![« On ne sécurise pas un navire comme une usine classique » : le [maritime au défi de NIS2]](https://incyber.org//wp-content/uploads/2024/09/incyber-news-cybersecurite-cybersecurity-data-donnees-5-2024-1920x735.jpg)
« On ne sécurise pas un navire comme une usine classique » : le maritime au défi de NIS2
![Image [Universal ZTNA] : pourquoi il faut repenser la gestion des accès](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-telecom-communication-center-2024-885x690.jpg)
![Image [Zero Trust] : guide complet basé sur les recommandations du NIST](https://incyber.org//wp-content/uploads/2024/05/incyber-news-cybersecurite-cybersecurity-tunnel-2-2024-885x690.jpg)
Dans le monde, 90 % des marchandises transitent par la mer. C’est notamment pour limiter le risque de cyberattaques dans ce secteur que la nouvelle norme NIS2 devrait s’appliquer dès cette année au sein des pays de l’Union européenne. L’ANSSI (Agence nationale de la sécurité des systèmes d’information) sera chargée de son application. Pour savoir qui est vraiment concerné par NIS2, un simulateur en ligne a été ouvert. « Les menaces et les cibles ont changé. Il fallait passer à la vitesse supérieure », résume Xavier Rebour, directeur de l’association France Cyber Maritime. Par rapport à NIS1, plusieurs nouveaux acteurs font leur entrée dans le périmètre de NIS2, comme les chantiers navals. Il y a un angle mort sur la sécurité maritime, observe M. Rebour. Que ce soit sur un navire ou dans un port, tous les équipements pilotés par informatique – des pompes aux grues en passant par les groupes électrogènes – sont exposés à des risques. Le secteur maritime représente 8 à 10 % des cyberattaques mondiales, un chiffre susceptible d’augmenter en raison de son caractère stratégique.
L’inquiétude des armateurs
Avec NIS2, on passe ainsi de quelques centaines à… 15 000 entités concernées. Elles auront pour obligation de déclarer tout incident majeur et de mettre en place une série de mesures liées à la cybersécurité. Aucune sanction ne devrait toutefois tomber durant les trois premières années suivant l’entrée en vigueur de la loi. Désormais classés hautement critiques, les armateurs et les ports devront eux aussi se mettre à la page. « Cette directive va engendrer des investissements importants pour recruter des experts ou faire appel à des prestataires, s’inquiète Pierre-Antoine Rochas, responsable environnement, sécurité, sûreté et ports chez Armateurs de France, l’organisation qui regroupe les entreprises de transport et de services maritime, avec un coût plus lourd pour les TPE/PME (80 % des armateurs français) et une surcharge administrative qui pourrait réduire leur compétitivité. » Les armateurs appellent donc à une mise en œuvre harmonisée au niveau européen, un accompagnement de l’ANSSI et une transposition réduisant la complexité administrative. Les cyberattaques ont en tout cas des conséquences lourdes pour les opérateurs. « Elles provoquent des atteintes à la disponibilité des services maritimes et à l’intégrité des infrastructures, constate M. Rochas, à terre comme à bord avec interruption de la réservation du fret et perte de contrôle des systèmes essentiels au fonctionnement des navires ou terminaux portuaires. »
Pas tous logés à la même enseigne
Sur ces sujets, le mot-clé est la prévention. Ainsi, à Brest, la société Diateam est spécialisée dans le déploiement de cyber-ranges, des équipements permettant de simuler des entraînements virtuels aux combats pour acculturer les équipes au risque et tester leur résilience. « On dit souvent que l’humain est le maillon faible de la cybersécurité, explique Olivier Jacq, spécialiste du maritime chez Diateam, on essaie nous, au contraire, de montrer qu’une entreprise bien préparée au niveau de son organisation et de son personnel est plus forte face aux cybermenaces. » Le secteur a beau s’inscrire déjà avec un marqueur fort autour de la sûreté et de la sécurité, tous les acteurs ne sont pas logés à la même enseigne. « Il y a beaucoup d’attentisme par rapport à NIS2, témoigne Yoann Viaouët, senior manager au sein du cabinet de conseil Deloitte. Des entreprises matures comme la CMA CGM ont déjà pris les mesures attendues parce qu’elles ont conscience de l’impact potentiel d’une cyberattaque sur leur business. Alors que les petits ports ou les petites compagnies maritimes, eux, n’ont parfois jamais même entendu parler de la NIS2 ! »
Appliquer les bonnes pratiques
Bien que les navires soient exclus de la future nouvelle réglementation, ils font partie d’une chaîne logistique très exposée. « Ils sont connectés à plusieurs systèmes liés à la navigation, détaille M. Rochas, et ceux-ci sont par nature internationaux. L’anticipation est donc nécessaire non seulement pour assurer la continuité opérationnelle, mais également pour ne pas mettre en danger la sécurité du navire, en appliquant des bonnes pratiques comme la veille, l’hygiène informatique et la sensibilisation des équipages. » Au niveau mondial, 35 compagnies maritimes ont signalé des cyberattaques au cours des quatre dernières années. Elles sont essentiellement de deux types. « Les hacktivistes (voir plus bas) ciblent particulièrement les activités portuaires, explique M. Rochas, tandis que les attaques cybercriminelles affectent elles la construction, la maintenance et le transport maritime. Les rançongiciels sont la principale menace, suivis de l’exploitation de vulnérabilités, de la compromission d’identifiants et des mails de phishing. » De part leur situation, en mouvement permanent sur toutes les mers du globe, les navires sont particulièrement à risques, confirme Xavier Rebour : « Il y a souvent un équipage réduit au minimum, de plus en plus de capteurs ou de commutateurs interconnectés par satellite, et généralement aucun expert cyber à bord ! »
Prise d’otage numérique
En 2017, une cyberattaque massive menée grâce au logiciel NotPetya avait ainsi complètement paralysé Maersk, le géant danois du transport maritime. Il avait perdu la trace de tous ses containers, soit l’équivalent de 20 % de la flotte mondiale. Beaucoup accusent la Russie d’être derrière cette attaque. Elle avait coûté à l’armateur plusieurs centaines de millions de dollars. NIS2 prévoit notamment l’obligation de tester régulièrement la continuité d’activité, précise Olivier Jacq, c’est essentiel car un port ou un armateur qui arrête de fonctionner à cause d’une prise d’otage numérique, c’est immédiatement beaucoup d’argent perdu. » Un gros porte-conteneurs aujourd’hui peut en effet transporter plusieurs milliards de dollars en valeur. Il y a quelques semaines, France Cyber Maritime publiait son panorama de la cybermenace maritime (téléchargeable gratuitement), coréalisé par le M-CERT, le centre national chargé de la veille, de l’analyse et du partage des informations relatives à la cybersécurité maritime et portuaire. Le rapport recense notamment 612 incidents de cybersécurité à travers le monde en 2023, dont 18 en France, un niveau encore jamais atteint auparavant.
Quel degré de granularité ?
Dans l’idée de gagner en rapidité et en efficacité, avec le recours au « cloud » informatique par exemple, le secteur maritime s’est fortement numérisé ces dernières années. « On donne désormais accès à de nombreux intervenants, y compris des sous-traitants, à des systèmes autrefois isolés et séparés », observe Olivier Jacq. Le facteur de difficulté, selon Yoann Viaouët, ce sont les disparités géographiques : “NIS2 s’appliquera à tous les États membres, mais pas avec le même degré de granularité, ce qui change le montant des investissements en termes de cybersécurité. Quand on a des ports ou des terminaux implantés partout en Europe, c’est difficile de se préparer à la conformité sur 27 territoires différents. Et qui va la vérifier ? » L’objectif des pirates est la plupart du temps financier, mais depuis 2022, avec la guerre en Ukraine, on constate une recrudescence des attaques des « hacktivistes ». « Ce sont des groupes paraétatiques qui prennent fait et cause pour un pays, détaille M. Rebour, Beaucoup de hackers prorusses ont ainsi lancé des cyberattaques par DdoS contre les pays occidentaux, comme la France, parce qu’ils soutiennent l’Ukraine. »
Les ports, des passoires numériques ?
à terre, dans les grands ports, l’inquiétude est identique. Le maillon faible, selon Xavier Rebour, c’est le « Port community system » (PCS), un outil qui permet à tous les usagers, pilotes, douaniers ou transitaires, de se connecter à une plateforme unique pour échanger leurs informations. « Un port peut paraître physiquement fermé et verrouillé grâce au code ISPS (mis en place après les attentats du 11 septembre 2001, NDLR), mais numériquement, pour davantage de fluidité, le lieu reste très ouvert. Un pirate peut facilement se procurer l’identifiant de n’importe quelle personne accréditée. Et avec, il peut bloquer toute la chaîne logistique ou revendre ses codes sur le dark web. » En collaboration avec France Cyber Maritime, l’ANSSI et les Affaires maritimes, Armateurs de France a élaboré un guide de sensibilisation (gratuit) pour aider les dirigeants à anticiper les évolutions des menaces et de la réglementation. Car il reste encore beaucoup à faire. Certains secteurs, comme le nautisme, la pêche, l’éolien et les ENR (énergies renouvelables) ne sont pas suffisamment sensibilisés à ces risques. En juin dernier, France Cyber Maritime a signé un accord de coopération pour accroître la sécurité des installations de production d’énergies marines renouvelables, comme les éoliennes en mer ou les hydroliennes. L’association compte d’ailleurs s’appuyer sur NIS2 pour recruter encore davantage d’adhérents et se développer dans d’autres pays, en particulier du sud de l’Europe.