90% du commerce mondial repose sur le transport maritime. Du transport des matières premières en passant par les produits manufacturés, cette industrie constitue la base de l’économie globalisée contemporaine. Dans une économie à flux tendus, les navires de commerce doivent être adaptés et automatisés pour gagner en productivité. La marétique – constituée « par l’ensemble des systèmes informatiques et électroniques utilisés dans la gestion et l’automatisation des opérations »[1] maritimes – a donc progressivement fait son apparition et ainsi mis en lumière un nouveau risque.
En décembre dernier, Naval Dome, un fournisseur israélien de solution de cyber défense, a présenté les résultats d’une expérience menée sur le navire Zim Genevoa, un porte-conteneur de 260 mètres.
Après avoir infecté l’ordinateur du capitaine via un email, une équipe d’ingénieurs est parvenue à compromettre le système de navigation du navire, les radars et le système de gestion de la salle des machines. Cette intrusion dans les systèmes embarqués leur a permis de :
- dérouter le navire de sa route initiale,
- modifier les affichages radars en passerelle sans déclencher de système d’alerte ou attirer l’attention de l’équipage, et
- désactiver les moteurs, les jauges de soutes, les systèmes de gestion des ballasts et de gouverne du navire.[2]
Alors que le risque de perte d’un navire causé par une cyberattaque ne semble pas être une menace immédiate[3], il n’en demeure pas moins que les acteurs de l’industrie maritime ont déjà été victimes de nombreuses cyberattaques. Les exemples se succèdent : affaire des douanes australiennes, Icefog, Port d’Anvers, Zombie Zero,[4] ou encore Maersk en juin 2017 avec Notpetya qui a causé une perte d’exploitation de près de 300 millions de dollars. Face à cette menace, l’industrie maritime prépare une réponse afin de coordonner sa résilience.
Le Code ISPS (International Ship and Port Facility Security) constitue le texte de référence quant à la protection des infrastructures maritime et portuaire sensibles. Ce code adopté en 2004 par l’OMI (Organisation Maritime Internationale) en réponse aux attentats du 11 septembre 2001 vient prévoir une obligation d’évaluation de la sécurité des systèmes et réseaux informatiques des navires et des ports. Le Code ISPS n’expose que des mesures génériques de contrôle de la sécurité des navires et des ports. Ce texte, reprenant les dispositions de la Convention SOLAS de 1974, affiche des lacunes certaines.
L’OMI, agence spécialisée des Nations Unies, place depuis plusieurs années la problématique cyber parmi ses priorités. Ainsi, en 2016, l’OMI annonçait la mise en place de lignes directrices sur la gestion du risque cyber. Ces dernières proposent une série de recommandations en vue d’une meilleure gestion du risque cyber. Ce document dresse une liste non exhaustive des systèmes embarqués vulnérables aux cyberattaques et des éléments clés devant être envisagés dans tout plan de prévention et de gestion des risques en matière d’identification, protection, détection, réponse et récupération. Il fait également référence aux Guidelines on Cyber Securirty Onboard Ships présenté par le (Baltic and International Maritime Council), la norme ISO/IEC 27001 ou encore le NIST Framework du Gouvernement américain.
L’OMI, par sa résolution MSC.428(98) de juin 2017, et dans le prolongement du Code ISM, vient « encourager les administrations à s’assurer qu’une réponse appropriée au risque cyber sera apportée dans les systèmes de gestion de sécurité, au plus tard le 1er janvier 2021, lors de la première vérification annuelle des attestations de conformité ». 2021 se présente donc comme un objectif dans l’uniformisation de la gestion du risque cyber pour les flottes de navire de commerce.
Les lignes directrices telles qu’évoquées précédemment constituent la principale base « règlementaire » de la cyber sécurité de l’industrie maritime. Ces dernières dispensent des conseils pratiques et organisationnels aux entreprises tels que l’importance d’impliquer de multiples acteurs au sein de l’entreprise dans les protocoles de gestion de la cyber sécurité, et ce à tous les échelons hiérarchiques. Ces instruments soulignent également l’importance de la mise en place de procédures ou de l’instauration d’un plan d’urgence de gestion de crise. La limite de ces lignes directrices demeure toutefois dans l’absence de toute valeur contraignante. Elles « doivent être considérées comme des conseils devant être employés par son utilisateur à ses propres risques ».[5]
L’industrie maritime est également influencée dans son rapport au risque cyber par les marchés d’assurances. Ces derniers, manquant pour l’heure de visibilité sur les risques et la sinistralité, avancent progressivement vers une réponse adaptée. Afin de contenir l’impact d’une cyberattaque d’importance, les produits d’assurances cyber sont segmentés.
Les assureurs offrent d’une part des produits cyber relatifs aux risques d’entreprise pouvant couvrir les pertes d’exploitation consécutive à une cyberattaque, le paiement des rançons, l’indemnisation des pertes de données, les dommages causés aux tiers du fait de la perte de ces données, ou encore les dommages à la réputation de l’entreprise.
D’autre part, les assureurs proposent des couvertures pour les dommages aux corps de navires consécutifs à une cyberattaque. Cette offre d’assurance est récente. Traditionnellement, les dommages consécutifs à une cyberattaque sont exclus des polices d’assurances corps de navire par l’insertion d’une clause d’exclusion, la clause CL380. Toutefois, l’absence d’exclusion ne signifie pas pour autant que le risque est couvert. Afin de sécuriser les relations contractuelles entre assureur et assuré, certains assureurs proposent depuis peu des clauses de rachat de l’exclusion, permettant ainsi de couvrir les dommages causés au navire consécutif à une cyberattaque.
Outre son rôle d’indemnisation, le marché des assurances permet en matière de cybersécurité de mettre en place avec les assurés des mesures d’hygiène informatique et ainsi développer leur résilience. Les assureurs ont également un rôle d’assistance en cas de survenance d’un sinistre grâce à leurs réseaux d’experts permettant de contenir les crises et de maitriser les coûts inhérents.
Le défit du risque cyber est un enjeu majeur pour cette industrie maritime en perpétuelle évolution. Industrie qui envisage la possibilité d’une automatisation totale des navires à moyen terme et qui entrevoit déjà des opérations sans équipage.
[1] Cluster maritime français, Le livre bleu de la Marétique, Seagital, Septembre 2013, [En ligne] <www.seagital.com>, p. 6.
[2] « Nightmare Scenario: Ship Critical System Easy Target for Hacker », 21 Décembre 2017, [En ligne] <www.worldmaritimenews.com>
[3] Stephenson HARWOOD et Joint Hull Committee, Cyber Risk, septembre 2015, [En ligne] <www.comitemaritime.org>, p.1.
[4] CyberKeel, Maritime Cyber-Risks, 2014, [En ligne] <www.cyberkeel.com>, pp.15-18.
[5] BIMCO, The Guidelines on cyber security onboard ships, version 2.0., juillet 2017, [En ligne] <www.bimco.org>.
la newsletter
la newsletter