Semaine thématique de la cybersécurité maritime
Par Leonid Vashchenko
La transformation numérique maritime en est à son époque la plus rapide et la plus mouvementée. Une telle transformation offre des avantages et des avantages substantiels, mais avec des risques proportionnés dans le domaine cybernétique.
Le 16 juin 2017, l’Organisation maritime internationale (OMI) a adopté la résolution MSC.428 (98) qui «encourage les administrations à veiller à ce que les cyberrisques soient correctement traités dans les systèmes de gestion de la sécurité existants (tels que définis dans le Code ISM) au plus tard le première vérification annuelle du document de conformité (DOC) de la société après le 1er janvier 2021. » La même année, l’OMI a élaboré des directives connexes (MSC-FAL.1 / Circ.3). Alors que la résolution est une reconnaissance formelle de l’importance de la cybersécurité par l’agence des Nations Unies, les lignes directrices soulignent qu’une gestion efficace des cyberrisques doit commencer au niveau de la haute direction.
Mais même une gestion des risques intelligente et élaborée ne sera pas efficace tant que tous les acteurs du monde maritime n’auront pas été sensibilisés à une cybersécurité appropriée. L’élément humain est le plus précieux mais aussi le plus vulnérable en matière de cybersécurité maritime. Alors que la technologie moderne offre une certaine protection contre le piratage direct, l’ingénierie sociale est devenue le vecteur le plus répandu de la cybercriminalité.
Il existe une opinion populaire selon laquelle le ciblage direct des hauts dirigeants (connu sous le nom d’attaques de chasse à la baleine ou de fraude de PDG) est le scénario le plus probable d’une cyberattaque lucrative. En cas de succès, les délinquants peuvent avoir accès à des données sensibles ou même à des réseaux entiers et affecter de nombreux processus au sein du système. Dans certains cas, les attaquants pourraient même obtenir des options pour diriger des groupes de navires. D’un autre côté, une telle «attaque de chasse à la baleine» est un processus compliqué avec des chances de succès discutables. L’obligation des cadres supérieurs envers la gestion des cyberrisques est en passe de devenir une hypothèse standard. Ces dirigeants sont de plus en plus conscients de ces dangers et maintiennent mieux un comportement prudent pour réduire les cyberrisques pour eux-mêmes. Beaucoup plus simple est la méthode pour tenter de créer socialement d’autres types de travailleurs maritimes, qui à première vue semblent moins importants que les cadres, mais qui bénéficient également d’un large accès aux systèmes et réseaux maritimes.
Il existe deux groupes principaux qui peuvent être distingués comme des cibles souhaitables. Le premier groupe comprend les membres d’équipage à bord des navires commerciaux et des navires de guerre, en particulier ceux qui ont un accès direct aux systèmes de contrôle du navire ou à des éléments importants des systèmes de bord, comme les communications, les moteurs ou les équipements de manutention et les zones de stockage. Le deuxième groupe comprend le personnel à terre, y compris les techniciens et les conseillers, les entrepreneurs tiers, en particulier ceux qui ont un accès à distance aux réseaux et contacts maritimes.
Il existe trois domaines critiques attrayants pour les attaquants, notamment les systèmes et capteurs de navigation, la manutention et le stockage de la cargaison, la propulsion et la puissance. Dans la plupart des cas, ces deux derniers éléments nécessitent un accès physique direct pour accéder efficacement aux systèmes critiques. En revanche, les systèmes de navigation font peut-être partie des systèmes embarqués en réseau et accessibles numériquement les plus avancés.
Si les cyber-intrus avaient accès à ECDIS (le système électronique d’affichage et d’information), ils seraient en mesure de tenter des options offensives telles que le brouillage ou la corruption de signaux reçus de capteurs externes (GPS, AIS, Radar / ARPA, Navtex), rassemblant des données hydrographiques critiques. informations et falsification directe de la carte électronique de navigation (ENC). Alors que les ENC officielles comportent souvent des données hautement protégées, l’accès non autorisé à l’option de correction manuelle des ENC peut être perturbateur. Les pirates pourraient également opter pour l’option plus simple de désactiver les systèmes d’exploitation des stations de travail ECDIS, où, dans la majorité des cas, il s’agit d’un système d’exploitation Windows courant, et pas nécessairement de la dernière version. Avec les systèmes de navigation de pont hautement intégrés des chimiquiers et des navires à passagers modernes, les attaquants pourraient même cibler l’algorithme de pilotage automatique du navire.
Un accès non autorisé à un système de navigation aussi important peut être obtenu avec des logiciels malveillants acceptés par les opérateurs d’équipement via leur client de messagerie et leurs profils de médias sociaux personnels. Aujourd’hui, grâce à Internet largement disponible à bord des navires commerciaux modernes, le personnel de bord peut utiliser librement ses appareils mobiles personnels ou ordinateurs portables pour accéder au Web et aux communications privées. Dans le même temps, l’hygiène et les meilleures pratiques de cybersécurité sont souvent négligées, et les mêmes appareils personnels peuvent être utilisés pour le stockage et le transfert de données opérationnelles, y compris le transfert de données vers et depuis les postes de travail ECDIS.
Imaginez un scénario où un chimiquier a été choisi comme cible par un groupe de hackers. Des informations concernant les données statiques et dynamiques (cap / vitesse / position) du navire, la composition de l’équipage, le type et la quantité de cargaison, la destination, le nom du capitaine et d’autres éléments d’intérêt pourraient être collectées sur le Web. Les attaquants pourraient rechercher et exploiter les réseaux de médias sociaux des membres d’équipage, de préférence le membre de l’équipe à la passerelle du navire ciblé. La tâche est facilitée par les réseaux sociaux et les sites Web axés sur les groupes professionnels et l’emploi.
Au cours de la deuxième étape, l’étape de l’évaluation, le profil choisi est soigneusement examiné par les délinquants à la recherche de points faibles. De nos jours, la majorité des utilisateurs de médias sociaux sont enregistrés sur plusieurs plates-formes, telles que celles axées sur les relations personnelles et professionnelles, ainsi que sur les préférences en matière de divertissement. Par conséquent, les adversaires peuvent obtenir des informations non seulement sur le lieu de service du marin, mais également sur leur famille, leurs passe-temps, les lieux visités et d’autres informations qui pourraient être pertinentes pour la conception d’une attaque d’ingénierie sociale.
Leur objectif sera d’obtenir une admission non autorisée dans les systèmes du navire. La personne ciblée peut être soumise à un chantage ou contactée par un faux profil d’un contact de confiance dans le but de diffuser des logiciels malveillants via l’accès de la victime. Un officier de navigation non formé et inconscient pourrait installer le logiciel malveillant sur l’ordinateur de navigation, sous le couvert du «conseil amical d’un collègue».
Une attaque d’ingénierie sociale peut sembler plus crédible lorsque le personnel à terre, comme les techniciens ou les membres du bureau d’assistance, est ciblé. Avec presque les mêmes mesures de recherche, d’évaluation, de ciblage et de piratage, les auteurs peuvent s’infiltrer et attaquer des groupes de navires encore plus importants en raison de la façon dont les professionnels à terre ont souvent accès et ont juridiction sur de nombreux navires.
Des intentions plus néfastes pourraient inclure le fait de provoquer un déversement de produits chimiques, de placer un navire sur une trajectoire de collision avec un navire de guerre ou un navire à passagers, ou d’endommager une infrastructure côtière critique. En ce qui concerne ces scénarios, les cybermenaces maritimes devraient être considérées comme relevant du Code international de sécurité des navires et des installations portuaires (ISPS), et pas seulement du Code international de gestion de la sécurité (ISM). Le code ISPS consolide diverses exigences constructives afin qu’il puisse atteindre certains objectifs pour assurer la sécurité des navires et des ports.
Il existe des exigences importantes dans le cadre de l’ISPS. Les échanges d’informations relatives à la sécurité entre les agences contractantes appropriées, tant gouvernementales que privées, comprennent la collecte et l’évaluation des informations obtenues et leur diffusion ultérieure. En conséquence, des définitions sont incluses pour les protocoles de communication pertinents pour les navires et les installations portuaires pour des échanges simples d’informations. Un autre élément important consiste à tenter d’empêcher tout accès non autorisé sur un navire, une installation portuaire ou d’autres zones réglementées importantes. Même si l’entrée non autorisée n’est pas une menace, elle est toujours considérée comme un danger potentiel.
L’ISPS réglemente également les dispositions de différentes options de déclenchement d’alarme en cas d’incident lié à la sécurité ou en cas d’évaluation d’un danger potentiel. Il semble assez logique d’appliquer des exigences similaires pour la cybersécurité maritime. Il y a plusieurs tâches principales à prendre en compte: la collecte, l’évaluation et l’échange d’informations sur la cybersécurité entre les parties concernées; prévention des accès non autorisés; installation ou transfert de logiciels malveillants et de logiciels espions; et une formation appropriée du personnel.
À terme, une réglementation devrait être introduite concernant l’élément humain. Plus précisément, des formations et des exercices devraient être mis en place pour les équipages des navires et le personnel des installations portuaires afin de s’assurer qu’ils sont au courant du plan de sûreté et qu’il n’y aura pas de retard dans l’exécution de la procédure en cas de menace réelle. Une formation et une éducation avancées en matière de cybersécurité devraient être encouragées, en particulier pour le personnel critique comme les officiers de quart ou les ingénieurs. Le but d’une telle formation serait d’acquérir des connaissances et de développer des compétences en cybersécurité afin d’anticiper les menaces à un stade précoce. Le personnel formé doit également être prêt à empêcher l’accès non autorisé aux équipements et systèmes critiques et être vigilant en cas de dysfonctionnements particuliers qui pourraient être causés par une infiltration illicite. En cas de pénétration potentielle, le personnel doit être suffisamment qualifié pour isoler les zones touchées du système sans perdre le contrôle du navire. Leurs compétences devraient inclure la capacité de gérer une transition vers le contrôle manuel d’urgence et d’utiliser des techniques classiques de matelotage et de communication.
La sécurité maritime, grâce à la cybersécurité, deviendra une entreprise beaucoup plus complexe. Cela nécessitera une combinaison réfléchie de l’élément humain, de l’innovation technique, des procédures de gestion, des protocoles de sécurité et du savoir-faire maritime classique. Compte tenu du manque de cyber-sensibilisation chez certains marins, le transfert de logiciels malveillants d’un appareil personnel vers le système de navigation d’un navire n’est qu’une question de temps. La communauté maritime internationale devrait accélérer et renforcer ses efforts pour mettre au point des mesures adéquates pour faire face aux défis futurs dans le domaine cybernétique maritime.
Leonid Vashchenko est un marin professionnel, actuellement en tant que chef de bord à bord des navires de commerce océaniques. Il est titulaire d’une maîtrise en navigation maritime de l’Université nationale «Odessa Maritime Academy», en Ukraine, et est un membre actif de l’Institut nautique de Londres. Ses opinions sont les siennes et ne représentent pas nécessairement les vues ou politiques officielles de l’organisation ou des entreprises avec lesquelles il travaille.
Image en vedette: port de Hambourg (Wikimedia Commons)
