security Operations Center) et les CERT comme extrèmement importants pour permettre l’alerte, la veille, la supervision de systèmes et le partage de retour d’expérience si on veut travailler de manière proactive ».
Anne Despoulains précise que tous les acteurs n’ont pas les même moyens financiers et humains en termes de cybersécurité et qu’il est par conséquent « important d’avoir des plateformes ou des centres qui permettent de réaliser les fonctions de veille, d’alerte et permettre un retour sur les solutions palliatives, mais aussi pour l’accompagnement de la formation du personnel. »
Seconde table ronde : les solutions, avec DIATEAM, la Chaire de cyberdéfense des systèmes navals et Naval Group
Deuxième table ronde du Blue Day
Patrick Hébrard, responsable Recherche et Innovation en Cybersécurité chez Naval Group, évoque les chiffres d’augmentation de 400 à 900 % du nombre de cyber attaques en 2020. Il aborde l’intégration de la cybersécurité chez Naval Group depuis une quinzaine d’années dans la construction neuve et la maintenance des navires pour les marines militaires. La véritable difficulté rencontrée aujourd’hui est liée au respect des règles d’hygiène numérique et au non-respect de certains gestes barrière. Or, l’application de mesures simples peut permettre de filtrer 80% des attaques par des vecteurs comme les clés USB qui sont, finalement, généralement peu avancées. Les 20% des attaques restant concernent plutôt des menaces de type Advanced Persistent Threat, par nature mal détectées par les solutions traditionnelles de cyberprotection. Il évoque également l’importance de l’utilisation prioritaire de solutions souveraines en termes de cybersécurité, encore trop absentes des offres : c’est avant tout une question de confiance. Naval Group, en tant qu’intégrateur, est donc en charge de mettre en place des solutions adaptées et en adéquation avec la politique de sécurité du client. Il rappelle à nouveau que la cybersécurité n’est pas que de la technique, mais aussi une question d’organisation, de formation, d’entrainement, de protection physique… Il rappelle enfin toute l’importance de l’entrainement à la cyberdéfense : « Le rejeu de scénarios d’attaques dans un contexte de simulation est forcément une des clés de réussite pour augmenter la résilience. » Il a également rappelé l’importance du partage d’information : « on crée à Brest un centre de coordination cyber pour le maritime avec un CERT maritime qui apportera un support effectif. »
Guillaume Prigent, président fondateur de DIATEAM, explique le fonctionnement de l’entraînement : « Face à la transformation numérique, on a tendance à dire que le maillon faible, c’est l’humain. Mais c’est aussi lui qui sauve en cas de crise. On va reproduire tout ou partie d’un système maritime et on va mettre en face des équipes techniques et décisionnelles pour dérouler une crise et tester les techniques, procédures et la communication au plus près de ce qui s’est passé ». Il insiste sur l’importance du réalisme du scénario, tant sur le système que sur la menace reproduite. « On teste la partie IT, la partie OT, les SOC, les CERT, mais aussi la chaîne décisionnelle, pour les OIV, les ports, les ministères, de la gestion du stress à la communication. »
Philippe Vaquer, responsable des opérations de cybersécurité pour Bureau Veritas, rappelle les changements qui interviennent au 1er janvier 2021 avec la rentrée en vigueur de la résolution MSC 428(98) de l’OMI de 2017, qui demande à ce que les armateurs (navires > 500 t) aient intégréla cybersécurité dans leurs Safety Management Systems. Les états des pavillons seront responsables du contrôle de la bonne prise en charge des risques cyber lors des opérations de vérification des documents de conformité. Les armateurs devront prouver qu’ils sont aptes à identifier les risques, s’en protéger, les détecter, y répondre et restaurer les systèmes si nécessaires, en gardant à l’esprit (bear in mind) les recommandations de BIMCO (c’est le fameux Identify, Protect, Detect, Respond, Restore du framework NIST). Les notations de classe de Bureau Veritas adressent essentiellement deux types de navires : ceux qui sont déjà en service (la classification est alors essentiellement axée sur l’organisationnel) et l’autre dédiée aux navires en construction, orientée sécurité par conception. Les armateurs vont devoir être en mesure de présenter la documentation relative à cinq domaines : la formation et la sensibilisation des équipages (adaptées aux niveaux de responsabilité, de l’armateur jusqu’au matelot), la connaissance et la cartographie des équipements à bord (IT et OT), l’analyse des risques de l’armateur (description des menaces, moyens mis en oeuvre), la politique de cybersécurité pour l’ensemble de la flotte (organisation adaptée, responsabilités et rôles, règles d’emploi, gestion des mots de passe, mises à jour…) et, enfin, les procédures d’emploi des matériels au quotidien, la maintenance, et gestion des incidents. Les règles de classification présentes dans la note BV 659 ont été rédigées en ce sens avec de nombreux partenaires français et internationaux (armateurs, chantiers, équipementiers et organismes comme l’ANSSI).
Yvon Kermarrec est le titulaire de la Chaire de cyberdéfense des systèmes navals. Située à l’Ecole navale, cette chaire industrielle a été créée en 2014 (déjà !) pour répondre aux enjeux de cyberdéfense dans le contexte naval et préparer l’avenir. En lien avec la Marine, Thales et Naval Group, elle dispose d’un fort lien académique et de recherche avec IMT Atlantique et ENSTA Bretagne. Elle travaille de manière duale sur les enjeux de la formation et de la recherche, sur des sujets très variés notamment sur la détection d’anomalie. La chaire a permis la sensibilisation de tous les officiers de Marine sur les sujets de cybersécurité maritime dès le début de leur cursus. Yvon Kermarrec évoque également la création du Mastère spécialisé « Cybersécurité des systèmes maritimes et portuaires », qui vient de voir le jour en partenariat entre l’Ecole navale, IMT Atlantique, ENSTA Bretagne et l’Ecole nationale supérieure maritime (ENSM). Yvon Kermarrec aborde également les sujets de présentation de l’information et d’aide à la décision comme étant un sujet essentiel, en l’absence d’expert cyber à bord des navires. Il précise que certaines des solutions développées au sein de la chaire pour faire face à des problèmes complexes ont été valorisé par une mise en oeuvre opérationnelle à bord des bâtiments de la Marine nationale.
Sur le sujet des navires autonomes et des questions de cybersécurité afférentes, Guillaume Prigent insiste sur le fait que ces technologies gagneraient à être mises entre les mains de hackers éthiques, des plateformes de bug bounty pour éviter de reproduire les erreurs classiques de conception déjà connues de longue date et limiter les vulnérabilités. Yvon Kermarrec insiste sur les besoins de situational awareness et les travaux menés sur ce sujet au sein de la chaire pour améliorer la compréhension des menaces en temps réel. Philippe Vaquer précise que de nombreuses réalisations sur ce sujet sont aussi effectuées en France, et pour lesquelles la cybersécurité a été prise en compte dès la conception sur ces systèmes où les menaces sont beaucoup plus prégnantes : l’analyse de risques doit donc être beaucoup plus poussée que sur des navires armés par l’homme.
Tout le monde s’accorde sur le fait qu’un écosystème en cybersécurité maritime peut parfaitement se développer en France avec des produits « qui tiennent la route ».
Eric Vandebroucke, directeur du développement économique pour Brest Métropole
Eric Vandebroucke rappelle la genèse de l’initiative de Brest pour accueillir le centre de coordination cyber pour le maritime. Il existe à Brest une forte présence d’acteurs de la sécurité maritime (CEDRE, Préfecture Maritime, MICA Center, CROSS, Marine nationale…) et c’est bien dans ce cadre que les questions de cybersécurité maritime doivent s’intégrer. De nombreuses initiatives en cybersécurité maritime peuvent déjà être recensées sur Brest : Mastère spécialisé « Cybersécurité des systèmes maritimes et portuaires », chaire de cyberdéfense des systèmes navals, unités spécialisées de la Marine, tissu riche de PME oeuvrant sur les sujets numériques et maritimes. C’est donc dans cette suite logique et pour répondre concrètement à ces enjeux que Brest a présenté sa candidature en novembre 2019 en proposant la création à très court terme des premières briques d’un CERT sectoriel maritime couvrant la France métropolitaine et ultramarine dès la fin 2020. D’autre part, un centre national d’expertise et de ressources en cybersécurité maritime, appelé France Cyber Maritime, verra également le jour en octobre 2020 pour fédérer et coordonner la réponse française sur ces sujets. La proposition de Brest a aujourd’hui reçu des soutiens forts de la part d’industriels des secteurs maritime et cyber, d’organisations professionnelles maritimes et d’établissements d’enseignement supérieur et de la recherche : quinze acteurs au total.
France Cyber Maritime travaillera sur de nombreux projets : l’analyse de la menace, un M-SOC, la formation (sensibilisation, formation, entrainement), la formation continue (par le biais du Mastère spécialisé), le conseil (audit, accompagnement), la R&D et l’innovation, le maintien en conditions de sécurité et la valorisation et le développement économique (promotion, animation). Des offres de services seront donc disponibles rapidement face aux besoins des industriels aux plans national et international. France Cyber Maritime sera créée sous la forme d’une association Loi 1901 et les statuts devraient être déposés d’ici fin octobre 2020. Elle disposera de 4 collèges : « Etat », « Public », « Solutions » et « Utilisateurs ».
Le M-CERT, quant à lui, assurera les missions de veille, de diffusion, d’alerte, d’analyse et de partage, la centralisation et la gestion des incidents et la coordination de la réponse à incidents. Les documents associés à la création du M-CERT ont été rédigés et présentés à l’ANSSI.
Eric Vandenbroucke termine son propos en précisant que ces deux projets à vocation nationale trouveront, sans aucun doute, des échos favorables aux niveaux européen et international.
Soutiens actuels à l’initiative France Cyber Maritime
Christian Cevaer, délégué à la sécurité numérique pour la région Bretagne
Christian Cevaer, délégué à la sécurité numérique pour la région Bretagne
En conclusion, Christian Cevaer rappelle les apports du numérique pour le monde maritime et, en conséquence, l’augmentation de la surface d’attaque associée. La compréhension des risques doit bien être prise en compte dans le contexte géopolitique global et en intégrant également le caractère protéiforme de la menace cyber. La France dispose d’une position avantageuse dans le domaine de la cybersécurité, que ce soit sur les enjeux techniques mais aussi avec une organisation et une gouvernance claires, associés à un volontarisme fort, sans oublier le recours à des prestataires qualifiés pour la fourniture de services spécifiques et sûrs.
« La filière maritime, fluviale et portuaire doit appréhender la cybersécurité de manière globale et systèmique », ajoute-t-il. « C’est un travail collectif pour connaître et comprendre ces risques, les anticiper, sensibiliser, former et entrainer les femmes et les hommes à détecter et à réagir aux cybermenaces. Il faut se structurer autour d’un centre opérationnel pour devenir des acteurs de notre défense, sans oublier de s’inscrire dès le départ dans une dynamique européenne ».
Le délégué à la sécurité numérique appelle à la mobilisation et conclut : « Ce Blue Day marque un jalon fort pour la mobilisation autour de la sécurité numérique du maritime que nous soutenons pleinement, en lui souhaitant qu’elle génère une dynamique forte à la hauteur des enjeux. »
Vous l’attendiez avec impatience ! Le séminaire en présentiel, initialement prévu au printemps et reporté pour cause de confinement, aura bien lieu en format « webinaire » le 8 octobre 2020 de 09h30 à 12h00 !
Carnival, le plus important opérateur du marché des croisières (102 navires, 50% du marché des croisiéristes dans le monde (225 000 croisiéristes à bord par jour !) a déclaré avoir été victime d’une cyberattaque par rançongiciel le 15 août 2020 (12). Deux navires du groupe avaient déjà été victimes d’une cyberattaque en mai 2019.
L’attaque, détectée par le groupe, a accédé et chiffré une partie des systèmes d’information du groupe. L’accès non autorisé a aussi entraîné le téléchargement de certains fichiers de données, sans que le groupe n’en précise le type.
Le groupe a lancé une enquête interne, prévenu les forces de l’ordre et devrait déposer plainte. A noter que l’entreprise a fait appel à une expertise externe pour la réponse à incident. En parallèle, le groupe assure avoir mis en œuvre des mesures de confinement et de remédiation pour faire face à l’incident et pour renforcer la sécurité de ses systèmes d’information. Elle travail avec des entreprises reconnues de cybresécurité pour assurer la réponse immédiate à la menace, défendre ses systèmes et conduire la remédiation.
En se basant sur les informations aujourd’hui en sa possession, le groupe pense que l’attaque n’aura pas de conséquences sur ses résultats économiques, ses opérations quotidiennes ni ses résultats financiers. Cependant, il s’attend à ce que cette attaque ait permis l’accès non autorisé à des données personnelles de croisiéristes et d’employés, ce qui pourrait conduire à des plaintes de ces derniers ou des autorités.
Les investigations en cours devraient permettre de déterminer si d’autres portions du système d’information du groupe ont été impactées.
D’après le site anglophone Vanguard, le systèmes d’information OT du monde maritime auraient connu une augmentation des cyberattaques de l’ordre de 900% sur les trois dernières années. On le rappelera, par « OT » on entend Operational Technology, c’est-à-dire, d’après le NIST, l’ensemble des systèmes d’information « contraints » du secteur (systèmes industriels, systèmes métier), par opposition avec IT, qui regroupe les systèmes d’information plus « classiques » (accès à l’Intranet, etc…).
Ce chiffre alarmant provient de l’entreprise Naval Dome, donc le responsable pour les opérations aux États-Unis intervenait mi-juillet 2020 lors d’un webinaire s’adressant aux ports et aux opérateurs de terminaux portuaires (2020 Port Security Seminar & Expo).
Parmi ces chiffres, le responsable parle de 50 incidents en 2017, 120 en 2018 et 310 en 2019, avec une projection à plus de 500 brèches majeurs de cybersécurité en 2020. De notre côté, vous trouverez nos chiffres, année par année, avec les références publiques ici. Rappelant les attaques connues sur les ports et armateurs (Barcelone, San Diego), puis Austal, COSCO, MSC, l’infection Ryuk aux États-Unis et celle, plus récente, visant un port iranien. Il a également rappelé le rapport de la Lloyd’s de Londres, dont nous parlions sur ce site, qui précisait qu’une cyber-attaque sur 15 ports d’Asie aurait un impact potentiel supérieur à 110 milliards US$, peu ou pas couverts par les assurances qui ne couvrent généralement pas les systèmes OT.
Dans les ports, les systèmes d’information de type OT sont nombreux : grues type RTG et STS, système de contrôle du navire, gestion du transit des marchandises, systèmes de sûreté et de sécurité. D’après Naval Dome, la difficulté est essentiellement due au fait que ces systèmes OT ne font pas l’objet d’une cybersurveillance : les menaces y sont donc beaucoup plus longues à détecter.
