Soget, Haropa-Port du Havre et l’Anssi, ont échangé sur les solutions pour améliorer la cyber-sécurité des activités portuaires et logistiques lors d’une web-conférence en septembre dernier.
Jean-François Vanderplancke, délégué à la sécurité numérique pour la région Normandie de l’Anssi (agence nationale de la sécurité des systèmes d’information) a indiqué que les motivations pour attaquer les entreprises exerçant des activités portuaires, transports ou logistiques sont principalement d’ordre lucratif (escroquerie) et étatique. Les finalités sont d’ordre lucratives mais relèvent aussi du sabotage ou de l’espionnage. Parmi les attaques « lucratives », il y a le « rançon-giciel », un logiciel malveillant qui s’empare de données et l’attaquant demande le paiement d’une rançon à l’entreprise. « La position de l’Anssi est de ne jamais payer. Et, pour éviter d’en arriver là, de mettre en place de bonnes mesures de protection ». La vente de données exfiltrées est un autre type d’attaques lucratives. L’espionnage vise à une exfiltration de données dans un objectif industriel.
« Le contexte portuaire favorise les cyber-attaques car un port est ouvert sur le monde, est un facilitateur des échanges, de plus en plus connecté, avec des volumes d’informations et de données toujours plus élevées », a souligné Jérôme Besancenot, chef du service développement des systèmes d’information de Haropa-Port du Havre.
Il faut ajouter un grand nombre d’intervenants dans la chaîne logistique, interdépendants entre eux, des entreprises de taille très différentes dont les actions, les systèmes, les degrés de protection sont très divers. Les acteurs portuaires et logistiques sont interconnectés entre eux, échangent des volumes conséquents d’informations pour rendre les escales plus fiables et plus rapides. « La rapidité accentue le risque. Il en va de même de la vision morcelée, conséquence du grand nombre d’intervenants. Il faut dire aussi qu’il y a peu d’intérêt pour la cyber-sécurité », a ajouté Jérôme Besancenot.
D’autres facteurs entrent en compte pour accentuer les risques cyber comme l’automatisation des processus d’échanges des données, ce qui entraîne moins de personnel dédié à ces tâches. La rationalisation des moyens à l’œuvre dans les ports conduit à l’utilisation de logiciels mondiaux et non plus spécifiques aux activités, avec des mises à jour parfois difficiles à faire. Le partage accru de données entre les systèmes d’information (IT) et les objets connectés (IoT) ajoute encore du risque.
Démarche collaborative
Le port du Havre a été impliqué dans une démarche de cyber-sécurité à partir de 2010, qui a convaincu en interne de la nécessité de se protéger des risques et conduit à l’élaboration d’un plan d’actions. Un travail sur la gouvernance a été mené, conduisant à la mise en place d’une charte informatique, de plans divers (PSSI, PRA, PCA).
« Aujourd’hui, l’amélioration est continue et des indicateurs de suivi ont été mis en place. Pour aller plus loin, le travail de l’autorité portuaire doit être accompagné d’une mobilisation de l’ensemble des acteurs de la place dans une démarche collaborative », a précisé Jérôme Besancenot. D’où un projet de plate-forme de cyber-sécurité portuaire et maritime dans le cadre de TIGA/PIA3 avec deux objectifs : « faire du Havre un port cyber-sûr » et qu’il soit « the place to improve your cybersecurity ». Il s’agit de proposer aux entreprises des services, des possibilités de recherche, de la formation, un soutien à l’innovation.
Hervé Cornède, président du directoire de Soget, a rappelé que le PCS S)One constitue une plate-forme collaborative neutre qui optimise, automatise, sécurise tous les process liés au passage portuaire. Elle est « made in France ». L’objectif de Soget est depuis toujours d’assurer une sécurité optimale du PCS et de la chaîne logistique de ses utilisateurs. « Tous les systèmes sont interconnectés et la sécurité doit être globale, d’où le choix que nous avons fait de proposer des packs dont les niveaux de sécurité vont grandissant ». Il appartient aux acteurs de faire leur choix entre les solutions possibles.
