Cybersécurité maritime : marins civils et militaires embarquent pour de nouveaux défis

En matière de cybersécurité, marins civils et militaires « sont dans le même bateau », observait très justement le quotidien Ouest-France le 15 septembre 2021. Les marines civile et militaire sont en effet engagées dans une numérisation toujours plus marquée, qui augure de nouveaux risques cyber et appelle des réponses adéquates.

Si Ouest-France s’intéressait au sujet, c’est parce que la France vient de franchir une nouvelle étape dans sa capacité à répondre aux enjeux de la cybersécurité maritime. Le 15 septembre, dans le cadre des Assises de l’économie de la mer, la Marine nationale et France Cyber Maritime ont signé une convention. Celle-ci prévoit « le partage d’expérience et d’information entre le centre de veille, d’analyse, d’alerte et de recueil des incidents cyber, le M-CERT, créé par France Cyber Maritime […], l’autorité de coordination cyber de la Marine nationale, […] et le centre d’expertise dédié à la sûreté maritime (Mica Center) ».

France Cyber Maritime, instituée en novembre 2020 (avec le soutien du SGMer, de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et d’une quinzaine de partenaires publics et privés), s’est donnée pour missions d’encourager le développement d’une filière d’excellence française en cybersécurité et d’accroître la résilience du monde maritime et portuaire face aux risques cyber, via le M-CERT. En cours d’incubation par l’ANSSI, ce centre « diffuse d’ores et déjà des bulletins mensuels très complets sur la cybersécurité maritime, des alertes, ainsi que des indices de compromission au profit des adhérents de l’association et de nos partenaires. Il devrait rejoindre le réseau des CSIRT français au sein de l’InterCERT-FR au cours de l’année 2022. Sa montée en puissance est cohérente avec les organisations de ce type et est prévue pour durer jusqu’en 2024. Dès aujourd’hui, le M-CERT commence à travailler avec des homologues à l’étranger afin de faciliter les analyses et le partage d’information, pour prévenir au mieux les attaques visant le secteur », précise Olivier Jacq, directeur technique et scientifique de France Cyber Maritime.

Cette initiative française n’est, de fait, pas isolée. Dès juin 2017, l’Organisation Maritime Internationale (OMI) a notamment publié la résolution MSC (428)98, qui « constitue une étape cruciale dans l’acculturation du transport maritime aux enjeux de cybersécurité », notait Laurent Banitz, chargé de mission sûreté et cybersécurité des navires (sous-direction de la Sécurité et de la transition écologique des navires, direction des Affaires maritimes (DAM), ministère de la Transition écologique), dans une publication du CyberCercle. Cette résolution fixe, selon lui, les grands axes d’une politique de sécurité, partant d’une analyse du risque, pour en déduire les règles et les moyens de protection et de défense des éléments critiques (par exemple, les systèmes de navigation et de gestion de la propulsion du navire). Mais, il reste toutefois nuancé, précisant que « le tableau reste encore au stade de l’esquisse ». Un constat que partage aujourd’hui Olivier Jacq : « la résolution MSC.428(98), entrée en vigueur au 1er janvier 2021, a encore beaucoup de fruits concrets à porter. J’attends aussi beaucoup de la version 2 de la directive NIS ». L’expert de France Cyber Maritime notait par ailleurs dans sa récente thèse, consacrée au concept de « Cyber Situational Awareness » appliqué au monde maritime, que « dorénavant, des processus existent pour assurer la remontée d’un évènement cyber maritime dans le cadre de la Coopération Navale Volontaire (CNV). Pourtant, plusieurs études s’accordent pour souligner que le niveau de cybersécurité du secteur maritime reste insuffisant ».

Le défi du contrôle à distance

Il faut dire que la cybersécurité maritime recouvre un domaine très étendu, par nature difficile à appréhender. Les systèmes navals sont « complexes et très informatisés. La temporalité des déplacements est longue et la zone géographique couverte, planétaire. On passe d’un continent à l’autre et il y peut y avoir beaucoup de brassages et d’interventions », rappelle David Brosset, maître de conférences et responsable de la recherche en cybersécurité au sein de l’École navale, dans une interview publiée en septembre par le technopôle Brest-Iroise. « La principale difficulté dans la gestion de la cybersécurité en mer est qu’il n’y a pas d’experts à bord des navires. Le coût serait trop élevé pour les compagnies, pour un risque à ce jour encore difficilement évalué et intégré dans les pratiques usuelles. De plus, les systèmes maritimes sont conçus pour fonctionner pendant des dizaines d’années, la sécurisation de systèmes numériques anciens est un vrai défi. »

Les navires sont exposés à de nombreuses menaces, dont l’intrusion à bord d’un rançongiciel, attaque très répandue aujourd’hui. Un programme malveillant, introduit via une clef USB ou la pièce jointe d’un email, pourrait, outre le chiffrement des données, rendre inopérationnelles de nombreuses commandes : « accès aux cabines, aux services et loisirs, à l’embarquement des passagers, propulsion, navigation…etc. », précise David Brosset. En 2017, Naval Dome, fournisseur israélien de solution de cyberdéfense, fournissait un exemple édifiant de ce type d’attaque, en publiant les résultats d’une expérience menée sur le navire Zim Genova, un porte-conteneur de 260 mètres. Un simple email, infectant l’ordinateur du capitaine, avait suffi à compromettre le système de navigation du navire, les radars et le système de gestion de la salle des machines. De quoi dérouter le navire de sa trajectoire initiale, modifier les affichages radars en passerelle, désactiver les moteurs…

Drones et navires autonomes aux avant-postes

L’essor des drones maritimes et des navires partiellement ou totalement automatisés  constitue de nouvelles sources de préoccupation. Certains systèmes clés pour ces navires, tels l’AIS (Automatic Identification System) et les systèmes de positionnement par satellite, peuvent en effet faire l’objet de leurrage et brouillage. « Le brouillage vise à émettre sur la même fréquence et avec une puissance plus forte que les systèmes légitimes, afin d’entraîner un déni d’accès au service : la perte de la position et de la connaissance de l’environnement peut entraîner des difficultés pour les navires », explique Olivier Jacq. Le leurrage est une action plus sournoise : elle consiste à émettre de fausses informations soit de position ou de temps dans le cas du GPS, soit beaucoup plus vastes dans le cadre de l’AIS (falsification du type de navire, création de navires fantômes, etc.). « Cette dernière technique est souvent utilisée à des fins de piraterie, de contrebande, ou par certains pays à des fins militaires, détaille l’expert de France Cyber Maritime. Ces évènements, que nous suivons au sein du M-CERT, sont assez fréquents et peuvent avoir des conséquences inattendues : arrêt de fonctionnement de grues de débarquement de marchandises dans les ports (en 2013), car certaines marques dépendent du GPS pour se positionner. Il y a également eu des cas récents de leurrage AIS en Méditerranée, au large de la Californie et, de manière plus fréquente, à proximité des zones de conflit. »

Dans l’introduction de sa thèse, Olivier Jacq imaginait le scénario d’un navire de croisière, embarquant plusieurs milliers de personnes, victime d’une « prise d’otage numérique » : « le capitaine ne peut plus manœuvrer et l’ensemble des écrans de la passerelle et du poste de contrôle de la machine affichent un message sans équivoque : l’armateur doit payer une rançon élevée, faute de quoi le navire ira s’échouer sur la côte à pleine vitesse ». Aux professionnels de la cybersécurité, mains dans la main avec les organisations maritimes, les marines nationales, les armateurs, les autorités portuaires et les équipementiers, d’anticiper, empêcher et, en dernier recours, préparer l’atténuation des effets de tels scénarios.