Ce rapport, à vocation annuelle, a pour objectif de donner une vision globale des cybermenaces qui ont touché le secteur maritime et portuaire en 2022. Il veut aussi offrir quelques perspectives pour 2023 afin d’aider l’écosystème maritime à partager une vision commune

France Cyber Maritime a réalisé, en partenariat avec OWN, société spécialisée dans le renseignement sur les cybermenaces, un panorama de plus de 70 pages. Il s’agit de la première étude sectorielle dans le domaine de la cybersécurité. Association de loi 1901 créée en novembre 2020 soutenue par l’Anssi et par le Secrétaire général de la mer (SGMer), France Cyber Maritime poursuit deux principaux objectifs.

« Faire se rencontrer et travailler ensemble deux mondes, maritime et cyber, qui ne se connaissent pas bien et qui ont besoin de collaborer. Et améliorer la résilience des opérations maritimes et portuaires face aux menaces cyber en développant et opérant le M-CERT (Maritime Computer Emergency Response Team), qui fournit assistance et information à tous les opérateurs du secteur », explique Xavier Rebour, directeur de France Cyber Maritime.

Basé à Brest, le M-CERT a démarré en mars 2021. Il produit des bulletins d’analyse réguliers aux adhérents de l’association. En complément des services de Cyber Threat Intelligence, il est également engagé dans la prévention des risques et la coordination de la réponse à incident, en relation avec les autorités de l’État et les organisations de cybersécurité. Début 2023, France Cyber Maritime regroupait 70 membres de l’écosystème maritime au sens large. L’association bénéficie également de partenariats nationaux et internationaux.

Mettre en lumière les grandes tendances de la cybermenace pour le secteur maritime

Les informations mentionnées dans le panorama sont exclusivement issues de données publiques et disponibles en sources ouvertes sur Internet. Elles ont été couplées à des analyses menées par le M-CERT et le OWN CERT. Elles ne représentent donc qu’une partie des attaques ayant ciblé le secteur en 2022. Cependant, comme le soulignent leurs protagonistes, elles permettent de dégager des tendances intéressantes pour un secteur hautement stratégique et extrêmement vaste. En France, ce secteur pèse 90,6 milliards d’euros en 2021 et emploie quelque 386 000 personnes.

D’après le panorama, près de 90 incidents de cybersécurité notables et publics, dont 5 en France, ont été recensés dans le secteur maritime et portuaire au niveau mondial en 2022. Cela représente une augmentation de 21% par rapport à 2021 et de 235% par rapport à 2020. Pourtant, il ne s’agit là que de la partie émergée de l’iceberg puisqu’aux dires des auteurs de l’étude, ce chiffre ne reflèterait que 10% des cyberattaques menées contre cet écosystème.

Le rapport fait un classement des acteurs les plus touchés par les attaques : l’industrie maritime et les fournisseurs (21%), la logistique et les transports (18%), les ports (17%) et les armateurs (15%). L’Europe est actuellement le continent le plus touché. « La Grande-Bretagne et l’Allemagne sont en pole position, suivis de la France », souligne Barbara Louis-Sydney, patronne du CERT chez OWN.

Le phishing toujours roi des menaces

Le panorama présente trois grandes catégories de menaces : les menaces étatiques, parfois l’œuvre de groupes criminels sponsorisés par des États, les menaces cybercriminelles et les menaces « hacktivistes ». « Ces distinctions ne sont pas fermes et tout est poreux. Nous ne voulons pas créer de silos entre ces trois types de menaces mais on observe toutefois pour chacune des tendances sur les finalités, les tactiques, les techniques, les procédures et les types d’acteurs qui se cachent derrière », concède Xavier Rebour.

Le phishing reste le principal vecteur d’intrusion initiale. « On remarque que les campagnes de phishing sont véritablement taillées sur mesure pour le secteur maritime. Et la diversité tout comme la multiplicité des profils des entreprises amenées à dialoguer avec les acteurs du maritime, qui parcourent les océans et ne se connaissent pas nécessairement, rendent difficile le repérage de certaines arnaques », note Barbara Louis-Sidney.

Le panorama se concentre aussi sur le vecteur d’intrusion qu’est la clé USB. « Alors même qu’elle est identifiée comme un vecteur dangereux d’attaque cyber, elle reste encore très utilisée par le milieu maritime pour mettre à jour les systèmes d’information, tous les bateaux n’étant pas forcément connectés à Internet par satellite », confie Xavier Rebour.

Autre vecteur d’intrusion initiale : l’achat d’accès en ligne. Une opération opportuniste où les données vendues peuvent être des clés privées de terminaux à très petite ouverture (VSAT en anglais), de yachts privés, de navires militaires, des adresses e-mails, des couples identifiant/mot de passe, des fichiers présents sur des serveurs FTP ou encore des accès à des services cloud.

Le rançonnage, principal objectif des cybercriminels

Lors des différents types d’intrusions, les principaux malwares délivrés sont les infostealers. Il s’agit de codes malveillants conçus pour collecter des données sur un système d’information, tels que Formbook, Agent Tesla et Lokibot. Ils sont en constante augmentation dans le secteur maritime, avec un pic observé en fin d’année.

Si la revente de données, l’espionnage, le sabotage, le business e-mail compromise (BEC), le rançonnage, la perturbation politique, le brouillage GNSS (GPS) très spécifique au secteur maritime, sont autant d’objectifs poursuivis par les cybercriminels, le rançonnage apparaît, selon le rapport, comme le plus évident. Il a représenté 56 attaques sur l’année 2022, majoritairement opportunistes, bien que des exceptions existent avec des utilisations politiques.

Le panorama réalise un focus sur le business e-mail compromise ou arnaque au faux ordre de virement où le but des cyberattaquants est d’inciter leur cible à émettre un virement à leur profit. « Au cours de nos investigations, nous avons identifié plusieurs campagnes, dont un acteur particulièrement actif à l’encontre du secteur, que nous avons baptisé POSEIDON-IS-001 », indique Barbara Louis-Sidney.

Durant l’année 2022, plusieurs attaques DDoS ont par ailleurs visé des entreprises du secteur maritime, affectant tant des sites Internet vitrines que des serveurs métiers exposés sur Internet. « Dans le contexte du conflit Russie-Ukraine, nombre d’hacktivistes ont utilisé le déni de service distribué comme moyen de diffuser un message politique. Le secteur maritime a été ciblé de façon symbolique, les ports étant considérés comme représentatifs des États qui apportaient leur soutien à l’Ukraine », explique Barbara Louis-Sidney.

« Il ne faut pas négliger les attaques étatiques, para-étatiques, l’espionnage et le sabotage. 90% de l’économie mondiale repose en effet sur le trafic maritime et 70% de l’approvisionnement de la France et de l’Europe passe par les voies maritimes. Ce secteur peut donc intéresser les groupes étatiques en cas de conflit car si vous paralysez un port, vous bloquez une partie de l’économie d’un pays », souligne d’ailleurs Xavier Rebour.

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.