Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

3ème Rencontres parlementaires Cybersécurité et Milieu Maritime : de la security by design à l’assurance cyber

février 2017 par Marc Jacob

Durant les 3ème Rencontres parlementaires Cybersécurité et Milieu Maritime, une Master Class a présenté 3 thèmes autour de la sécurité en milieu maritime. La première a présenté la mise en place de la security by design pour la fabrication des nouvelles frégates, la seconde a mis en avant l’importance de la sécurité des systèmes industriels et la troisième s’est penché sur le marché de l’assurance cyber.

David Eudeline, chef du département ingénierie de la SSI de la DGA et le Docteur Patrick Hebrard, coordinateur cyber navale, DCNS, titulaire de la Chaire Cyberdéfense de l’Ecole Navale, ont évoqué la security by design dans le domaine Maritime. Un
framework de Cybersécurité a été repris par le BIMCO groupement international d’armateurs, l’US Navy... selon Patrick Hebrard la plateforme de navigation d’un navire de guerre s’apparente à un navire civile avec des fonctions plus ou moins critiques qui vont de la navigation à la stabilisation. Le cyber by design intègre
la sécurité dans tous les niveau de composants des navires. Ces projets sont
intégrés pour les navires non nucléaires. Cette démarche prend en compte
l’analyse de risque en essayant d’avoir le meilleur de la sécurité en fonction des
coûts acceptables. David Eudeline a démontré comment la DGA et la DCNS a pris en
compte la security by design pour ses nouvelles frégates. Pour cette démarche elle
a pris en compte les avis des marins, de la DGA et du constructeur. La marine a
exprimé ses besoin en termes d’analyse de risque, la DGA en matière de besoin et
le constructeur en étude de faisabilité en fonction des coûts. La première
étape a été de définir les besoin de ces frégates et la classification des
risques. Ainsi des classes de risques ont été définis en fonction des
différentes parties du navire. Un référentiel a été défini base sur Ebios. La
conception de ce référentiel a duré 12 mois à partie de l’orientation, de
l’élaboration de la réalisation et de l’utilisation.

Sécurité des SCADA, le pragmatisme s’impose

Stéphane Meynet chef de projet sécurité des systèmes industriels à l’ANSSI a présenté la sécurité des systèmes industriels.
Pour lui, la maîtrise de la sécurité des sous-traitants est essentielle. Il est
donc important de les sensibiliser à la sécurité afin de réduire les risques.
Dans ce contexte les systèmes industriels sont un point important. Dans le monde de
l’industrie, la première étape est d’identifier ces systèmes et de mesurer leur
importance dans les processus. Aujourd’hui, dans un bateau on décombres des
milliers de systèmes industriels avec les mêmes automates, les mêmes
technologies et industriels. Ainsi, l’attaquant peut mutualiser ses connaissances et
ses systèmes d’attaques. Effectivement, on peut faire de la sécurité by design,
mais quid des anciens systèmes qui sont encore opérationnels pour de nombreuses
années. Pour lui, il faut adopter une démarche pragmatique qui commence par la
formation afin d’adopter de bons comportements. Il faut mettre en place des contrats
pour intégrer des mesures de Cybersécurité. Il faut aussi travailler sur la
détection d’intrusion et bien sûr sur la réaction. On a en France des startups,
des équipementiers capables de proposer des solutions, d’où la création d’un
collectif dans la région Auvergne Rhône-Alpes qui permet de rencontrer des
acteurs de confiance. Il fait un appel aux donneurs d’ordre pour qu’ils s’appuient
sur les acheteurs et les juristes lors de la rédaction des contrats soit pour la
rénovation que pour l’acquisition de nouveaux systèmes industriels.

Le marché de l’assurance en devenir…

Christophe Madec du cabinet d’assurance Bessé a présenté la prise en compte de l’assurance de la
Cybersécurité dans le milieu maritime. Pour lui c’est un marché en plein essor
surtout drainé par les États Unis. Il est jeune et assez hétérogène et donc
immature. Dans le secteur maritime on note deux particularités. C’est un secteur
hyper connectés comme les autres filières. Par contre, il est moins mature en
termes de sensibilisation aux risques. Les risques pris en compte sont ceux assez
classique de dommages aux personnes et biens, les pertes d’exploitation, la
responsabilité civile de l’entreprise. Par contre les particularités concernent
les marchandises transportées et les navires eux-mêmes. Aujourd’hui, les
compagnies excluent toutes les risques cybernétiques.

L’analyse des risques cyber doivent prendre en compte les problèmes de
programmation jusqu’aux attaques informatique elles-mêmes. Pour lui, une assurance
cyber complète les couvertures traditionnelles. Les assurances cyber doivent
couvrir les conséquences d’une perte d’exploitation suite à l’absence de dommages
matériels. Elle doit couvrir en outre les frais d’investigations et de
reconstructions numériques. Les assurances doivent en outre couvrir les frai du au
ransomwares. Enfin, elle doit couvrir les frais inhérents à la notification du au
RGPD. En ce domaine, il a cité le cas Target ou les frais de notification des
clients se chiffre après de cinquante millions de dollars.

Il a donné des conseils pour s’assurer en partant de l’interrogation sur les
conséquences d’une interruption. Pour se faire, il propose de réunir l’assureur,
la DSI, les responsables métiers afin d’identifier et d’évaluer les impacts. Puis,
il faut évaluer ses besoins par rapport à l’existant. Enfin, il faut évaluer le
niveau de risques cyber.


Articles connexes:

Voir les articles précédents

    

Voir les articles suivants