Semaine thématique de la cybersécurité maritime

Par LCDR Ryan Hilger

À l’époque féodale, un roi mesurait la sécurité de son royaume par la taille des murs de la ville, la capacité des greniers et la capacité des archers. Une défense solide signifiait la capacité de résister à un siège et de repousser les attaques tout en maintenant une qualité de vie acceptable à l’intérieur des murs. La guerre de siège a entraîné la montée de tactiques asymétriques pour percer les murs: balistes, catapultes et trébuchets, tunnels et sapeurs avec des explosifs, des moteurs de siège, des pots de pétrole bouillants et même la guerre biologique. La guerre de siège a une longue histoire, qui remonte à Odysseus et au cheval de Troie – l’ancêtre de l’attaque des chevaux de Troie dans la cybersécurité. Mais le cheval de Troie a révélé la faille fondamentale des premières défenses: une fois à l’intérieur des murs, il n’y avait pas grand-chose à faire pour arrêter l’adversaire sans un effort héroïque de vos chevaliers et de votre milice au point de la brèche. Résister avec succès aux sièges n’est pas particulièrement courant dans l’histoire.

Au moins jusqu’à il y a une dizaine d’années, la cybersécurité a adopté une approche très similaire à la défense du réseau. Des pare-feu puissants, des trous d’air, des systèmes de détection d’intrusion et le personnel de défense du réseau d’alerte étaient la meilleure défense que l’on puisse offrir en matière de cybersécurité. L’objectif était simple: garder l’adversaire – hacker amateur ou État-nation – hors de vos systèmes. Les méthodes d’attaque étaient analogues à la guerre de siège: écrasement des systèmes par des attaques par déni de service, débordements de tampon pour arrêter les systèmes à froid, chevaux de Troie, etc.

Mais comme aux époques ancienne et médiévale, à mesure que les modèles économiques changeaient, les villes fortifiées ont constaté que les murs offraient de moins en moins de protection. Les menaces internes, l’augmentation des activités commerciales et les marchands présents, entre autres vecteurs, ont tous amené plus de menaces à l’intérieur des murs de la ville et mis plus de ressources et de personnes à l’extérieur des murs. Et c’était bien avant que les défenseurs ne réalisent souvent qu’une attaque était en cours – un peu comme nos domaines numériques aujourd’hui. La peste bubonique, ou la mort noire, pourrait facilement être considérée en termes de cybersécurité comme un ver particulièrement vicieux qui se propage facilement parmi la population et fait mourir près d’un sur quatre. La peste est généralement venue dans les villes sur des puces ou des rats, pas d’un adversaire facilement visible. Bien que dans le cyberarène, les pertes peuvent être beaucoup plus élevées, comme Saudi Aramco l’a découvert à la dure.

Il faudrait plusieurs siècles pour que de nouvelles formes de défense émergent et supplantent les murs des villes et des châteaux comme forme privilégiée de protection d’un État-nation. Défendre un pays contre une corne d’abondance d’attaques n’est pas chose facile, et les problèmes ne sont pas simples, mais plutôt volatils, incertains, complexes et ambigus. Peut-être l’échec le plus emblématique des défenses héritées est survenu au début de la Seconde Guerre mondiale, où les Allemands ont simplement contourné la ligne Maginot française, contournant toutes les défenses et se déplaçant rapidement sur Paris. Les Français, prétendument avec l’une des meilleures armées d’Europe continentale, sont sortis de la guerre en moins de deux mois. Mais les combats dans les villes, avec une myriade de pièces, de murs, d’égouts, de populations potentiellement hostiles, et plus encore, se sont révélés exponentiellement plus durs et plus sanglants, comme les deux parties l’ont appris au cours des cinq années suivantes.

En 2015, l’industrie maritime a frissonné collectivement lorsque le Attaque NotPetya, ciblant à l’origine l’infrastructure des services publics ukrainiens, se sont répandus au-delà de la région et dans les communs mondiaux de l’information. Le malware s’est propagé via un logiciel backend développé par le groupe Linkos en Ukraine. Aimer SolarWinds aux États-Unis, le logiciel était largement utilisé et Maersk l’a exécuté sur leurs systèmes. Leur grâce salvatrice était un service unique et hors ligne au Ghana. Ce n’est pas vraiment un plan réconfortant pour assurer la résilience. L’attaque paralysante a eu des ramifications économiques à l’échelle mondiale, coûtant à Maersk à lui seul environ 250 à 300 millions de dollars en dommages et en pertes de revenus, et plus de 1,2 milliard de dollars dans le monde. Après l’attaque, Maersk a agi rapidement pour améliorer sa posture de cybersécurité, et la société continue de mettre l’accent sur l’information et la cybersécurité.

À l’ère moderne de la cybersécurité, les défenses telles que les pare-feu, les trous d’air et le cryptage ont toujours leur place, mais le recours à une défense solide pour éviter une défaite catastrophique ne fait qu’empirer la chute. La meilleure défense, comme dans l’histoire militaire récente, est de supposer que votre position doit être dynamique et votre système capable de répondre et de continuer sa mission malgré une intrusion ou une attaque. Dans le langage de l’industrie maritime, les approches doivent être envisagées du point de vue des porte-conteneurs et non des porte-voitures. Les transporteurs de voitures, comme le voyage fatal du MV Tricolore en 2002, montre ce qui se passe lorsque leur coque est violée. MV Tricolore est descendu en moins d’une heure et demie alors que l’eau déferlait à travers les volumineux espaces ouverts. D’autre part, le porte-conteneurs avec lequel il est entré en collision, le MV Kariba, a réussi à s’échapper avec des dégâts superficiels. Les conteneurs sont difficiles à couler, du moins tant qu’ils ne perdent pas trop de leurs conteneurs.

Repenser la cybersécurité

Aujourd’hui, la cybersécurité et la sécurité de l’information sont efficacement cloisonnées dans l’ensemble de la communauté de la cybersécurité, quel que soit le secteur qu’elle sert. Les équipes de produits qui travaillent pour livrer les produits sur le marché et maximiser les retours font le minimum possible pour mettre les produits sur le marché. Ils parlent rarement, voire jamais, aux équipes informatiques qui gèrent l’infrastructure d’entreprise sur laquelle ils développent leurs produits. S’ils le font, c’est pour améliorer les services, la capacité, etc., et non pour améliorer la sécurité ou lutter contre les menaces pesant sur le produit du côté de l’entreprise. Pourtant que est le vecteur d’attaque que NotPetya et Solarwinds ont exploité, et il montre à quel point les environnements d’entreprise sont liés à la fois aux produits et aux opérations.

Une approche moderne de la cybersécurité exige que l’industrie maritime reconnaisse trois choses. Premièrement, cette sécurité est complexe et nous devons la traiter comme telle. Simplification excessive des mesures de sécurité et non-reconnaissance des système adaptatif complexe dans laquelle vit la cybersécurité menace la résilience des produits et les réputations. Complexe est différent de compliqué. Compliqué nécessite de la compréhension et peut être entièrement décrit et géré, mais ne permet pas à des comportements nouveaux ou émergents de se produire. Les systèmes compliqués sont déterministe. La complexité reconnaît que les systèmes peuvent être utilisés différemment de la façon dont ils étaient initialement prévus, ou afficher des capacités ou des comportements émergents qui n’auraient pas pu être anticipés.

Deuxièmement, ils doivent accepter que les adversaires se trouvent déjà dans leurs réseaux et systèmes de contrôle et agir en conséquence. L’attribut fondamental de ces écosystèmes complexes doit être absence de confiance. Cela signifie que les systèmes doivent être conçus pour produire de la résilience et une assurance de mission face aux attaques constantes et pouvoir continuer à fonctionner. Zero Trust gère tous les utilisateurs, actifs et ressources comme intrinsèquement indignes de confiance, et cherche à assurer la crédibilité et la fiabilité.

Troisièmement, l’élément commun aux deux premières considérations est gens. Nous ne concevons pas de systèmes pour fonctionner de manière totalement autonome, et l’intelligence artificielle générale est encore loin. Chaque système, qu’il s’agisse de produits d’entreprise ou opérationnels, nécessite des personnes à chaque étape du processus. Actuellement, les praticiens de la cybersécurité ont tendance à se concentrer principalement sur les solutions et processus techniques pour assurer la sécurité des produits et des réseaux. Mais les attaques exigent que les gens les lancent, et les réseaux exigent que les gens défendent, corrigent, mettent à jour et autrement correctement les faire fonctionner, alors même que les choses deviennent de plus en plus automatisées. Les systèmes électroniques, qu’ils soient intégrés dans les produits ou déployés à de grandes échelles dans le cloud, ne fournissent pas de valeur tant que les gens ne les utilisent pas pour créer et maintenir une valeur commerciale ou des résultats souhaitables. Par conséquent, les personnes doivent être traitées comme une partie intégrante du système, sujettes à l’échec, aux comportements irrationnels ou inattendus, au roulement et à la fatigue. Les systèmes doivent être conçus en pensant aux personnes.

Les systèmes sécurisés nécessitent l’adoption d’une approche de la cybersécurité centrée sur l’écosystème. Les écosystèmes sont environnements incroyablement dynamiques où les acteurs – personnes, animaux, organismes microscopiques, peu importe – travaillent en permanence pour survivre, contrôler les ressources et, au minimum, maintenir le statu quo et assurer la viabilité des générations et des opérations futures.

L’écosystème du point de vue cybernétique comprend tout ce qui a été discuté jusqu’à présent: les produits et les systèmes opérationnels, les systèmes d’entreprise qui permettent leur création, leur déploiement et leur maintenance, les systèmes adverses, les domaines neutres entre eux et les personnes exploitant ces systèmes des deux côtés. L’analogue le plus proche est le niveau programme, qui comprend le système d’entreprise et les gammes de produits.

Le Le ministère de la Défense a récemment commencé à qualifier cette approche d ‘«ingénierie de mission». mais même cette définition ne rend pas pleinement compte de la dynamique d’un écosystème. L’industrie doit placer la résilience opérationnelle ou l’assurance de la mission comme objectif ultime, quels que soient les ravages que les gens peuvent causer. Concevoir la résilience de l’écosystème signifie rendre compte de manière significative des événements les plus chaotiques tels que les actions géopolitiques ou géoéconomiques, les catastrophes météorologiques et naturelles, ainsi que les tensions et conflits perpétuels – les cygnes noirs et les flamants roses.

Conclusion

La conception de la résilience nécessite une approche nettement différente de la sécurité. Mais comme les cyberattaques ne cessent de croître en rythme, en portée et en impact, nous devons concevoir et opérer pour la résilience afin de garantir que l’entreprise ou la mission ne perde pas irrévocablement la crédibilité et la confiance nécessaires pour survivre dans l’écosystème. Au-delà des approches pratiques telles que la défense expansive en profondeur, les architectures de confiance zéro et les mécanismes de redondance ou de surveillance pour équilibrer les comportements complexes ou émergents, l’approche doit séparer les systèmes de l’information. Comprendre non seulement les résultats opérationnels souhaités que le couplage du système et des informations fournit, mais rendre totalement transparent les données et les flux d’informations pour permettre une défense résiliente des systèmes et des données. Cela doit se produire au niveau de l’écosystème, et non au niveau du système individuel ou au niveau de l’entreprise uniquement. Défaut de rendre compte de la défense de la programme, pas seulement le des produits, l’échec des tribunaux et les conséquences que cela entraîne.

Les fondements de l’économie mondiale ne reposent pas sur le contrôle centralisé d’une organisation bienveillante, mais sur les efforts collectifs de l’écosystème maritime mondial pour prendre les mesures nécessaires pour que les communs maritimes restent crédibles et viables pour transporter les marchandises du monde. Mais l’industrie maritime doit reconnaître qu’elle est déjà assiégée et agir en conséquence. Comme ancien commandant du Corps des Marines, le général Robert Neller a déclaré en 2019: «Si vous me demandez si je pense que nous sommes en guerre, je pense que je dirais oui… Nous sommes en guerre en ce moment dans le cyberespace. Nous sommes en guerre depuis peut-être une décennie. Ils versent de l’huile sur les murs du château tous les jours.

Le capitaine de corvette Ryan Hilger est un officier de service du génie de la marine stationné à Washington DC Il a servi à bord de l’USS Maine (SSBN 741), en tant qu’ingénieur en chef de l’USS Springfield (SSN 761), et à terre au CNO Strategic Studies Group XXXIII et OPNAV N97. Il est titulaire d’une maîtrise en génie mécanique de la Naval Postgraduate School. Ses opinions sont les siennes et ne représentent ni les vues ni les politiques officielles du ministère de la Défense ou du ministère de la Marine.

Image en vedette: Le spécialiste des opérations 1re classe Jonathan Hudson, affecté au croiseur lance-missiles de classe Ticonderoga USS Shiloh (CG-67), se prépare à prendre le contrôle aérien tactique d’un hélicoptère Seahawk MH-60R, attaché au «Warlords» de l’hélicoptère Escadron d’attaque maritime Five One (HSM-51). (Photo de l’US Navy par Fire Controlman 2e classe Kristopher G.Horton / libérés)