Colloque de l'OMI et de l'Université de Plymouth (Cyber-SHIP Lab) sur la "Cybersécurité maritime et la résilience" (1er et 2 novembre 2023)

Un colloque explore les moyens de renforcer la cyber-résilience au sein de la chaîne d'approvisionnement maritime internationale.

Alors que le secteur mondial des transports maritimes est de plus en plus numérisé, les cyberattaquants cherchent à exploiter les failles de la chaîne d'approvisionnement maritime. Des représentants du secteur, des universitaires et des ONG ont examiné les types de cyberattaques possibles et les moyens de s'en prémunir lors du troisième colloque annuel du Cyber-SHIP Lab de l'Université de Plymouth, organisé conjointement avec l'Organisation maritime internationale (OMI).  

La première journée du colloque a été consacrée au niveau et à la variété des cybermenaces. La deuxième journée a été consacrée à l'examen des solutions technologiques, politiques et réglementaires potentielles.  

L'une des questions soulevées à plusieurs reprises au cours du colloque était de persuader les victimes de cyberattaques maritimes de partager des informations afin de permettre l'apprentissage et de renforcer la résilience dans l'ensemble du secteur. 

En ouvrant le colloque au nom du Secrétaire général de l'OMI, M. Joseph Westwood-Booth, Directeur adjoint principal de la Division de la sécurité maritime, a clairement indiqué que l'OMI s'engageait à renforcer les capacités des États Membres en matière de cybersécurité maritime et à promouvoir une culture de la cybersécurité : 

"L'OMI, conformément à son rôle de régulateur mondial facilitant les transports maritimes modernes, doit continuer à promouvoir la coopération avec les partenaires internationaux, le monde universitaire et le secteur pour faire face aux cybermenaces croissantes et à leurs incidences dans le domaine maritime", a-t-il déclaré. 

À quoi pourrait ressembler une cyberattaque ?  

M. Kevin Jones, chercheur principal du Cyber-SHIP Lab et doyen exécutif de la faculté des sciences et de l'ingénierie de l'Université de Plymouth, a utilisé des exemples réels anonymes pour résumer les types de cyberattaques susceptibles d'être organisées, leurs conséquences probables et les moyens de les atténuer :  

Une attaque "de l'intérieur", par exemple, sur les systèmes de passerelle d'un navire ou sur les vulnérabilités de ses systèmes de moteur. Le moyen de se prémunir contre cela est, selon lui, la "cybersécurité classique", par exemple en séparant les réseaux.  

Une "cyberattaque physique" sophistiquée sur la chaîne d'approvisionnement maritime utilisant une connaissance détaillée des fournisseurs et des opérations. Les mesures d'atténuation possibles comprennent la sécurité dès la conception, la sécurité de la chaîne d'approvisionnement et la formation du personnel. 

Une attaque "interactive" utilisant une nouvelle technologie telle qu'une connexion 5G entre des actifs, par exemple, un attaquant connaissant l'emplacement des navires et agissant en temps réel pour exploiter les faiblesses. Les mesures d'atténuation ne sont pas faciles à mettre en œuvre, mais elles comprennent la sécurité physique, la vérification et les inspections, ainsi que la sécurité du réseau.  

Selon M. Jones, les motivations des attaquants peuvent être d'ordre financier ou relever du "hacktivisme" (utilisation des techniques numériques pour manifester pour ou contre une cause sociale ou politique). En plus de s'attaquer aux problèmes techniques et culturels, la législation, la réglementation et la mise en place de politiques et de procédures adéquates peuvent être utiles, a-t-il ajouté.  

Parmi les questions soulevées, on peut citer le manque de partage d'informations dans le secteur maritime, la façon dont la numérisation augmente la "surface d'attaque" et les différentes approches politiques adoptées par les pays, par exemple la volonté ou non de payer les rançons.   

La valeur des mesures de signalement des cyberincidents  

M. Adam B. Morrison, chef de détachement du Coast Guard Cyber Command, Service des garde-côtes des États-Unis (USCG), a décrit la menace des cyberattaques maritimes comme un problème partagé au niveau mondial et a appelé à la vigilance collective des gouvernements et du secteur des transports maritimes pour garantir une "cyberhygiène". 

Bien que des cyberincidents se produisent tous les jours, ils ne sont généralement pas signalés, selon M. Morrison. En fait, certains contestent l'utilité des signalements, car cela revient à admettre des vulnérabilités. Il a cité des chiffres de l'USCG indiquant que la majorité des incidents sont dus à des faiblesses telles que des mots de passe faciles à déchiffrer. 

Une table ronde a suivi sur les orientations actuelles et futures de la cybersécurité maritime. M. Gary Kessler, universitaire indépendant, consultant et praticien de la sécurité maritime, a parlé de l'impact de l'intelligence artificielle (IA) dans le domaine de la cybersécurité et de l'importance de développer au sein de la main-d'œuvre maritime une culture de la cybersécurité comparable à celle de la sécurité. 

M. Adam Sobey, de l'Université de Southampton et de l'Institut Alan Turing, a souligné l'utilité de mesurer ce qui se passe et a mis en évidence les vulnérabilités présentes dans les chaînes d'approvisionnement. Les nations doivent travailler ensemble pour trouver des solutions transnationales, a-t-il déclaré. 

Interrogée sur le "potentiel alarmant" de cyber-attaques à mesure que la recherche et le développement se développent sur les navires sans équipage - ou navires de surface maritimes autonomes - M. Kimberly Tam, responsable académique du Cyber-SHIP Lab, a déclaré que la plupart des préoccupations dans ce domaine se concentrent sur la nécessité de faire passer un navire du statut de navire avec équipage à celui de navire sans équipage. 

M. Muhammed Erbas, étudiant en deuxième année de master à l'Université de technologie de Tallinn, a parlé de ses recherches sur les risques accrus de cybersécurité engendrés par les systèmes de navigation de plus en plus interconnectés des navires autonomes, et Ms. Eva Szewczyk, conseillère politique principale au ministère britannique des affaires et du commerce, a présenté un exposé sur la relation entre le marché de l'assurance maritime et les risques cybernétiques. Certaines sociétés spécialisées proposent une couverture contre les cyber-attaques, mais l'offre est limitée. 

M. Jungo Shibata, de l'Institut de technologie de Monohakobi, une filiale de R&D de la compagnie maritime NYK, a parlé aux délégués de l'élaboration par NYK d'un système de gestion de l'information à bord des navires pour collecter des données qui sont contrôlées et analysées à terre.  

Recherche et capacités 

Mme Kimberly Tam et Mme Avanthika Vineetha Harish, du Cyber-SHIP Lab, ont décrit le type de travaux entrepris dans leur établissement. La plateforme de recherche en cybersécurité du laboratoire utilise du matériel réel plutôt que des simulations, ce qui, selon eux, offre des capacités uniques pour tester les systèmes des navires. Mme Tam a déclaré que l'équipe du Cyber-SHIP Lab souhaitait collaborer avec le secteur en matière de recherche et d'élaboration de scénarios.  

M. Allan Nganga, de l'Université des sciences appliquées de Norvège occidentale, s'est penché sur l'état d'avancement des Centres des opérations de sécurité maritimes. Ses recherches ont montré que la gestion des incidents était la principale préoccupation. Parmi les facteurs qui influencent la gestion des incidents figurent la sensibilisation aux cyber-risques, y compris au sein des équipages, la communication en cas d'incident, le processus d'analyse des incidents, y compris l'impact de la pénurie de personnel, ainsi que la collecte et l'échange d'informations. 

Il a conclu en appelant à un meilleur partage de l'information et à une meilleure collaboration entre les parties prenantes de la cyber-résilience des navires. 

S'adapter et se développer dans un monde interconnecté 

Dans un message vidéo enregistré, la Ministre de l'aviation, de la marine et de la sécurité du Royaume-Uni de Grande-Bretagne et d'Irlande du Nord, Mme Vere, a déclaré : que le secteur maritime, à l'ère du numérique, doit s'adapter :  

"Nous devrons maintenir et développer des approches sûres et veiller à ce que le personnel puisse travailler dans le cadre de ces systèmes. Les cybermenaces menacent également le commerce et l'économie au niveau mondial... Nous [le Gouvernement britannique] continuerons à œuvrer en faveur de la sûreté maritime". 

M. James Parkin, Directeur de la direction du développement de la Royal Navy, qui supervise les capacités futures de la Royal Navy, s'est joint à distance au colloque pour prononcer son discours principal. Il a parlé des similitudes entre l'architecture des réseaux numériques des secteurs maritimes militaire et civil. La cybersécurité est l'un des défis les plus importants de la marine, a-t-il déclaré, et il a souligné l'importance de ne pas mettre en péril la technologie de combat de la flotte en cas de menace pesant sur les technologies de l'information et de la communication.  

M. Parkin a poursuivi :  

"Nous ne pouvons pas faire cavalier seul. Nous sommes un monde interconnecté et nous nous connectons avec nos alliés et nos partenaires... Le problème, c'est que nos adversaires sont imprévisibles et invisibles - et qu'ils disposent de plus de ressources que nous." 

Une cybermenace maritime bien réelle : la chaîne d'approvisionnement en logiciels 

M. Thomas Scriven, consultant principal chez Mandiant, travaille avec des clients commerciaux et gouvernementaux dans le domaine du renseignement sur les cybermenaces et de la réponse aux incidents, ce qui lui permet de savoir ce que font les attaquants, quand ils atteignent leurs cibles et ce qu'il appelle leur temps d'attente.  

Pour illustrer le risque d'une attaque à l'échelle du secteur centrée sur la chaîne d'approvisionnement, il a utilisé un scénario géopolitique fictif comportant de multiples détections de renseignements étrangers d'un acteur étatique effectuant une cyberreconnaissance - typique du type de cybermenace rencontré par Mandiant.     

M. Andy Howell, Consultant principal en cybersécurité chez BMT, un bureau d'études techniques qui travaille principalement avec le secteur maritime, a souligné que l'automatisation croissante, avec le partage des données en interne et en externe, accroît la vulnérabilité à une cyberattaque. BMT s'attache à définir ce qui constituerait une perte de mission inacceptable pour un navire et à renforcer la résilience cybernétique de ses systèmes critiques afin qu'il puisse continuer à fonctionner.

Élaboration d'un cadre de cybersécurité maritime

M. Matthew Parker, Responsable de la stratégie de sûreté maritime, des menaces et des risques au Ministère des transports du Royaume-Uni de Grande-Bretagne et d'Irlande du Nord, a présenté au colloque le cadre stratégique du Royaume-Uni pour la cybersécurité maritime.  

Le cadre est divisé en trois domaines : l'infrastructure et l'équipement ; l'engagement et les compétences ; et l'élaboration de politiques maritimes. Il définit le champ d'application de l'écosystème maritime - l'infrastructure portuaire ; les systèmes des navires ; les systèmes de communication et d'information ; le soutien opérationnel maritime ; les infrastructures au large et sous-marines. les systèmes de sécurité et de sûreté ; et les personnes - et le travail nécessaire pour faire face aux menaces et aux vulnérabilités connues. Il comprend également un plan de mise en œuvre pour soutenir le secteur. 

Analyse des cyberincidents maritimes signalés publiquement

M. Jeroen Pijpker et M. Stephen McCombie, respectivement spécialistes de la cybersécurité et de la sécurité informatique à la NHL Stenden University of Applied Sciences, ont expliqué leurs recherches sur les cybermenaces qui pèsent sur le système de transport maritime. Leurs travaux ont abouti à la création de la base de données sur les cyberattaques maritimes, qui détaille les cyberincidents maritimes. Ses données sont basées sur des renseignements britanniques de source ouverte et sont disponibles en ligne et sous forme d'application pour aider à sensibiliser à la prévalence et aux types d'attaques qui ont lieu et fournir une base pour des recherches plus approfondies. 

La base de données recense le nombre de cyberincidents par pays attaquant pour la période 2001-2023 : Fédération de Russie 37, Chine 18, République islamique d'Iran 9, République populaire démocratique de Corée 9, États-Unis d'Amérique 6 et Israël 3. Les États-Unis d'Amérique sont le pays où les victimes sont les plus nombreuses durant cette période, avec 27 incidents connus, et le Royaume-Uni de Grande-Bretagne et d'Irlande du Nord 13. La base de données recense 46 attaques visant des navires et 37 attaques visant des ports. 

Selon les recherches des universitaires, les tendances récentes en matière de cyberattaques comprennent l'utilisation accrue de la technologie, par exemple par les pirates pour localiser les navires ou pour dissimuler leur emplacement. La prévalence du brouillage, le piratage des systèmes de cargaison et les attaques qui compromettent les systèmes de navigation ont été mis en évidence, de même que l'usurpation du GPS et de l'AIS, et les logiciels malveillants qui ont un impact sur les systèmes de passerelle des navires.  

Renforcer la cyber-résilience

Afin d'étudier comment renforcer la résilience du secteur maritime face aux cybermenaces, Mme Makiko Tani, Responsable adjointe de la cybersécurité chez ClassNK, une société de classification des navires, a présenté aux délégués les directives de son organisation et son système de gestion de la cybersécurité.

M. Svante Einarsson, Responsable de la cybersécurité maritime de DNV, a ensuite souligné les conclusions du rapport de recherche de DNV sur la cybersécurité maritime 2023.

L'enquête menée auprès de 800 personnes travaillant dans le secteur des transports de passagers et de marchandises, les services industriels et les rôles offshore, a révélé que 79 % des personnes interrogées considèrent que les risques de cybersécurité dans le secteur maritime sont de plus en plus importants, au même titre que les risques liés à la santé et à la sécurité. Un peu plus de la moitié d'entre eux (59 %) déclarent que la cybersécurité est une priorité pour les dirigeants de leur organisation, mais seulement 32 % considèrent que leur organisation est très bien préparée pour prévenir une cyberattaque directe sur ses systèmes.  

Gouvernance et réglementation

Le rôle de la réglementation dans la défense des navires et des ports contre la menace d'une cyberattaque a été examiné par des intervenants de BIMCO et de l'IAPH.  

Représentant les propriétaires de navires, M. Jakob Larson, Responsable de la sécurité et de la sûreté maritimes à BIMCO, a déclaré que les dernières directives étaient désormais davantage axées sur les risques que les versions précédentes et que le secteur était devenu plus apte à gérer les cyberrisques. Mais il a averti que les directives devaient évoluer pour éviter qu'elles ne deviennent obsolètes.

Notant que la cybersécurité figure à l'ordre du jour des discussions de l'OMI au printemps 2024, il a décrit ce que BIMCO espérait voir à l'avenir : des normes en fonction d'objectifs pour le secteur, une approche axée sur la sécurité et les risques, et la priorisation des entités critiques au sein de la chaîne d'approvisionnement - par exemple, un grand port plutôt qu'un navire individuel. Il a également souligné le débat autour de la confidentialité commerciale et des informations qui devraient être partagées. 

Au nom des ports, M. Frans van Zoelen de l'IAPH a abordé l'impact probable du guichet unique maritime pour l'échange de données qui deviendra obligatoire à partir de janvier 2024. Il a passé en revue les instruments réglementaires pertinents en matière de cybersécurité, notamment les directives de l'OMI sur la gestion des risques cybernétiques, les directives non obligatoires de l'ENISA, de BIMCO et de l'IAPH, ainsi que le Code ISPS obligatoire pour les installations portuaires.

Au niveau national, M. van Zoelen a souligné l'importance d'assurer la pérennité de la législation en y incorporant de la flexibilité.

M. Scott Dickerson, Directeur exécutif du Maritime Transportation System Information Sharing and Analysis Center (MTS-ISAC), qui promeut et facilite le partage d'informations sur la cybersécurité entre les parties prenantes des secteurs privé et public, a évoqué les défis posés par la nature internationale du secteur des transports maritimes, les pays ayant leurs propres façons d'aborder le problème, y compris des approches différentes en matière d'application de la loi et d'exigences en matière de rapports. 

Conséquences et réponses cybernétiques

Lors d'un exposé sur l'amélioration de la cyber-résilience des navires militaires, M. William van der Geest, de la marine royale néerlandaise, a parlé des défis uniques en matière de cybersécurité auxquels sont confrontés les navires militaires. 

En l'absence d'experts en cybersécurité à bord, il est nécessaire, selon lui, d'intégrer la cybernétique dans le cadre de la réparation des dégâts subis au combat par les navires militaires. Selon lui, il faudra peut-être improviser pour remettre les systèmes concernés à un niveau de service suffisant, car on ne dispose pas du temps nécessaire pour procéder à une recherche exhaustive des pannes dans un environnement de combat. 

Le secteur de l'assurance est un acteur clé en cas de cyberattaque. Mme Kelly Malynn est Cheffe de produit et souscriptrice pour les dommages physiques cybernétiques chez Beazley, qui assure 25 % de la flotte maritime mondiale. Spécialisée dans l'identification et la quantification des risques complexes, elle s'est exprimée lors du colloque sur ce qui est techniquement plausible pour les assureurs en cas de violation de la cybersécurité.

Elle a présenté les types de cybermenaces auxquelles le secteur maritime est confronté : cybernétique des navires - par exemple, dommages physiques aux navires, cybernétique des entreprises - par exemple, "bricking" (lorsque le matériel informatique est rendu inopérant, peut-être à la suite d'un piratage), et interruption d'activité. 

Le type de cyberévénements pour lesquels une couverture d'assurance est disponible comprend le ciblage des systèmes électriques, les logiciels rançonneurs génériques, le système de visualisation de cartes électroniques et d'information d'un navire, ainsi que les systèmes de courrier électronique et de réservation, a déclaré Mme Malynn.  

Dans le cadre de tests de navires multi-systèmes en conditions réelles, elle a identifié des vulnérabilités. Toutefois, elle a déclaré que la complexité des systèmes des navires était difficile à gérer pour un cyber-attaquant potentiel. Il faudrait un investissement substantiel pour franchir les défenses et les compromettre, ce qui pose la question de savoir si le jeu en vaut la chandelle.  

Pour en savoir plus sur le colloque OMI/Cyber-SHIP Lab de l'Université de Plymouth sur la "Cybersécurité maritime et la résilience", cliquez ici.