Le monde maritime va devoir se mettre à la cybersécurité

Avec le lancement prochain des porte-conteneurs autonomes, il devient urgent de s’intéresser aux problématiques de cybersécurité dans les transports maritimes.

Le transport maritime achemine plus de 90% du commerce mondial. A l’heure de la révolution des mobilités, du développement des camions autonomes et des drones de livraison, ce secteur, à l’impact économique et environnemental énorme, peut sembler en retard. Détrompez-vous. Des constructeurs sont en train de développer leurs propres navires autonomes et connectés. Ces systèmes innovants permettront de suivre en temps réel les portes-conteneurs, d’optimiser le transport et le stockage des marchandises et de faire de la maintenance prédictive.

Plusieurs entreprises ont déjà dévoilé leurs projets de  navires complètement ou partiellement autonomes avec des capacités de navigation et de chargement/déchargement. Yara voit un navire semi-autonome en 2018 alors que Rolls-Royce annonce un navire complètement autonome à l’horizon 2035. Quant à One Sea, une alliance regroupant des constructeurs et opérateurs du secteur maritime, c’est un écosystème complet qu’elle prévoit pour 2025.

Avec le développement de ces navires autonomes, le risque de cyberattaques va s’accroître. Alors, pour éviter leurs impacts potentiellement désastreux, nous devons faire de la cybersécurité une priorité.

Les cyberattaques sont déjà une réalité

Le monde maritime est déjà la cible de différents types de cyberattaques, certaines sur terre, d’autres sur mer, certaines visant à obtenir des rançons ou à voler des marchandises, d’autres à commettre des actes de terrorisme.


Lire aussi : Protection des données personnelles, demande de rançons, développement de l’IA : le nouveau visage de la cybersécurité

L’attaque la plus notoire reste celle du ransomware NotPetya sur Maersk en 2017 qui a obligé le mastodonte de la livraison à passer en mode crayon-papier et lui a fait perdre plus de 264 millions de dollars. La reprise a nécessité la réinstallation de 45 000 ordinateurs et 250 applications.

D’autres attaques ont, elles, ciblé les navires eux-mêmes. Certaines ont tenu les cargos en otages pendant des heures. Pour éviter de payer la rançon, les entreprises ont dû intervenir manuellement et isoler les machines infectées.

 

Dans son rapport Ship Intelligence Marine, Rolls-Royce établit ses prévisions sur l’évolution technologique des navires dans les dix prochaines années. Image de Rolls-Royce

D’autres attaques ont pour objectif de profiter des navires pour faire du transport de produits illégaux. Lors de l’attaque sur le port d’Anvers en 2013, des trafiquants de drogue ont pris le contrôle sur le système de gestion des conteneurs et ont pu localiser les conteneurs dans lesquels leurs complices avaient caché des drogues de sorte à s’en emparer avant que les clients des cargos ne remarquent même leur arrivée au port. Le port d’Anvers a mis deux ans pour trouver la raison de la disparition mystérieuse des conteneurs.

Il n’est aussi pas écarté qu’une cyberattaque soit à l’origine de la perte de contrôle et de la collision d’un navire de guerre américain et d’un tanker libérien. En mer Noire, les attaques de spoofing, qui consiste à émettre un faux signal GPS pour fausser les coordonnées GPS d’un navire, sont devenues habituelles selon Wired. Prendre le contrôle d’un navire est en effet une stratégie pertinente pour des terroristes ou pays ennemis. Il n’y a qu’à imaginer l’impact d’un navire lancé sur un terminal pétrolier ou n’arrivant plus à s’orienter dans l’océan.

Qui pour lutter contre les cyberattaques ?

Tous ces hacks sont dus à plusieurs facteurs, eux-mêmes liés à des choix de gouvernance, de formations professionnelles et de technologies.

Les directions, d’une part, font souvent preuve d’un manque d’attention aux risques cyber et ont rarement mis en place les instruments de gouvernance de la sécurité et les politiques de sécurité nécessaires.

Quant aux équipages, ils n’ont pas forcément été sensibilisés à ces problématiques de cybersécurité et n’ont pas reçu les formations nécessaires.

A ces deux facteurs s’ajoute l’enjeu technologique. Les technologies utilisées présentent des vulnérabilités qui leur sont inhérentes, comme le spoofing pour le GPS, et/ou qui souffrent d’absence de mécanismes de protection, comme l’absence de protection du trafic réseau des systèmes industriels à bord.

Les différents acteurs du secteur doivent mettre en place des processus pour effectuer correctement les mises à jour des systèmes et mieux gérer les processus de gestion des accès physiques et/ou logiques.

La cybersécurité, une priorité

Heureusement, nous commençons à voir émerger une prise de conscience du risque cyber. Le BIMCO (Baltic and International Maritime Council), l’OMI (Organisation Maritime Internationale) et l’ANSSI ont publié des recommandations pour mieux sécuriser les navires et les installations maritimes. Elles expliquent les risques et les pistes de sécurisation à considérer.

Sur le plan réglementaire, les choses commencent à bouger aussi. En France, la loi de programmation militaire (LPM) impose aux OIV (Opérateur d’Importance Vitale) le renforcement de la sécurité des systèmes d’information critiques qu’ils exploitent, ce qui devraient conduire à une cyberprotection.

Au niveau international, l’OMI, par le biais de la résolution MSC.428(98) de juin 2017, obligera, dès 2021, les acteurs du maritime à prendre en compte le risque cyber, ce qui signifie sécuriser et protéger leurs systèmes d’information, leurs navires et leurs installations portuaires.

Pour parvenir à mieux sécuriser le secteur, les entreprises devront, comme nous l’avons vu, travailler aussi bien sur la résistance des technologies que sur l’organisation des équipes de direction et de terrain.

Une fois que ces changements auront eu lieu, nos océans pourront enfin accueillir les navires autonomes sans que nous ayons à craindre des attaques.

Image d’en-tête par ilfede

 

A lire aussi

La communauté des leaders de l'innovation

Innovating in good company

Rejoignez-nous