Dans une note datant de septembre et présentée à la 94e session du comité de la sécurité maritime de l’OMI, la délégation canadienne a fait part de ses préoccupations en matière de cyber – sécurité. Elle rappelle:
– « que des chercheurs de l’Université du Texas ont démontré, en juillet 2013, qu’il est possible de changer la direction d’un navire en empêchant la réception de son signal GPS de sorte que les systèmes de navigation à bord interprètent mal sa position et son cap;
– qu’un pirate informatique a fait basculer sur le côté une plate-forme pétrolière flottante située au large des côtes africaines, entraînant son arrêt temporaire;
– que des pirates informatiques se sont infiltrés dans les systèmes virtuels d’un port pour localiser certains conteneurs chargés de drogues illicites et les subtiliser sans être découverts (à Anvers, ndlr);
– que des pirates somaliens ont engagé des pirates informatiques pour s’infiltrer dans les systèmes virtuels d’une compagnie maritime et identifier les navires qui traversent le golfe d’Aden chargés de cargaisons de valeur et dont la sécurité à bord est minimale, ce qui a entraîné le détournement d’au moins un navire;
– qu’il a été fait état d’attaques par déni de service (submerger un système en lançant un nombre très élevé de demandes si bien qu’il cesse de fonctionner) à l’encontre de ports;
– qu’il a été fait état d’initiatives visant à obtenir un accès non autorisé aux réseaux internet sans fil des ports;
– que des études réalisées par la Brookings Institution et l’Agence de l’Union européenne chargée de la sécurité des réseaux et de l’information (Enisa) ont conclu que la connaissance des questions de cybersécurité dans le secteur du transport maritime est très limitée et qu’il y a peu d’initiatives visant à renforcer la cybersécurité ».
Manque de connaissances en informatique
L’un des principaux problèmes en matière de cybersécurité dans le secteur maritime, estime le Canada, concerne le « manque d’expérience ou de connaissances en informatique et en sécurité des réseaux de certains responsables et décideurs ».
La note canadienne souligne que les documents d’orientation existants en matière de cybersécurité sont généralement des documents « très techniques et détaillés destinés aux spécialistes » du domaine. Ce décalage fait obstacle aux efforts visant à élaborer des stratégies ou des plans de renforcement de la cybersécurité. Des directives « facultatives » de l’OMI sur la cyber– sécurité pourraient faciliter les débats entre les responsables et les spécialistes de la cybersécurité en décrivant de manière simple des mesures d’atténuation concernant les systèmes utilisés dans le secteur maritime, permettant ainsi de classer par ordre de priorité et de planifier les activités. Des directives de l’OMI sur la cybersécurité pourraient également mettre en évidence l’importance de la cybersécurité pour les parties prenantes du secteur maritime. Le Canada dresse donc, à titre d’exemple, une liste d’une douzaine de mesures concernant le contrôle d’accès, la conception du réseau, la détection des intrusions, la sûreté des communications, etc.
Les armateurs font des propositions
La table ronde réunissant les principales organisations armatoriales mondiales (dont le Bimco, la Chambre maritime internationale, Intercargo et Intertanko) a présenté le 15 avril un certain nombre de projets visant à protéger les navires contre les cyberattaques. Ces projets doivent être proposés à l’OMI pour qu’ils soient étudiés puis mis en œuvre.
Le communiqué diffusé à la fin de la table ronde souligne qu’il ne suffit pas d’installer un pare-feu et un antivirus pour protéger les systèmes informatiques qui gèrent le moteur principal, les instruments de navigation, l’appareil à gouverner, le ballastage ou les équipements de manutention de la marchandise.
Un guide de bonnes pratiques est en cours de rédaction composé de quatre chapitres: minimiser le risque en limitant l’accès aux systèmes informatiques, durcir les systèmes embarqués, concevoir des plans d’urgence en cas d’attaque et de fonctionnement en mode dégradé.
Via le Bimco, la table ronde et le Comité international radio-maritime sont en phase finale de développement d’une norme pour l’entretien et la mise à niveau de tout système électronique programmable. L’idée de base est de faire travailler toutes les parties prenantes (concepteurs de logiciels, intégrateurs, chantiers, exploitants de navires, équipages, etc.) à la bonne marche des systèmes informatiques embarqués.