Ces quatre dernières années, le nombre de cyberattaques visant les acteurs de la supply chain a explosé. Le guide sur la nécessaire sécurité informatique que vous venez de coproduire avec Armateurs de France n’est-il pas trop tardif ?
Xavier Rebour : Il n’est jamais trop tard quand il s’agit de risques avec des incidences financières et opérationnelles comme celles liées à la cybersécurité. Nous travaillons sur ces problématiques depuis 2017-2018. Il faut du temps pour que la prise de conscience opère. Les dirigeants du secteur maritime se sentaient jusqu’à encore récemment à l'abri ou pas concernés. Nos échanges sont encore majoritairement tenus avec des responsables informatiques, qui sont déjà convaincus. Un travail de pédagogie reste nécessaire pour que la problématique soit appréhendée par le comité exécutif, certains dirigeants en faisant une affaire technique. Il ne s’agit pas seulement de mettre en place des pares-feux et des antivirus. La cybersécurité, c’est de la politique (planification de budget), du management (qui fait quoi ? qui est responsable de quoi ?), de l’organisation (quelles sont les ressources humaines à consacrer ?) et de la formation parce que le facteur humain est essentiel. L’homme est à la fois le premier rempart et le dernier ressort. Bien sensibilisé, le personnel va détecter les mails suspects. Bien formés, les techniciens vont repérer les signaux faibles et les flux anormaux. Et s’il y a une cyberattaque, les uns et les autres pourront réagir de façon à limiter les dommages et à revenir plus vite à un fonctionnement normal.
Le coût d’une protection a donné lieu à plusieurs estimations. Est-ce encore un élément dissuasif pour que les acteurs du secteur y aient recours ?
X.R. : La cybersécurité a un coût mais cela ne peut pas être juste un coup. Les investissements doivent être réguliers et permanents car les attaques évoluent. C’est une matière vivante. On estime qu'il est nécessaire d’y allouer entre 5 et 10 % du budget informatique. C’est le prix à payer mais imaginez la perte de chiffre d'affaires induite par l'arrêt d'exploitation, une paralysie des réservations, un blocage des applications de gestion de la flotte et de suivi des navires…pendant plusieurs jours. Sans parler de la rançon, qui peut se compter en millions d’euros, sans aucune garantie de récupérer vos données. Raison pour laquelle il faut s’en prémunir par des mesures de protection et de gestion de crise adaptées. Si attaque il doit y avoir, il faut être capable de l’isoler d’abord pour éradiquer la menace de ses systèmes d’information et de reconstruire ensuite avec les données sauvegardées qui auront été placées dans un coffre-fort numérique isolé du réseau par exemple.
Quelle est la maturité du secteur maritime français en matière de sécurité numérique ?
X.R. : Sans conteste, nous sommes en avance par rapport aux autres pays européens, excepté la Norvège qui a l’avantage d'avoir ouvert son centre de cybersécurité maritime six mois avant nous.
Sur quels critères vous basez-vous pour l’affirmer ?
X.R. : Parce qu'il n'y a, par exemple, aucun équivalent de France Cyber Maritime dans l'Union Européenne. Notre association est en lien direct avec l’Agence européenne pour la cybersécurité [ENISA selon l'acronyme en anglais, NDLR] et avec l'Agence européenne de sécurité maritime (EMSA). Fréquentant ces instances, on mesure l’état d’avancement de nos voisins européens. La France a mis en place une organisation qui va au-delà des seules prérogatives de France Cyber Maritime. La stratégie de cybersécurité maritime, qui a été publiée par le Secrétariat général de la mer en 2021, est le fruit d’une collaboration public-privée, avec l’Agence nationale de la sécurité des systèmes d'information (ANSSI) et des opérateurs privés maritimes et cyber.
Il est plus courant d’entendre : « pourquoi moi ? » que « comment faire pour éviter une cyberattaque ? ». La conversation sur la gestion des risques est-elle passée du pourquoi au comment ?
X.R. : Ce sujet n’a précisément pas vocation à être étalé sur la place. Nombreux sont ceux qui préfèrent faire profil bas par crainte d’attirer les cybercriminels qui frappent parfois à l’aveugle, mais surtout les plus vulnérables. D’autres se considèrent trop « petits » pour subir une agression. Il y a aussi cette idée que la cyberattaque est une maladie honteuse sur laquelle il est préférable de ne pas s’exprimer. Les adhérents de France Cyber Maritime [au nombre de 90, dont la moitié des représentants des ports, opérateurs des terminaux, compagnies et logisticiens, NDLR] ont pris conscience du risque et s’y préparent. Notre rôle n'est ni d’auditer ni de contrôler mais de faire le liant entre les opérateurs du maritime et de la cybersécurité pour faire monter le niveau de maturité cyber du maritime et amariner les acteurs de la cybersécurité. On agit en tant que tiers de confiance.
La meilleure compréhension des implications, si tel est le cas, se traduit-elle au niveau interne par la mise en œuvre d'un système de management de sécurité ?
X.R. : Une compagnie maritime qui fait bien les choses commence par dresser un inventaire de ses systèmes d'information puis établit une analyse de risques qui permet de prendre toute la mesure des vulnérabilités et d’avoir des scénarios d'attaque réalistes de façon à protéger ce qui est nécessaire, à savoir les informations et les réseaux critiques. On ne protège bien que ce que l’on connaît. Inutile de mettre en place des procédures qui soient trop contraignantes pour les opérateurs ou un frein à l'activité.
Le Centre de veille, d’alerte et de réponse aux attaques informatiques pour le secteur maritime, le M-Cert, a été installé il y a quatre ans. Quelles évolutions avez-vous observé en termes de vulnérabilités ?
X.R. : Il faut distinguer les vulnérabilités et les attaquants. Nous avons décrit les principales tendances constatées en 2023 dans la deuxième édition de notre panorama [Panorama de la cybermenace, NDLR]. Les faiblesses peuvent être de plusieurs types, informatiques ou humaines. Pour les premières, il y a une espèce de jeu du chat et de la souris entre les ingénieurs informatiques qui créent les logiciels et les cybercriminels qui en cherchent les failles pour s’introduire sur des systèmes d’information. Les vulnérabilités dites humaines sont le fait de personnes qui cliquent sur les mauvais liens, entrent des données sur des sites internet qui ont usurpé l'identité d'un tel ou un tel. L’écosystème et les méthodes cybercriminelles se diversifient en permanence. L’année 2023 a notamment été marquée par la recrudescence d’attaques émanant de groupes affiliés à la Russie contre des organisations situées en France. En plus des organisations publiques traditionnellement victimes d’espionnage, l’ANSSI a relevé un ciblage croissant d’entreprises et organisations travaillant dans des domaines stratégiques ou proches de l’État français. Si le niveau de cybercriminalité à but lucratif est resté élevé en
2023, la menace de type hacktiviste, prenant fait et cause pour un camp, s’est
exacerbée avec le conflit en Ukraine et la guerre à Gaza. Ce sont des attaques moins sophistiquées, sans but financier a priori, mais qui peuvent être perturbantes. Le secteur maritime n'est pas épargné.
Quand les entreprises ne se prémunissent pas, est-ce faute de trouver sur le marché les outils, les ressources ou les formations nécessaires ?
X.R. : La première de nos missions est de contribuer à aider le secteur maritime à renforcer sa cybersécurité. La seconde, c'est d'encourager la création d'une filière d'excellence française dans ce domaine. Les entreprises de cybersécurité, qui font partie de notre collège « développeurs de solutions » [une trentaine, NDLR] peuvent se prévaloir d'une certaine expertise dans ce domaine. L’offre existe donc même s’il y a toujours un enjeu de ressources humaines autour de l’ingénieur ou du technicien spécialisé.
Mais est-ce que les entreprises font appel à ces « développeurs de solutions » ou des experts en interne ?
X.R. : Tout dépend de la taille de l’entreprise. Quand CMA CGM a subi une cyberattaque en 2021, ils avaient finalement assez peu de ressources expertes. Depuis, les équipes dédiées à la sécurité informatique compte 250 ou 300 personnes, naturellement pas uniquement en réponse à un incident. Pour une petite compagnie maritime, il est difficile d'employer à temps plein un expert même si sa petite taille n’est en rien une protection. Souvent, c'est le responsable QHSE (Qualité, Hygiène, Sécurité, Environnement) ou la direction informatique qui remplit cet office.
France Cyber Maritime intervient-elle dans l’ingénierie des formations ?
X.R. : Cela fait partie de notre mission et nous intervenons dans la limite de nos moyens [huit personnes, NDLR]. Nous allons publier très prochainement un livre blanc sur la formation. Il existait un mastère spécialisé en cybersécurité des systèmes maritimes et portuaires, conçu en formation continue par quatre écoles adhérentes à France Cyber Maritime [ENSM, École navale, IMT Atlantique (école d’ingénieurs en informatique) et ENSTA Bretagne (école d'ingénieurs dans le secteur maritime, la défense et les entreprises de haute technologie, NDLR]. Le format long ne convient pas aux ingénieurs qui, aspirés par le marché du travail, préfèrent se former sur le tas. Les formations courtes, d’une durée d’un à cinq jours, permettent de toucher la fois des experts et des non-experts, tant le responsable QHSE qu’un commandant de navire ou un marin. La formation est essentielle, a fortiori pour les PME.
D’après un des derniers sondages, plus on monte dans la hiérarchie, moins la personne est au fait des mécanismes des intrusions dans les systèmes d’information. Est-ce que les dirigeants participent à vos ateliers, ce qui témoignerait de la prise en compte de ce risque comme stratégique ?
X.R. : À ce niveau, on bute sur leur disponibilité. Mais on parvient à faire passer les messages auprès d’eux à l’occasion d’événements de la filière comme les Assises de l’économie de la mer. On peut considérer que, compte tenu de l’affluence à nos tables rondes, la prise en compte, au moins informationnelle, est réelle. Le chemin est long. On ne désespère pas.
Que vient-on chercher chez vous ?
X.R. : Des informations et des solutions adaptées : comment se protéger, comment procéder pour effectuer une analyse de risque, avec quels outils et qui contacter en cas d’attaque. Le M-CERT, qu’on opère, est ce SAMU. En amont, ce centre de veille, d'analyse, d'alerte et d'assistance alerte sur les attaques en cours et le mode opératoire. Lorsque nous sommes sollicités par des victimes, on leur fait prendre les premières mesures de sauvegarde puis on les met immédiatement en relation avec des opérateurs de confiance et de proximité pour résoudre le problème. Notre intervention est similaire à celle d’un Centre régional d'opérations de surveillance et de sauvetage (CROSS).
Comment anticipez-vous la nouvelle directive européenne ?
X.R. : On s’y prépare depuis son adoption par le Parlement européen en novembre 2022. Ce qui change, c’est le spectre très large de sociétés et de secteurs qui vont être touchées, à partir des 50 salariés. En l’occurrence, dans le
maritime, en plus du transport, la construction navale, les équipements
navals et maritimes se trouvent à présent concernés. Les entreprises sont tenues de se déclarer auprès de l'ANSSI, de mettre en œuvre des mesures de gestion des risques et ont des obligations d’information des incidents aux autorités. Des pénalités sont prévues en cas de manquements. Le dirigeant a un couteau dans les reins avec la réglementation mais il sera d’autant plus protégé s'il fait une analyse globale des risques. Ces deux approches sont complémentaires car la directive n’impose pas un système de gestion sécurité-risque.
Si je devais schématiser, il y a deux approches : on met sa ceinture de sécurité parce qu'il y a un gendarme au coin de la rue ou parce qu’elle peut me sauver la vie. Il faut faire de ces règles un avantage compétitif. L’usager du transport sera toujours plus enclin à faire appel à une compagnie maritime bien cyber sécurisée.
Propos recueillis par Adeline Descamps
Sur ce sujet
Cyberattaques : le transport maritime est la cible parfaite à rançonner
Un rapport sur les menaces cyber dans un contexte de forte augmentation des attaques
En 2022, les cyberattaques ont explosé dans les ports et le secteur de la logistique
Les cyberattaques, un risque croissant pour le transport maritime
Cybersécurité : la grande déconnexion du transport maritime
Les assureurs face aux risques de plus en plus cyber
Création de France Cyber Maritime
