Close

Cybersécurité du transport maritime : quels enjeux et quelles réponses ?

En 2017, la cyberattaque NotPetya a considérablement affecté le géant du transport maritime Maersk. Victime d’une interruption contrainte de ses opérations, l’entreprise danoise a subi une perte de productivité, estimée à 300 millions USD[1], et a dû recomposer une partie de son parc informatique[2]. Cet incident a rappelé à grande échelle l’exposition croissante du secteur maritime aux cybermenaces.

La mer est incontournable pour les échanges mondiaux. Avec plus de 50 000 bateaux et un million de marins qui contribuent annuellement aux flux commerciaux, les activités maritimes reposent aujourd’hui en grande partie sur l’informatique, désormais omniprésente dans les ports et à bord des navires.

La filière maritime profite en effet depuis plusieurs années des nouvelles technologies de l’information et de la communication. L’adoption croissante de technologies émergentes telles que le cloud computing, le big data, l’intelligence artificielle (IA) et l’Internet des objets (IoT) a permis au secteur d’automatiser ses services et ses processus, améliorant ainsi sa rentabilité et sa compétitivité.

Cette dynamique de numérisation repose sur ce que certains appellent la « marétique ». Défini par le Livre Bleu du cluster éponyme (2013), ce néologisme désigne « l’ensemble des systèmes informatiques et électroniques utilisés dans la gestion et l’utilisation des opérations relatives aux activités maritimes, fluviales et portuaires[3] ». Couvrant toutes les marines (marchande, militaire, pêche, plaisance et scientifique), la marétique concerne à la fois les navires, les ports, les systèmes de navigation et de communication, ainsi que les outils de gestion et de contrôle du trafic maritime et des cargaisons[4].

La montée en puissance de la marétique s’accompagne d’une interconnexion accrue des technologies de l’information[5] (IT) et des technologies opérationnelles[6] (OT) qui composent les ports et les navires. Or si cette convergence IT/OT favorise par exemple le diagnostic et la maintenance à distance des navires, elle contribue également à augmenter leur surface d’exposition aux cybermenaces. Bien que les dernières années aient été témoins d’une prise de conscience du risque cyber, la réglementation et la législation ne permettent pas en l’état d’y faire face pleinement.

Le maritime : un secteur de plus en plus exposés au risque cyber

Les ports : des infrastructures stratégiques de plus en plus numérisées

En 2018, le transport maritime international a atteint pour la première fois un volume total de 11 milliards de tonnes[7] (contre 10,6 milliards en 2017). Cette hausse s’est accompagnée d’une croissance du nombre d’informations en circulation relatives aux marchandises, aux navires et aux passagers.

Pour rester compétitifs, les ports se sont lancés dans l’automatisation et le traitement de ces flux de plus en plus denses de données. Plaçant la numérisation et l’innovation technologique au cœur de leur modernisation, les smart ports[8] (tels que Le Havre, Dubaï, Hong Kong, Los Angeles, Port Elizabeth, etc.) ont automatisé leurs services afin d’optimiser la sûreté de leurs infrastructures, ainsi que la gestion et la planification de leurs opérations (notamment celles des porte-conteneurs et des camions autonomes, la surveillance en temps réel des activités, etc.). Cette numérisation de plus en plus importante accroît dans le même temps l’exposition des ports aux actes de cyber-malveillance.

En mai 2020, l’Iran a été la cible d’une cyberattaque contre le port de Shahid Rajaee, l’un de ses principaux terminaux maritimes dans le détroit stratégique d’Ormuz. Téhéran a déclaré que cette attaque n’était pas parvenue à compromettre les systèmes de l’Organisation portuaire et maritime (PMO), autorité nationale des ports iraniens, mais qu’elle avait toutefois compromis et endommagé les systèmes de plusieurs opérateurs privés. La cyberattaque a ainsi eu pour effets d’immobiliser plusieurs conteneurs et navires, ainsi que de créer d’importants embouteillages sur les routes conduisant au port de Shahid Rajaee[9].

Si dans cet exemple les dommages semblent relativement limités, une cyberattaque de grande ampleur contre un port pourrait conduire à la suspension totale de ses activités, susceptible de perturber voire de paralyser totalement la chaîne d’approvisionnement et l’économie du pays ciblé.

De plus, les opérations portuaires sont désormais coordonnées par un Port Community System (PCS), qui facilite le fonctionnement des équipements et des services industriels (grues, écluses, ponts, installations de sécurité, etc.), ainsi que les technologies de l’information utiles aux activités d’un port[10]. Le PCS constitue une plateforme d’échange sécurisé d’informations au sein de la communauté portuaire, laquelle se compose d’un grand nombre d’acteurs publics (douanes, police, ville) et privés (transport maritime et ferroviaire, lamanage, avitaillement, gestion des camions, grues, stocks, etc.).

Cette diversité d’acteurs constitue également une vulnérabilité car elle suppose des niveaux variés de sensibilité et de compréhension à la cybersécurité. Le PCS doit ainsi rappeler que la diffusion d’une culture d’hygiène informatique à tous les échelons de la communauté portuaire est essentielle au renforcement de son niveau global de sécurité[11].

L’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA) a récemment décliné quatre scénarios principaux de cyberattaque contre les ports[12] :

  • Une attaque informatique ciblée dans le but d’accéder à des données sensibles pour voler des cargaisons de grande valeur ou effectuer des trafics illégaux ;
  • la diffusion de rançongiciels conduisant à un arrêt total des opérations portuaires ;
  • la compromission du PCS pour manipuler ou voler des données ;
  • la compromission des OT créant un accident majeur dans les zones portuaires.

Les navires : des ensembles complexes hyperconnectés

Autrefois entièrement isolés une fois en mer, les navires sont désormais des ensembles complexes connectés à un réseau d’acteurs et embarquent de plus en plus de SI (communication, automates, systèmes critiques de navigation, de propulsion ou de sécurité). Leur numérisation a considérablement modifié la gestion et le contrôle du trafic maritime. Les échanges entre la mer (bateau et agent maritime) et la terre (port et compagnie) s’effectuent aujourd’hui en temps réel. Les offres de service à distance se multipliant, l’interconnexion accrue des SI à bord, qui permet notamment le diagnostic et la maintenance à distance des navires, étend cependant la surface d’exposition des navires aux cybermenaces et accroit leurs vulnérabilités aux risques cyber, parmi lesquels :

Système Exemples de risques potentiels[13]
Système de visualisation des cartes électroniques et d’information

(ECDIS)

Effet : L’ECDIS est un dispositif embarqué d’information et de visualisation des cartes électroniques de navigation officielles (ENC). En raison de ses interconnexions, il est un élément central de la navigation, en plus d’être de plus en plus relié au système de command-and-control. Un ECDIS insuffisamment sécurisé peut faire l’objet d’une cyberattaque.
Exemple : En 2014, l’entreprise NCC Group publie un livre blanc dans lequel sont exposées les vulnérabilités permettant d’accéder et de modifier de manière non autorisée les ENC contenues dans un ECDIS[14].
Système d’identification automatique (AIS) Effet : Un AIS permet à un navire de fournir à d’autres navires et aux ports des informations relatives à son identité, sa position et sa route. Les vulnérabilités de son protocole permettent de modifier les données émises par un navire et de le faire passer pour un autre (« émission de faux échos AIS »).
Exemple : En 2013, le pétrolier iranien Ramtin s’est fait passer pour l’avitailleur Hamoda K (Togo) en piratant son AIS, afin de naviguer au large de Singapour, pour contourner l’embargo américain sur le pétrole contre l’Iran[15].
Assistant de navigation

(GPS)

Effet : Le GPS est un système de positionnement par satellite qui permet aux navires de se géolocaliser. Vulnérable aux attaques de type brouillage et leurrage, son piratage peut perturber la navigation et le trafic maritime.
Exemple : En 2016, la Corée du Sud a accusé Pyongyang d’avoir affecté la réception du signal de plus de 700 navires sud-coréens, provoquant une perturbation de son trafic maritime pendant près d’une semaine[16].
Ports USB Effet : Utilisés pour la mise à jour de systèmes, la réalisation d’opérations de maintenance ou le transfert de fichiers vers ou à partir des OT « hors réseau ».
Exemple : Un avitailleur a compromis une partie du réseau bureautique de son navire par le biais d’une clé USB infectée. Cela n’a toutefois pas atteint les systèmes de control-and-command qui étaient probablement cloisonnées[17].

La plupart des navires en service actif embarquent des SI dont la sécurisation demeure difficile a posteriori. Cette réalité souligne la nécessité de sécuriser l’ensemble des technologies de l’information et des technologies opérationnelles dès la phase de conception des bateaux dans une approche « security by design ». En parallèle, les réflexions des sociétés de classification sur les normes et les standards techniques qui encadrent la construction navale doivent continuer d’évoluer et d’y intégrer la cybersécurité, afin de faire émerger de nouveaux protocoles de sécurité. De même, la formation cyber des équipages doit se poursuivre. Les recommandations des assureurs du secteur maritime doivent également être prises en compte. En mars 2020, le sud-coréen KR a par exemple délivré la première certification cyber au monde au pétrolier/chimiquier Songa Hawk[18] (îles Marshall).

Un encadrement législatif en progression

Un cadre règlementaire international peu contraignant

Comme indiqué par la Stratégie nationale de sûreté des espaces maritimes (2019), la prise de conscience des enjeux cyber par les grands acteurs du secteur maritime est désormais bien réelle[19] .

Plusieurs associations professionnelles ont d’ailleurs publié à l’égard de ces acteurs des guides de bonnes pratiques. Le Baltic and International Maritime Council (BIMCO) a publié en 2016 des Guidelines on cyber-security on board ships, mises à jour en 2017 et en 2018. Outre des recommandations, ce guide rapporte plusieurs incidents cyber dans la filière maritime et est cité comme une référence par l’Organisation internationale maritime (OMI). Ces bonnes pratiques sont toutefois non contraignantes. Leur application est de fait laissée à la discrétion des parties concernées et n’est peu voire pas contrôlée.

Quant au dispositif règlementaire encadrant la cybersécurité des navires, il est encore peu développé et ne prend pas en compte l’évolution récente des menaces. La cybersécurité des ports ont toutefois fait l’objet d’une attention singulière à l’échelle européenne :

  • Entré en vigueur en 2004, le Code International Ship and Port Facility Security (ISPS) relatif à la sûreté des navires et des ports est un premier pas vers la considération du risque cyber à bord. Sa partie facultative mentionne que « l’évaluation de la sûreté du navire devrait porter sur les […] systèmes de radio et télécommunications, y compris les systèmes et réseaux informatiques[20] » ;
  • en juin 2017, l’OMI a adopté la résolution MSC.428(98) sur « la gestion des cyber-risques maritimes dans le cadre des systèmes de gestion de la sécurité », qui pose le premier cadre règlementaire de la cybersécurité de l’industrie maritime. Cette résolution pousse les navires à évaluer leur risque cyber, au plus tard lors de la première vérification annuelle de l’attestation de conformité des constructeurs après le 1er janvier 2021 ;
  • en juillet 2017, l’OMI a voté la circulaire MSC.1-FAL.1/Circ.3 sur la gestion des cyber-risques maritimes qui vise à protéger le transport maritime contre les cybermenaces. Elle promeut une évaluation de la sécurité des SI embarqués qui doit être effectuée en amont et de manière continue en mer pour être efficace. Cette circulaire pose la question de la maintenance à distance et du rôle des sous-traitants pour que l’ensemble de la chaîne de valeur soit conforme et cyber résiliente ;
  • en juillet 2016, l’Union européenne a adopté la « directive NIS » qui prévoit que chaque État doit se doter d’une stratégie nationale en matière de sécurité des réseaux et des SI. Les opérateurs de services dits « essentiels » (OSE) doivent prendre des mesures techniques et organisationnelles pour gérer les risques qui pèsent sur la sécurité de leurs réseaux et de leurs systèmes. En vertu de son caractère essentiel, le secteur du transport maritime est directement concerné.

Un arsenal juridique français encore incomplet

En France, la législation se concentre davantage sur la cybersécurité des ports que celle des navires :

  • La loi de programmation militaire (LPM) de 2013 pose les jalons en France de la cybersécurité appliquée à la filière maritime. Bien qu’elle ne concerne que les opérateurs d’importance vitale (OIV), la LPM sensibilise ces derniers à la sécurisation de leurs SI, conformément aux orientations du Livre blanc sur la défense et la sécurité nationale de la même année.
  • un arrêté du Premier ministre précise en 2016 les dispositions de la LPM 2013, en fixant les mesures de sécurité spécifiques aux OIV du secteur « transports maritime et fluvial[21]» ;
  • à l’automne 2018, la transposition en droit français de la directive NIS ouvre le cadre réglementaire de la cybersécurité du transport maritime aux autres acteurs que les OIV. Elle dote ainsi les compagnies maritimes, les logisticiens et les transitaires, entre autres, de règles de sécurité.

La cybersécurité des SI embarqués souffre donc d’un vide juridique qu’il convient de pallier. Des réflexions et des bonnes pratiques ont toutefois déjà été initiées par la direction des Affaires maritimes (DAM) de l’ancien ministère de l’Environnement, de l’Énergie et de la Mer avec la publication en 2016 d’une série de trois guides[22]. À destination des acteurs maritimes, ces guides visent à sensibiliser sur « la prise en compte de la cybersécurité lors des contrôles de sûreté et de sécurité des navires ». L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a également fourni des travaux.

La filière maritime est confrontée à des enjeux grandissants en matière de cybersécurité. Afin d’appréhender les nouvelles menaces liées à la numérisation croissante du transport maritime, il est indispensable que le secteur poursuive la diffusion en son sein d’une culture d’hygiène informatique destinée à protéger l’intégralité de sa chaîne de valeur. Outre l’adoption par les autorités publiques d’un cadre légal dédié à la cybersécurité des navires, les acteurs industriels pourraient de leur côté adopter une approche « security by design » des SI embarqués, dont la correction des vulnérabilités doit être effectuée tout au long du cycle de vie du bateau, dans le cadre du maintien en condition opérationnelle.

 

[1] Jordan Novet, « Shipping company Maersk says June cyberattack could cost it up to $300 million », CNBC [en ligne], 16 août 2017.

[2] Christophe Auffray, « Les 10 nuits en enfer de Maersk pour réinstaller 4000 serveurs et 45000 PC », ZDNet [en ligne], 3 mars 2020.

[3] Livre bleu de la Marétique, 13 novembre 2013, p. 6.

[4] « Les systèmes de la marétique », Cyber marétique [en ligne], 24 octobre 2018.

[5] Comme le Wi-Fi et les systèmes de distraction à bord (Internet, réception et distribution TV, etc.).

[6] Ces « systèmes métiers » sont notamment chargés de la navigation et à la propulsion des bâtiments, ainsi que la gestion de l’énergie, des marchandises, des passagers et des alarmes.

[7] CNUCED (Nations Unies), Étude sur les transports maritimes, 2019, p. 2.

[8] Théo Sinibaldi, Les Smart Ports, Wavestone, Juillet 2017.

[9] Ellen Nakashima, Joby Warrick, « Officials: Israel linked to a disruptive cyberattack on Iranian port facility », The Washington Post [en ligne], 18 mai 2020.

[10] IAPH, Port Community Cyber Security, Chapitre 1.

[11] J. Besancenot, « Le port du futur sera un port « smart » et cyber sécurisé ! », CyberCercle [en ligne], Mai 2020.

[12] ENISA, Port Cybersecurity – Good practices for cybersecurity in the maritime sector, 26 novembre 2019.

[13] Premier ministre, Stratégie nationale de sûreté des espaces maritimes, 10 décembre 2019, p. 25.

[14] « Security vulnerabilities found in technology used by maritime industry “could cause ships to run aground” », NCC Group [en ligne], 1er avril 2014.

[15] R. Almeida, « Iranian Tanker Hacks AIS to Disguise Itself Off Singapore », gCaptain [en ligne], 25 octobre 2013.

[16] J. Kim, « South Korea revives GPS backup project after blaming North for jamming », Reuters [en ligne], 2 mai 2016.

[17] BIMCO, The Guidelines on Cyber Security Onboard Ships, Décembre 2018, p.18.

[18] « KR certifies first cybersecurity compliant vessel », Safety4Sea [en ligne], 9 mars 2020.

[19] Premier ministre, Stratégie nationale de sûreté des espaces maritimes, 10 décembre 2019, pp. 24-26.

[20] Partie B, règle 8.3.

[21] « Transports maritime et fluvial », Journal officiel [en ligne], 11 août 2016.

[22] « Cybersécurité maritime », RP de la France auprès de l’OMI [en ligne], 21 avril 2017.