Le Centre national de coordination de la cybersécurité maritime devrait être officiellement installé très prochainement. Il aura pour mission de renforcer la sécurisation des ports et des deux cargo community system (CCS) français dans un contexte de menaces de plus en plus sophistiquées. Les récentes agressions informatiques contre CMA CGM et l'OMI ont mis un coup de projecteur sur un phénomène qui a pourtant explosé ces dernières années.
Le projet de Centre national de coordination de la cybersécurité pour le maritime (CNCCM) devrait aboutir dans les prochaines semaines. Il fait encore l’objet d’arbitrages entre les différentes parties prenantes mais selon nos sources, il pourrait être hébergé dans les locaux de la préfecture maritime de l’Atlantique à Brest, où siègent également le MICA Center (Maritime information and cooperation & awareness center), le MSC-HOA (Maritime security center horn of Africa) et le centre support cyberdéfense de la marine nationale. Créé en juin 2016 pour favoriser l’échange d’informations et la coopération pour contrer les menaces dans le transport maritime, le MICA Center compte une trentaine de personnes issues des marines française, espagnole, belge et portugaise.
Les élus brestois ont ardemment défendu leur candidature pour l’accueil du Centre, faisant valoir la présence locale d’un riche écosystème universitaire (ENSTA, École navale, IMT Atlantique et ENIB, UBO et UBS au sein de l’Alliance Universitaire de Bretagne), académique (laboratoires de recherche publics sur la sécurité maritime) et industriel « à la hauteur des enjeux nationaux et internationaux qu’exige la cybersécurité maritime ».
Doté d’une direction bicéphale – SG Mer et SGDSN (secrétaire général de la défense et de la sécurité nationale) via l’Agence nationale de la sécurité des systèmes d'information (ANSSI, ex-direction centrale de la sécurité des systèmes d'information)–, le CNCCM associerait les membres du Comité France Maritime (Cluster maritime français, Gican, AdF…). Armateurs de France n’a pas répondu à nos sollicitations.
Rapport : Les cyberattaques maritimes ont augmenté de 400 %
Évolution inquiétante des cyberattaques
Les récentes cyberattaques contre CMA CGM et l'OMI ont mis un coup de projecteur sur un phénomène qui a pourtant explosé ces dernières années. Aux États-Unis, le nombre d’attaques signalées au Federal Bureau of Investigation a augmenté de 37 % entre 2018 et 2019, rapporte un article du Wall Street Journal. Les rançons dépassent souvent le million de dollars et émanent, selon le Trésor américain, de groupes cybercriminels tels que la société russe Evil Corp et le groupe Lazarus, soutenu par la Corée du Nord.
Les attaques se sophistiquent également. Il aura fallu une quinzaine de jours, après la cyberattaque survenue le 28 septembre sur des « serveurs périphériques », pour que CMA CGM reconnecte son réseau mondial d’agences, restaure les fonctions dites de back office et que les clients puissent à nouveau avoir accès aux services en ligne du transporteur, notamment la réservation de fret et le suivi des conteneurs.
L’attaque de type ransomware – un logiciel qui crypte les données internes et s’accompagne souvent d’une demande de rançon en échange d'un accès restauré –, avait contraint CMA CGM à interrompre à isoler son système central et couper tout accès à ses applications afin d'enrayer la propagation du malware. Les réseaux informatiques pris en otage, plusieurs sites web du groupe (APL, CNC, ANL Containerships, Mercosul…) ont ainsi été mis hors service. Seule sa filiale logistique récemment acquise Ceva a échappé aux agressions des pirates informatiques.
CMA CGM victime d’une demande de rançon
Suspicion de vols de données
L’armateur, qui n’a jamais commenté l'identité des auteurs de l'attaque pourtant identifiés (organisation Ragnar Locker), avait néanmoins mentionné « une suspicion de vol de données » sans en préciser la « volumétrie et la nature éventuelles » mais en niant avoir versé de l’argent.
Pour assurer les opérations maritimes et portuaires, traiter les booking et la documentation, la société a dû orienter les transitaires et chargeurs vers d'autres canaux de réservation, et notamment la plateforme d'e-commerce INTTRA pour transmettre en EDI (Échange d'informations électroniques). Elle a également eu recours à des centres d’appels pour traiter les réservations téléphoniques. En résumé, « CMA CGM a fait tourner sa flotte avec le téléphone et des tableaux Excel ! », a tenu à saluer un professionnel du secteur. Tous n’ont pas eu la même aménité. Certains commissionnaires et grands chargeurs ont manifesté beaucoup d’agacement, certains ayant menacé d’aller voir ailleurs.
Péril informatique : après CMA CGM, l'OMI
Chez Blue Water Shipping, le malware a pu opérer pendant plus de six heures
Quelques jours à peine après, moins gênant pour les cotations et booking, l’OMI a été également été touchée par ce que l'organisation de réglementation du transport maritime a décrit comme une « cyberattaque sophistiquée ». Cette agression a paralysé une grande partie de ses systèmes informatiques et le 16 octobre, les problèmes techniques persistaient encore ces dernières heures.
La société logistique danoise Blue Water Shipping, frappée par une cyberattaque en septembre, a reconnu il y a quelques jours, que les pirates informatiques ont peut-être eu accès à des informations personnelles sur 1 400 de ses employés « alors que les clients ne seraient pas concernés ». Le malware a eu le temps d’agir pendant 6 heures et 40 minutes avant que la société finisse par bloquer les accès.
En avril dernier, MSC avait également subi les assauts d’un hacker qui a mis hors-jeu les systèmes informatiques du transporteur pendant cinq jours. L’armateur italo-suisse avait été aussi très discret sur l’identité du logiciel intrusif, les données volées et le versement éventuel d’une rançon pour ne pas voir son activité paralysée ou perdre des informations sensibles.
Aux États-Unis, le paiement ne sera plus une option. Le département du Trésor américain a déclaré que le fait de verser des rançons à des entités figurant sur la liste noire constituerait une violation de la loi américaine et pourrait entraîner de sévères sanctions, a révélé récemment le Wall Street Journal.
CMA CGM, Maersk et MSC rééditent numériquement l'alliance P3 avortée
Menace sur les datas partagées ?
Manifestement, les récentes agressions informatiques, qui peuvent représenter une menace pour les plateformes communes où vont être placées de grandes quantités de données commerciales, n’ont pas dissuadé CMA CGM et MSC d’achever l'intégration de leurs datas sur TradeLens. Les deux compagnies avaient rejoint l’initiative en mai dernier.
La plateforme, qui s’appuie sur la technologie de la blockchain, détient désormais des données sur plus de la moitié des cargaisons mondiales de conteneurs. Lancée en mars 2017 par le leader mondial danois Maersk et le géant informatique IBM, cette gigantesque base de données sécurisée, partagée en temps réel, sans intermédiaires et infalsifiable, doit notamment permettre d’accélérer et sécuriser échanges et transactions.
Les débuts du projet ont été difficiles pour les deux porteurs du projet, la neutralité contestée de Maersk ayant eu un effet repoussoir. Le changement de gouvernance (le leader mondial du transport maritime de conteneurs est passé du statut d’actionnaire à celui de collaborateur) a permis de lever les dernières réticences. Mais sans convaincre le géant chinois Cosco qui a préféré rejoindre la concurrente Global Shipping Network.
Adeline Descamps