La problématique de la cybersécurité pour le secteur maritime est détaillée dans la « stratégie nationale de sûreté des espaces maritimes » adoptée en Comité interministériel de la mer (Cimer) le 22 octobre 2015. Celle-ci relève que le monde maritime, comme tous les autres secteurs d’activités économiques, est « envahi par les systèmes d’information (SI) et les réseaux informatiques. Leur complexité et leurs interconnexions en rendent la maîtrise de plus en plus difficile. L’une des conséquences directes est l’accroissement des vulnérabilités exploitables à des fins malveillantes ».
Les navires utilisent de nombreux systèmes informatiques pour la navigation comme le dispositif embarqué d’information et de visualisation des cartes de navigation électroniques (Ecdis), ou le système AIS grâce auquel un navire fournit des informations relatives à son identité, sa position et sa route. Il y a les automates industriels pilotant les équipements du bord comme la barre, la propulsion, les énergies, les alarmes, etc. Il y a encore les systèmes de communication par satellite ou par Wifi, les systèmes portatifs comme les clés USB ou les disques durs externes, les ordinateurs de bord.
La mise en œuvre de la démarche nationale pour la cybersécurité en vue de renforcer le niveau de protection à bord des navires a été confiée à la Direction des affaires maritimes (DAM). La sous-direction de la Sécurité maritime (SM) de la DAM a travaillé en partenariat avec l’Agence nationale de la sécurité des systèmes d’information (Anssi), comme exigé par la Stratégie nationale. Un réseau s’est aussi constitué avec de nombreux acteurs du monde maritime français: ENSM, Armateurs de France, Gican, des acteurs économiques, etc.
Renseigner et protéger
« Le cyber-risque à bord d’un navire comprend deux aspects, explique Vincent Denamur, sous-directeur de la Sécurité maritime. Le premier correspond à la dégradation de l’image de la compagnie pouvant aboutir à une perte de compétitivité. Le deuxième est le risque de sabotage du navire par un système dormant ou opéré sur demande dont les conséquences peuvent aller jusqu’à la perte de contrôle du navire, de l’équipage, une atteinte à l’environnement ou aux côtes. » « Pour la cybersécurité d’un navire, nous avons travaillé sur la recherche de renseignement et la protection », précise Sébastien Le Vey, chef de la mission sûreté & cybersécurité des navires à la SM/DAM. Cela a consisté à déterminer les failles dans les systèmes embarqués et les risques sensibles à bord des navires. Concrètement, la DAM et l’Anssi ont réalisé en partenariat une enquête avec un questionnaire auprès d’équipages et d’armateurs ainsi qu’un audit d’un navire. Le tout a abouti à la rédaction de plusieurs Guides publiés au cours de l’année 2016 et début 2017 à destination des compagnies françaises afin de les sensibiliser à la protection de leurs navires. Parmi ces ouvrages, il y a le Guide des bonnes pratiques de sécurité informatique à bord des navires. Pour Thibaut Marrel, coordinateur sectoriel pour le maritime à l’Anssi, ce document « fournit des règles de bon sens pour tous les marins à bord d’un navire, mais aussi pour les personnels du siège social de la compagnie ». Il s’agit de bonnes pratiques pour établir un mot de passe, utiliser Internet et sa messagerie avec prudence et vigilance, sauvegarder régulièrement les données, maîtriser les logiciels installés sur les équipements informatiques, sécuriser l’accès Wifi du navire, séparer les usages professionnels et personnels. L’année 2017 va constituer une nouvelle étape en matière de cybersécurité maritime. Un nouvel audit va être mené au siège d’une compagnie française et à bord de l’un de ses navires. « Il s’agit de vérifier si les mesures de protection envisagées sont les bonnes en cas de tentative de piratage du navire en navigation depuis l’extérieur en passant par un satellite ou par la Wifi lors de l’escale au port », précise Thibaut Marrel. Une analyse des risques orientée vers le navire va aussi être réalisée en 2017. « Elle doit permettre de répondre à la question: avec une attaque cyber, que peut-on réellement faire faire à un navire? Il s’agit de définir des scénarios de sinistre crédibles, de prioriser les risques et les actions, puis d’en informer les compagnies. »
La cybersécurité va aussi faire son entrée dans la formation initiale des marins à l’ENSM, sans doute en 2018. Cet enseignement pourrait prendre la forme d’un cycle de conférence de 13 heures, plus quatre heures de travaux pratiques. En ce qui concerne la formation continue, l’ajout de la cybersécurité est en projet.
11 M€
C’est le montant communiqué par la chaîne de télévision TV5 Monde pour remettre en état son système d’information et pour le sécuriser durant les trois prochaines années suite à l’attaque dont elle a fait l’objet en avril 2015.
La perte d’image, de crédibilité et de chiffre d’affaires n’entre pas dans ce montant. Bien sûr, ce n’est qu’un chiffre indicatif, dans un contexte bien loin d’un navire, mais il doit inciter à privilégier la prévention plutôt que l’attentisme. À ce jour, aucune cyberattaque contre un navire n’a été rapportée, ou si elle a eu lieu, aucune compagnie ne l’a divulguée. Toutefois, le cyber-risque existe et les acteurs économiques ne doivent pas en sous-estimer le coût.
Une démarche auprès de l’omi
Une réglementation internationale sur la cybersécurité est nécessaire compte tenu du risque mondialisé et pour éviter toute distorsion de concurrence au sein d’un secteur comme le transport maritime totalement international.
La Direction des affaires maritimes (DAM) et la sous-direction de la Sécurité maritime de la DAM ont entamé un travail auprès de l’Organisation maritime internationale (OMI) pour lancer les fondations d’un texte sur la cybersécurité. Un projet de circulaire contenant des directives intérimaires a été présenté lors du MSC 96 en mai 2016 par le Canada, les États-Unis et plusieurs pays de l’Union européenne, dont la France. « Nous en sommes aux fondations, précise Vincent Denamur, sous-directeur de la Sécurité maritime. Le MSC 96 a approuvé la circulaire MSC.1/Circ.1526 et ses directives intérimaires sur la gestion des cyber-risques maritimes. Les membres de l’OMI ont pris conscience du sujet, tout comme les organisations représentatives internationales comme Intertanko, Bimco ou Clia. » La circulaire porte sur la cybersécurité du navire mais aussi celle des installations portuaires. Le prochain rendez-vous pour avancer sur le sujet est fixé au prochain MSC en juin 2017.