Les 1er et 2 novembre derniers, France Cyber Maritime a participé au symposium « Maritime Cyber Security and Resilience« , organisé par l’Université de Plymouth dans les locaux de l’Organisation Maritime Internationale à Londres. Ce symposium a regroupé de nombreuses organisations, du Japon aux États-Unis, du secteur maritime, portuaire, des administrations, mais aussi des entreprises de cybersécurité.
L’association vous propose ci-après un condensé des principaux points évoqués lors de ce séminaire dans le but d’obtenir une vision plus anglo-saxonne ou globale de la cybersécurité maritime. Le constat n’est donc pas nécessairement équivalent à celui que nous pourrions partager en France.
Vous trouverez également la majorité des présentations à l’adresse suivante : [Partage NC].
EN RÉSUMÉ…
L’édition 2023 a confirmé les points déjà identifiés lors du symposium de 2022, à savoir les difficultés d’échange et de compréhension entre les différents acteurs travaillant sur le sujet de cybersécurité maritime. Ces difficultés peuvent entraîner des incohérences de réalisme entre les scénarios étudiés et la réalité des attaques et tentatives d’attaques impactant l’écosystème maritime au quotidien. Par ailleurs, il convient également de noter que les principaux sujets évoqués concernaient les ports et navires, au détriment d’une approche peut-être plus globale et systémique de la question maritime.
Plusieurs participants du symposium ont souligné l’importance du renforcement de la collaboration internationale pour renforcer la cybersécurité de la chaîne d’approvisionnement maritime, cruciale pour maintenir le commerce mondial et les activités économiques. Face à une interconnexion progressive des opérations maritimes et portuaires ainsi que la poursuite de la numérisation globale du secteur, les évènements cyber pourraient en effet avoir des impacts sur l’ensemble de la chaîne de valeur, comme plusieurs évènements récents l’ont démontré.
Les intervenants lors du symposium ont également souligné :
- la nécessité d’une collaboration active entre les secteurs public et privé, notamment dans le partage d’informations et la coordination de la réponse à incident ;
- les risques physiques (pollution, explosion, collision) pour les hommes et l’environnement, qui sont parfois encore négligés dans les analyses de risques. Sans verser dans la paranoïa ou les scénarios catastrophiques, des mesures efficaces, et parfois simples, permettent pourtant de limiter fortement le risque de survenue de tels évènements.
Ainsi, les opérations de maintenance sur les systèmes cyber-physiques et la distribution de périphériques USB sans analyse antivirale préalable ont été particulièrement mis en avant, en soulignant (parfois trop) l’élément humain en tant que maillon faible de la cybersécurité maritime, alors qu’il s’agit bien souvent de défauts de sensibilisation, de procédure et de protection. Le symposium a ainsi souligné la nécessité de mettre en œuvre une culture de vigilance, d’éducation et de mesures proactives pour assurer l’intégrité et la sécurité des opérations maritimes, en prenant en compte la cybersécurité comme un risque à part entière et devant être intégré comme tel, notamment au sein des conseils d’administration des organisations.
PLUS EN DÉTAILS…
La cybersécurité maritime est encore souvent présentée comme un sujet complexe, que seuls des « experts » peuvent maîtriser. Ce constat, associé à la représentation de scénarios catastrophiques, peut parfois freiner la mise en place de mesures de bon sens, qui à elles seules peuvent aussi s’avérer efficaces. Le consensus mondial sur les menaces cybernétiques dans le domaine maritime est aujourd’hui clair. Pour autant, et bien que partagé par des entités publiques et privées du secteur maritime « de premier rang », notre capacité à prévenir, minimiser et contrer efficacement ces risques est parfois entravée par un manque de compréhension globale.
Le représentant du Département des transports du Royaume-Uni a souligné que les menaces maritimes, qu’elles soient numériques ou physiques, sont souvent perçues à tort, comme relevant uniquement des intérêts maritimes. Étant donné que près de 90% du commerce mondial dépend du transport maritime, ce secteur constitue en réalité une gamme beaucoup plus large d’activités économiques. En cela, le choix du terme « domaine » plutôt que l’utilisation de termes plus traditionnels comme « industrie » permettrait d’apporter une vision plus globale de l’espace où convergent les intérêts maritimes.
Ainsi, une installation géographique ou administrative portuaire dépasse largement la simple fonction de terminal maritime. Elle constitue une réelle plateforme intermodale où commence et/ou se termine la circulation terrestre de marchandises, de et vers la mer. Négliger la connexion entre le rôle stratégique d’un port, sa complexité inhérente et les responsabilités des différents organismes publics ou privés en charge de sa sécurité est donc une erreur fondamentale. De nombreuses chaînes de valeur de l’économie sont étroitement liées au transport maritime, parfois sans le savoir. En effet, le mouvement fluide des marchandises à travers les océans joue un rôle clé dans le maintien du commerce mondial et le fonctionnement de diverses industries. Du secteur manufacturier qui dépend fortement des livraisons en temps voulu de matières premières, au secteur de la vente au détail qui dépend de la disponibilité ponctuelle des produits finis, le transport maritime contribue directement au bon fonctionnement du réseau complexe des chaînes d’approvisionnement mondiales.
Le principe du « maillon faible » au sein de ces chaînes de valeur s’applique également aux vulnérabilités du cyberespace maritime. Toute interruption, perturbation, ou incident de cybersécurité à n’importe quel point de la chaîne d’approvisionnement (une installation portuaire vulnérable, un navire insuffisamment sécurisé, un canal de communication non protégé) peut donc l’exposer à un impact numérique ou économique significatif. En effet, la nature interconnectée de ces chaînes de valeur implique qu’un incident de cybersécurité dans le secteur maritime peut potentiellement entraîner des perturbations pour les entreprises à terre, entraînant des retards, des pénuries, des pertes financières et un effet domino dans l’économie.
Plusieurs cas connus d’incidents de cybersécurité passés viennent conforter ce constat. Par conséquent, prendre en compte le sujet de la vulnérabilité numérique du secteur maritime est donc crucial, non seulement au sein de celui-ci mais aussi au profit des entreprises à terre qui dépendent du bon fonctionnement du transport maritime, comme le secteur de la logistique ou des intervenants sur les zones portuaires. Cela nécessite la mise en œuvre de mesures de cybersécurité robustes, efficaces et partagées, la promotion d’efforts collaboratifs entre les parties prenantes à terre et en mer, ainsi que la garantie du respect des meilleures pratiques sur l’ensemble de la chaîne d’approvisionnement.
En reconnaissant l’interdépendance entre les opérations maritimes et terrestres, les entreprises peuvent ainsi renforcer leur résilience cyber contre les menaces potentielles, protégeant ainsi non seulement leurs propres intérêts mais aussi la stabilité plus large de la chaîne de valeur. De même, le « saut » d’une source de menaces ou d’un incident, d’une chaîne de valeur à une autre met en lumière la nature potentiellement inter-sectorielle des risques associés.
Les sources de menaces cyber dans le monde maritime ne respectent pas de frontières. Une violation de cybersécurité issue d’un maillon vulnérable au sein d’une chaîne d’approvisionnement peut se propager rapidement à d’autres chaines interconnectées, entraînant une réaction de perturbations et de vulnérabilités à travers plusieurs secteurs.
En effet, la nature interconnectée des chaînes d’approvisionnement fait qu’un évènement cyber peut autant affecter des entités publiques que privées. L’absence de distinction entre ces deux secteurs souligne la nécessité d’une approche collaborative de la cybersécurité, où les parties prenantes privées et publiques participent activement au partage d’informations, à la détection des menaces et à la coordination de la réponse à incident.
En raison de la probabilité d’engendrer des pertes catastrophiques et de la présentation de scénarios parfois exagérés ou scénarisés, la cybersécurité peut susciter la peur, l’incompréhension, voire le rejet. Elle peut également rester abstraite pour certains néophytes non sensibilisés, car associée à des sources de menace avancées capables de créer des codes sur mesure en exploitant des technologies (et vocabulaires) au-delà de la compréhension du grand public. Une condition préalable, fondamentale à la cybersécurité, demeure donc dans le partage de connaissance adapté au public visé. Si la menace ou l’opportunité est trop abstraite ou trop difficile à comprendre, la motivation et la volonté pour investir dans des mesures de sécurité ne seront pas présentes.
Lors du symposium, nous avons relevé une certaine forme de contradiction : d’une part, le recours à l’IA avec des réflexions poussées sur les navires autonomes et d’autre part, une réelle volonté de certains acteurs à revenir à l’essentiel dans cette époque de technologies avancées et de systèmes cyber sophistiqués. Qu’il s’agisse de bonnes pratique, de l’évaluation rationnelle des risques, ou de l’importance du facteur humain comme élément premier de défense. Une certaine forme de « retour aux fondamentaux », pas nécessairement partagé. Une forme de rappel des défis persistants rencontrés pour assurer une cybersécurité complète, où même des négligences apparemment mineures peuvent avoir des répercussions significatives.
D’où l’importance non seulement de sensibiliser aux menaces technologiques sophistiquées, mais aussi d’intégrer une compréhension solide des mesures de protection fondamentales. Celles-ci permettent bien souvent de se protéger à la fois contre les risques associés qu’il soient liés à des menaces hacktivistes, criminelles ou étatiques. Le respect des meilleures pratiques à tous les niveaux d’opération au sein de l’industrie maritime est donc essentiel et reste, aujourd’hui, trop fragmenté et donc complexe à appréhender, car disséminé dans trop de documents d’origines différentes.
Enfin, le sujet du partage d’informations a été fréquemment abordé lors de ce symposium. Le monde de la recherche évoquait le fait que ce partage était inexistant alors que d’autres organismes comme les gardes côtes américains ou le MTS-ISAC démontraient au contraire l’existence de canaux de communication. Dans ce contexte, la compréhension que le partage d’information et de remontée d’incidents ne peuvent pas être totalement transparents et ouverts semble parfois incompris. Pourtant, cloisonnement et partage ne sont pas antinomiques, et le rôle d’un organisme centralisateur de confiance, apte à assurer une anonymisation et un partage d’information est un objectif réaliste, voire atteint par certaines entités. Pour autant, et même si quelques acteurs souhaiteraient un partage global à toutes les parties prenantes potentiellement intéressées, le respect de la confidentialité est également un prérequis indispensable au partage d’information. Ceci n’empêchant aucunement la culture d’expérience ou le partage d’informations publiques relatives à l’incidentologie qui permettent le partage d’une perception de la situation commune de l’ensemble de l’écosystème face à l’évolution du paysage des menaces cybernétiques maritimes.