Quelques jours après l’agression contre le système de réservation de CMA CGM, l'Organisation maritime internationale a annoncé dans une déclaration, hier, le 1er octobre, qu’elle avait été frappée par une « cyberattaque sophistiquée » contre ses systèmes informatiques. La gestion de crise par CMA CGM, qui a tardé dans sa communication, a agacé ses clients et… les médias étrangers.
Les agressions informatiques se multiplient dans l’environnement maritime. Quelques jours à peine après qu’un virus se soit immiscé dans le système de réservation de fret en Chine de CMA CGM avec demande de rançon exercée par l’organisation Ragnar Locker, l’OMI a fait l’objet d’une « cyberattaque sophistiquée », selon ses propres termes. Son site web public, d'autres services en ligne étaient toujours indisponibles dans la soirée du 1er octobre alors que l'organisation avait déclaré l’incident dans la journée.
« L'interruption de service a été causée par une attaque contre les systèmes informatiques de l'organisation, qui a déjoué les mesures de sécurité robustes mises en place l'OMI. Les techniciens ont arrêté les systèmes clés pour éviter que l'attaque ne cause d'autres dommages », a déclaré l’organisation qui réglemente le transport international. Apparemment, la plateforme qui permet d’assurer les sessions de travail en virtuel, indispensables en raison des protocoles sanitaires stricts qui limite la jauge du présentiel, n’est pas affectée.
L'Organisation, qui a été pourtant la première des Nations unises a obtenir en 2015 la certification ISO/IEC 27001:2013 pour son système de gestion de la sécurité de l'information, indique que le Centre international de calcul des Nations unies (CIC) et des experts en sécurité s’affairent à restaurer les services et identifier la source de l'attaque. « Le secrétariat prend ses responsabilités en matière de gestion des risques informatiques et de sécurité de l'information extrêmement au sérieux et a acté des mesures immédiates visant à minimiser le risque de récurrence », devance-t-elle.
CMA CGM victime d’une demande de rançon
Gefco, agressé par un nouveau venu
Ces derniers jours, le logisticien Gefco a également été victime d’un rançongiciel, une atteinte sévère qui s’infiltre en profondeur dans le système d’informations et qui est souvent associée à une extorsion d’argent. On apprendra ensuite qu’il a fait l’objet d’une atteinte menée par l’une des 20 familles de ransonware Egregor, un nouveau venu dans la galaxie de la cyber délinquance, particulièrement actif ces dernières semaines.
Maersk, MSC, aussi
Au début de l'année, le numéro deux mondial de la ligne régulière MSC avait été touché par un problème similaire qui a rendu inopérants ses services pendant cinq jours. L'entreprise de logistique danoise Blue Water a également fait récemment l’objet d’un assaut de pirates informatiques qui ont tenté d'accéder aux données et aux systèmes de l’entreprise.
Mais l’agression contre les systèmes d’information la plus notable dans le secteur du transport maritime reste celle qu’a connue Maersk en 2017. Baptisée NotPetya, le logiciel malveillant a bloqué les commandes pendant plusieurs jours. Sa filiale portuaire, APM Terminals, a même été contrainte de charger et décharger des conteneurs sans assistance numérique. L’incident lui aurait coûté plus de 2 Md$.
Gestion de crise vivement critiquée
Chez CMA CGM, la gestion discrétionnaire de la crise par l’entreprise a affolé la presse étrangère. La lenteur, avec laquelle elle a admis l'attaque du logiciel de rançon, conjugué au nombre limité d’informations délivrées, ont fini par agacer également ses clients.
Si l’entreprise a subi, durant le week-end du 26-27 septembre, une agression sur plusieurs de ses sites s’apparentant à un malware, elle ne l’a fait connaître que le lundi à la mi-journée en mentionnant une attaque « contre les serveurs dits périphériques ». Elle s’était alors engagée à apporter une mise à jour « plus tard dans la journée ». Elle plongera ensuite dans un silence de plus de 24 heures, ce qui n’a rien d’étonnant, mais qui a laissé les médias étrangers perplexes…
Les critiques n’ont pas tardé à déferler au sujet de sa gestion de la crise. L'analyste maritime de Sea-Intelligence, Lars Jensen, s’est fendu de plusieurs notes sur les réseaux sociaux pour pointer le retard de CMA CGM, par rapport aux procédures d'autres compagnies maritimes touchées par des attaques informatique. L’analyste fait notamment référence à la communication proactive mise en œuvre par l’armateur danois Maersk quand ses systèmes ont été affectés en juin 2017. « Le pire que vous puissiez faire dans une telle situation est de ne rien dire, car cela laisse une large place à l'inquiétude et à la spéculation », explique Lars-Jensen.
CMA CGM, communication saccadée
Après avoir affirmé qu'il s'agissait d'un problème informatique interne, la compagnie a fini par mettre un nom sur son problème et reconnaître qu’il s’agissait bien d’un malware, logiciel malveillant qui tente de voler des informations sensibles. « Il a pu être rapidement isolé et toutes les mesures de protection nécessaires ont été mises en place », a tweeté l’entreprise, assurant du fonctionnement à la normale des opérations maritimes et portuaires. « Les opérations maritimes et portuaires fonctionnent comme d'habitude. Les fonctionnalités de réservation restent opérationnelles. »
L’armateur français admettra enfin qu’une violation de données était probable. « Nous soupçonnons une violation de données et faisons tout notre possible pour évaluer son volume et sa nature potentiels », a signalé CMA CGM dans un de ses communiqués que les médias reçoivent de façon aléatoire mais sans donner plus de détails sur le type de données qui auraient pu être divulguées. Certains services restent inactifs, comme le portail eBusiness de la compagnie, les clients étant invités à basculer sur la plateforme de réservation INTTRA.
« Dans le cas de Maersk, les réservations en ligne ont repris pour la plupart après 8 jours et il a fallu 4 à 5 semaines pour restaurer les systèmes, se souvient Lars-Jensen, qui entretient la polémique sur LinkedIn. « Une fois les applications restaurées, les équipes de Maersk ont expliqué non seulement ce qui s'était passé techniquement, mais aussi les enseignements à en tirer pour être mieux parés à une nouvelle attaque ».
Adeline Descamps