Le premier rapport avait frappé un grand coup et pas seulement en raison de son titre « The Great Disconnect » (« La grande déconnexion », littéralement), qui en disait déjà beaucoup sur l’état de l’art des risques cyber dans le secteur maritime.
Étayée par de nombreux exemples et enrichie par quelques 200 entretiens avec les parties prenantes, la première étude réalisée en mars 2022 à la demande de la société de cybersécurité maritime CyberOwl et du cabinet d'avocats mondial spécialisé HFW, témoignait de l’extrême vulnérabilité du transport maritime face à la réalité d’un phénomène rendu plus palpable par des attaques médiatisées (notamment chez HMM, K-Line, Transnet, Port of Houston, CMA CGM, Swire Pacific Offshore, Danaos Management Consultants ou encore Hellmann Worldwide Logistics).
Candidat idéal pour les prédateurs
Secteur hyperconnecté où les technologies numériques sont en mesure de tout gouverner, des réseaux de navires aux installations offshore et aux centres de contrôle à terre, le shipping est un candidat idéal pour les prédateurs des systèmes d’information.
« Tout ce qui est relié à un réseau peut être piraté, tout est relié à des réseaux donc tout est vulnérable », avait simplifié en son temps Rod Beckstrom, entrepreneur de la Silicon Valley et ancien directeur du Centre de cybersécurité des États-Unis.
Dans le maritime, tout est donc à peu près falsifiable : des systèmes de communication des navires à ceux de la gestion des eaux de ballast, des cargaisons, du contrôle des moteurs…. Les technologies opérationnelles sont de plus en plus numérisées et les technologies de l'information s’emparent de la gestion des opérations critiques de la flotte.
Le déploiement des communications par satellite avancées, telles que les réseaux en orbite basse (Low orbite terrestre basse (LEO), qui permettent des niveaux de connectivité plus élevés, font émerger en outre de nouvelles cyber menaces.
Transportant des marchandises dangereuses et produits chimiques, les navires sont en outre des actifs critiques et des proies pour du cyber-sabotage en cas de tensions géopolitiques exacerbées comme en ces temps présents.
Dans la base de données sur les cyberattaques maritimes (Maritime Cyber Attack Database - MCAD), créée par l'université des sciences appliquées NHL Stenden aux Pays-Bas, l'usurpation de la localisation de navires de l'OTAN en visite en Ukraine dans la mer Noire en 2021 figure parmi les 160 incidents recensés.
« Malgré cette menace croissante, la compréhension du risque cybernétique reste relativement faible. Il en va de même pour l’appréhension qu'a le secteur de ses responsabilités et obligations », indiquaient les auteurs de l'étude en 2022.
Rançon moyenne de 3,2 M$
Les deux entreprises remettent l’ouvrage sur le fil avec une actualisation au titre moins suggestif de Shifting tides, rising ransoms and critical decisions (Des marées changeantes, des rançons en hausse et des décisions critiques en traduction littérale). Aussi dense, elle se base également sur une enquête menée auprès de plus de 150 professionnels du secteur, dont des dirigeants, des experts en cybersécurité, des marins, des responsables à terre et des prestataires.
« L’industrie maritime reste une cible facile pour les cybercriminels et le coût des attaques et des demandes de rançon dans le secteur a grimpé en flèche au cours des 12 derniers mois », indique l'un des auteurs.
Selon le rapport, une intrusion s'est soldée en moyenne cette année par une facture moyenne de 550 000 $ contre 182 000 $ en 2022 et les demandes de rançon ont augmenté de plus de 350 %, avec un paiement moyen de 3,2 M$ contre 3,1 M$ l'année dernière.
En 2022, seuls 3 % des répondants avaient déclaré avoir payé une rançon à la suite d'une cyberattaque, mais cette année, près de 14 % d'entre eux ont admis l'avoir fait. 24 % des victimes ont été en outre incitées à transférer des fonds à des organisations criminelles.
Gestion de la cybersécurité pas encore défrichée
Pour autant, un quart des entreprises sondées ne se prémunissent pas des agressions, soit parce qu’elles ne contractent pas des polices d’assurance ou faute de trouver sur le marché une couverture adaptée : 37 % déclarent en effet que leur demande d'indemnisation formulée à la suite d'une cyberattaque n’a pas été satisfaite.
La société de cyberassurance Coalition a indiqué, elle, que les demandes d'indemnisation liées aux ransomwares ont augmenté de 27 % au cours du premier semestre 2023.
« Il est loin d'être simple de comprendre et d'obtenir une assurance contre la cybercriminalité. Des demandes de couverture sont rejetées parce que le système de gestion de la cybersécurité en place ne répond pas à certaines exigences. D'autre part, les polices d'assurance contre la cybercriminalité excluent tellement de domaines qu'en cas d'une attaque et d'une demande d'indemnisation, aucune compensation n'est possible », réagissent les auteurs de l’étude.
Des progrès dans la sensibilité à la cybernétique
Plus inquiétant, l’analyse par CyberOwl des incidents survenus dernièrement sur les systèmes des navires indique qu’une flotte typique de 30 navires subit en moyenne sept cyber violations par mois, soit plus de 80 par an. Si la majorité de ces incidents n'ont qu'un faible impact, il faut en moyenne 57 jours de traitement.
Mais il y a néanmoins des progrès dans la sensibilité à la cybernétique : 80 % des répondants à l'enquête comprennent les actions qui seraient exigées d'eux en cas d'incident de cybersécurité (contre 74 % en 2022) et 64 % ont déclaré que leur organisation dispose de procédures de gestion des cyber-risques (contre 55 % en 2022).
Aussi, en 2022, 54 % des sociétés de transport maritime admettaient dépenser moins de 100 000 $ pour la gestion de la cybersécurité, alors qu'elles ne sont plus que 33 % en 2023.
Encadrement à l'OMI
« La conversation sur la gestion du risque cybernétique des navires s'est clairement déplacée du "pourquoi" vers le "comment". Il y a moins de scepticisme quant à la nécessité de gérer le risque, et plus de réflexion sur la meilleure façon de dépenser chaque dollar pour renforcer les défenses », se félicite Daniel Ng, PDG de CyberOwl. .
En octobre 2021, l'Organisation maritime internationale (OMI) a adopté de nouvelles dispositions en matière de cybersécurité dans le code international de gestion de la sécurité (ISM) des navires. Il s'agit surtout d'un pas vers l'élaboration d'une approche uniforme.
Cette année-là, un expert en cybersécurité avait créé la stupeur lors d'un webinaire en indiquant que sur plus de 750 navires, 600 000 menaces, dont 1 391 virus uniques, avaient été décelées, certaines introduites par l'équipage à l'aide de clés USB non autorisées, ce qui donnait une indication sur le niveau de résilience cybernétique des navires à l'époque.
Maturité accrue en matière de cybersécurité ?
Deux ans après la mise en œuvre des amendements cybernétiques de l'ISM, le secteur peut-il apporter la preuve d'une maturité accrue en matière de cybersécurité ? interroge faussement le document.
Les mentalités évoluent mais pas aussi vite que les hackers dont les techniques d’infiltration se sophistiquent pour entrer par des portes dérobées, ce qui augmente la fréquence et la gravité potentielle des attaques. « Si les investissements augmentent, mais aussi la fréquence et la gravité des attaques, les entreprises maritimes investissent-elles dans les bonnes solutions et s'attaquent-elles aux bons problèmes ? », s’étonnent les auteurs de l’étude.
Adeline Descamps
Lire aussi
Un rapport sur les menaces cyber dans un contexte de forte augmentation des attaques
En 2022, les cyberattaques ont explosé dans les ports et le secteur de la logistique
Les cyberattaques, un risque croissant pour le transport maritime
Cybersécurité : la grande déconnexion du transport maritime
