Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

3ème rencontres parlementaires Cybersécurité et Milieu Maritime : la politique de cybersécurité de la filière maritime est en ordre de marche

février 2017 par Marc Jacob

Pour la 3ème rencontres parlementaires Cybersécurité et Milieu Maritime, Bénédicte Pillet l’organisatrice de cet événement avait réuni un plateau de choix avec des membres de l’ANSSI, de la DGA, de la DCNS, du GICAN et bien sûr des parlementaires. La France en tant que grand pays maritime a pris au sérieux le dossier de la cybersécurité maritime et a engagé une stratégie de sécurisation tant au niveau des infrastructures portuaires que des navires.

Après les messages de bienvenue de Bénédicte Pillet, directeur du CyberCercle, de Philippe Vitel, député du Var, vice-président du Conseil Régional PACA et Philippe Goguet qui ont dressé un rapide panorama de la stratégie de la France en matière de cybersécurité maritime.

La prise de conscience des risques liés au numérique est omniprésente dans la filière

Frédéric Moncany de Saint-Aignan, Président du Cluster Maritime, Hugues d’Argentre, délégué général du GICAN et le Capitaine de vaisseau Vincent Grégoire, officier en charge de la lutte informatique ont évoqué les risques liés au cyber dans le domaine maritime.

Hugues d’Argentre a présenté les actions du GICAN en matière de numérique dans le naval. Ainsi, une étude a été diligentée sur ce thème dont il a présenté les résultats. En premier lieu, il est clair que ce sujet est bien pris en compte. Ainsi, 4 niveaux de préoccupations ont été déterminés qui concernent les logiciels et leurs usages, les maquettes numériques, la cobotique... l’usage expérimental est le 3ème point mentionné avec les IoT et enfin la Cybersécurité. 40% des dirigeants ont pris conscience des enjeux de la Cybersécurité. Pour le GICAN, la Cybersécurité est l’enjeu prioritaire de cette année. En effet, on incite les entreprises d’aller vers le numérique tout en étant conscient des risques induits.

Le capitaine de Vaisseau Vincent Grégoire a pour sa part rappelé que selon Kaspersky les cyberattaques ont triplé en un an avec une attaque toutes les 10 secondes. Le cyberespace maritime est aussi concerné du fait de la part croissante de l’informatique dans ce domaine. 80% des systèmes embarqués reposent sur de la technologie sans fil SOC vulnérables. De plus les infrastructures portuaires sont aussi de plus en plus numérisés ce qui les rend vulnérables. Par exemple le port d’Anvers a été piraté récemment, des étudiants ont piraté le GPS d’un yacht pour prendre son contrôle... les systèmes de plateforme sont aussi vulnérable ce qui peut permettre de prendre le contrôle d’éléments essentiels d’un navire. Sans compter les menaces sur les câbles sous-marins. Pour faire face à ces menaces, la marine a mis en place une chaîne de commandement unifiée inter-armée. Dans ce cadre, la marine est particulièrement concernée du fait du nombre de systèmes de communications qui sont tous interconnectés. Il a rappelé que pour construire un navire de guerre, il faut cinq à dix ans la dimension cyber doit être pris en compte en anticipant les progrès des nouvelles technologies. La cyber-protection passée par une hygiène numérique, la formation, la sensibilisation, la mise en place de groupes d’intervention rapides capable d’intervenir sur bâtiment en un jour. De plus, la formation a été renforcée. Il a rappelé le rôle de la LPM dans cette stratégie de renforcement des capacités de lutte cyber. La coopération dans le maritime est essentielle.

Les nouvelles législations en règlementations sont déjà prises en compte même si…

Puis Vincent Denamur, sous-directeur de la sécurité maritime, direction des Affaires maritimes, ministère de l’Environnement, de l’Energie et de la Mer, Fabien Caparros, adjoint au chef du bureau « maîtrise des risques et règlementation » à l’ANSSI, Maître Garance Mathias avocate, Éric Babel, délégué général Armateurs de France et le Docteur Patrick Hebrard, coordinateur cyber navale, DCNS, titulaire de la Chaire Cyberdéfense de l’Ecole Navale ont débattu sur l’impact du cadre réglementaire français et européen de la sécurité numérique sur les acteurs du milieu maritime.

Fabien Caparros a expliqué que la déclinaison de la LPM dans le secteur maritime et fluvial se déroule suivant le calendrier prévu. Les 20 règles sont en cours de déploiement et pourraient prendre encore 3 ans pour être totalement mises en œuvre. Une fois qu’elle sera déployée l’ANSSI fera un suivi continu de son application. Pour sa part, Vincent Denamur a rappelé que le navire est une usine qui peut être isolé sur mer, mais est hyper connecté. C’est un objet dirigé depuis la terre et reste de fait soumis à des risques cyber. Une enquête à bord de 36 navires de commerce a été diligentée avec un audit sur un navire de commerce par l’ANSSI qui a été réalisé en 2016. Par la suite des documents de sensibilisation ont été publiés avec un guide des bonnes pratiques à l’attention des équipages. De plus, un document sur les risques liés aux systèmes SCADA a été édité. Une évaluation des risques a été réalisée qui va jusqu’à la prise de contrôle d’un navire. Il a été montré que les boîtes noires des bateaux peuvent devenir de véritable chevaux de Troie pour les systèmes informatiques des navires. Dès le 1er janvier dernier un loi oblige les armateurs d’intégrer la dimension cyber.

De son côté, Éric Banel rappelle qu’en matière dans le domaine maritime tout n’a pas commencé avec la LPM car le code ISPS et le code ISM, (le premier concerne la sécurité des Navires et le second celui des sièges), ont pris en compte les risques cyber. Ainsi, une politique de SSI tant sur les navires que sur les sièges et les relations avec les bateaux a été déterminée avec un code de bonnes pratiques. Pour lui les guides des bonnes pratiques, de protection des navires et des systèmes industriels permettent de structurer la formation tant pour les marins que pour le personnel qui travaille de façon sédentaire.

Fabien Caparros estime qu’il faut un effet d’entraînement global par contre le ROI est difficile à évaluer car les risques sont complexes et trop techniques. C’est pour cela qu’il faut se baser sur des analyses de risques. Quant au ROI, dans la mesure où ce risque est potentiellement mortel pour l’activité du fait de la sophistication des attaques, il est difficile à évaluer. Pour lui, il faut s’attendre à des risques majeurs dans le domaine maritime.

Par ailleurs, Éric Banel estime que le risque de non adhésion concerne surtout les PME comme par exemple les petites compagnies de transports. La deuxième limite concerne les échanges maritimes avec des pays peu sûr comme par exemple dans le Golfe de Guinée ou d’autres zones à risques.

Fabien Caparros a rappelé que la directive NIS qui a été poussé par l’ANSSI est de la même veine que la LPM. L’identification des opérateurs essentiels et la mise en place de mesures de protection proposées dans NIS seront facilitées.

Éric Banel estime que la mise en place de la directive NIS ne devrait pas poser de problème du fait des stratégies de protection déjà déployées. Pour lui, le principal risque concerne la prise de contrôle des systèmes de communication avec les sièges. En effet, les commandants sont de plus en plus des exécutants des consignes des sièges. Si les informations sont erronées du fait d’attaquants les navires pourraient être détournés. En outre, Vincent Denamur considère que la directive NIS sera plus longue à déployer sur les navires que dans les sièges.

Garance Mathias a rappelé pour sa part les grandes lignes du RGPD. En premier lieu si la directive NIS doit être transposée, le RGPD s’applique dans l’état sans aucune modification possible. Il sera applicable le 25 mai 2018. Dans le monde maritime, les masses de données manipulées vont obliger les acteurs de protéger toutes les informations en mettant en place de la security by design. Des impacts de risques vont devoir être réalisés afin d’évaluer les menaces. Les acteurs du maritime vont être obligés mettre en place une gouvernance de la donnée. Il faudra qu’ils recrutent des DPO au plus tôt et dans tous les cas avant le 25 mai 2018. Éric Banel estime que ce texte va permettre au maritime d’avoir une approche plus globale de la mesure des risques.

Le Docteur Patrick Hebrard a mentionné plus particulièrement le risque sur les bateaux de croisière qui transportent de plus en plus de passagers, même si à ce jour on n’a pas constaté d’attaque sur cette cible. Pour lui, sécurisé un système dans le domaine maritime peut coûter assez cher. Vincent Denamur rappelle pour sa part que les données sur les passagers doivent être transmises aux autorités maritimes donc avec des risques potentiels sur la confidentialité. Fabien Caparros insiste sur l’importance de l’analyse de risque. Garance Mathias conseil de procéder à une Cartographie du SI pour savoir où se trouvent les données, mais aussi de vérifier les contrats lors des échanges de données avec les prestataires de Cloud, des sous-traitants... les donneurs d’ordre devront s’assurer des procédures de gestions des données de tous leurs sous-traitants. Elle a en outre rappelé que les montants des sanctions sont très élevés avec de 2 à 4% ou 20 millions d’euros d’amende.

Vincent Denamur considère que la France reste un grand pays maritime cyber. Éric Banel estime que la France pourrait faire mieux même si elle a pris de l’avance en ce domaine. Elle a des enjeux en matière de formation, de sensibilisation. Patrick Hebrard rappelle que dans les écoles navales tant militaires que marchandes des formations et des campagnes de sensibilisation sont déjà opérationnelles. Bien sûr. Il faut encore faire progresser les entreprises de la filière dans le domaine cyber.

Enfin Vincent Caparros explique que même si la France est en pointe les autres pays comme les Etats-Unis, la Grande Bretagne ne sont pas en reste. Les PME sont aujourd’hui le maillon faible dans le domaine maritime. Il faut qu’il y ait de plus en plus de prestataires de confiance comme ceux qui sont qualifiés par l’ANSSI avec en très autre les PASSI.


Articles connexes:

Voir les articles précédents

    

Voir les articles suivants