Cybersecurité Cours OK
Cybersecurité Cours OK
Cybersecurité Cours OK
INFORMATIQUE APPLIQUEE A LA
SECURITE & A LA SURETE
MARITIME 2
CYBERSECURITE MARITIME
Chargé de cours
N’Faye FELIBIGOU
Expert Fonctionnel 0
Gestion Portuaire et Logistique
SOMMAIRE
2. 1.1-Cadre réglementaire
3. 1.2- Infrastructures et services portuaires
4. 1.3-Principaux acteurs portuaires
5. 1.4-Modèle de référence
CONCLUSION
1
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
3- OUTILS DE PROTECTION
5-ANNEXES
3
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
1- SUR LE NAVIRE
41.
42. 3- VOCABULAIRE
4
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
PARTIE 1 :
CYBERSECURITE PORTUAIRE ET INSTALLATIONS
PORTUAIRES
5
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
8
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
10
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
11
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
de la navigation, prévention de la pollution, hygiène et contrôles vétérinaires, contrôles des captures de poissons,
etc.
13
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
Cependant, ce modèle doit être nuancé et adapté, car il ne peut pas correspondre
pleinement aux spécificités de chaque port. Par exemple, la fonctionnalité du système
de communauté portuaire diffère entre les ports, en fonction de leurs activités et services
spécifiques ainsi que de leurs autorités de supervision.
14
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
15
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
▪ les systèmes d’échanges de données de la communauté portuaire pour ▪ les données financières (par exemple, facturation du port à son
les services liés aux navires, au fret, notamment utilisés comme point client, paiement) ;
central pour l'échange de données avec les compagnies maritimes
(exemple des PCS, qui composent le guichet unique maritime et ▪ les données de navigation (par exemple, la position GPS d'un navire
portuaire) ; dans la zone portuaire, les données AIS).
16
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
Dix catégories d'actifs ont été identifiés au niveau européen : l'infrastructure fixe,
l'infrastructure mobile, les systèmes et réseaux industriels, les appareils terminaux
industriels associés, les systèmes informatiques, les composants réseaux et
communications, les systèmes de sûreté et de sécurité, les informations et données, et
les personnes.
2. IDENTIFIER
LES ACTIFS PORTUAIRES
17
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
Figure 5 : Classement
18
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
Sous-catégories Description
Infrastructures fixes
Actifs liés à la navigation entre le bord de mer et la zone portuaire pour garantir que les navires peuvent entrer et
Connectivité maritime sortir du port : brise-lames, écluses de mer, bouées, balises lumineuses, marquage des voies navigables, marée,
surveillance du vent et
des courants, surveillance radar des cours d'eau.
Actifs liés à l'amarrage des navires dans le port (quais, quais, jetées, jetées), l'éclairage, le contrôle d'accès
Infrastructure portuaire (portails, systèmes de lecture de plaques, détecteurs) et le transport à l'intérieur des zones portuaires (routes,
chemins de fer, voies navigables,
chemins piétonniers).
Bâtiments portuaires hébergeant les différents bureaux liés aux services portuaires (bureau du maître de port,
Bâtiments
bureau de douane, etc.) et centres de données hébergeant tous les systèmes informatiques et OT.
Actifs liés à la fourniture d'énergie pour l'écosystème portuaire (bâtiments, navires, etc.) : réseau électrique (à
Energie
haute tension
pour les grands ports), soutage et stations de livraison d'eau douce, canalisation, carburant, essence, etc.
Systèmes de Déchets gérés par le port mais également déchets des navires (déchets solides tels que plastique, papier, verre,
traitement des déchets alimentaires et liquides tels que eaux de cale, boues et eaux usées).
déchets
Atouts de connectivité de l'arrière-pays dont dispose le port, en tant qu'interface entre la mer et les systèmes de
Connectivité de l’hinterland transport de l'arrière-pays, tels que les gares et les systèmes de chargement et d'expédition du matériel roulant,
les infrastructures
routières, les stations intermodales, les canaux et les infrastructures portuaires reliant les voies navigables
intérieures.
Infrastructures dédiées à la sûreté et à la sécurité : tour de contrôle, salle d'opération, centre de sécurité,
Sûreté et sécurité
installations de
premiers secours (lutte contre l'incendie, pollution, confinement, voies d'évacuation, installations médicales,
etc.).
19
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
Infrastructures mobiles
Navires dédiés à la fourniture des services spécifiques sur l'eau aux navires : bateaux-pilotes, remorqueurs, aide à
Navires de service
l'embarcation et à l'amarrage, navires de ravitaillement, navires de sécurité, navires d'inspection et de sécurité.
portuaires
Véhicules du port dédiés pour fournir des services intérieurs: lutte contre les incendies, ambulance, unités mobiles
Véhicules spéciaux
de
contrôle du fret, etc.
Barrières flottantes physiques utilisées par le port pour protéger d'autres navires et zones portuaires critiques,
Barrières flottantes
pour contenir
physiques
les pollutions et d'autres usages, le port peut utiliser.
20
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
Systèmes permettant de gérer l'accès au port et l'accostage des navires (ponts, écluses, portes, etc.), l'infrastructure
portuaire (bâtiments, etc.), les opérations terminales (grues, stockage, etc.) et composés des composants suivants
Systèmes de contrôle : automates et analyseurs (contrôleurs logiques programmables « PLC », unité terminale distante « RTU »), bases
industriel (ICS) de données (Historian, MES (Système d'Exécution de la Fabrication), etc.), systèmes de supervision (système de
contrôle distribué « DCS », contrôle de supervision et acquisition de données « SCADA »), interface homme-machine
« IHM » / postes de travail (consoles de
programmation, poste de travail d'ingénierie), systèmes de maintenance et Systèmes instrumentés de sécurité (SIS)
Réseaux et Actifs gérés par le port pour assurer les communications entre les composants ICS : commutateurs (gérés et non
composants de gérés), points d'accès sans fil, protocoles, systèmes d'alimentation (eau, électricité, etc.)
communications ICS
Dispositifs OT END
Dispositifs terminaux de l'ICS liés à l'aménagement spécifique de l'installation portuaire : clôture spécifique et
liés à un aménagement
contrôle d'accès, équipement de sûreté et de sécurité spécifique, équipement de première intervention, salle
spécifique de l'installation
opérationnelle
portuaire
spécifique, etc.
Dispositifs terminaux de l'ICS liés à l'accostage des navires portuaires : le bateau, les systèmes de gestion des
liés à l'accostage des navires
postes
d'amarrage, les équipements spécifiques d'inspection et de contrôle, etc.
Dispositifs terminaux OT utilisés pour charger et décharger les navires : équipements et systèmes de manutention
spécifiques au terminal (grues, rampes pour passagers, pipelines, tapis, convoyeurs, etc.), suivi du fret spécifique
liés au chargement
aux terminaux systèmes (codes à barres, compteurs de liquide, identification par radiofréquence « RFID », scellés,
et au déchargement des
balances, etc.), scanners de badges ou de billets, systèmes de lecture de plaques, détecteurs de défauts dans les
navires
systèmes de chargement / déchargement
automatisés (fuites, chocs, bourrage, etc.)
Dispositifs terminaux OT utilisés une fois la cargaison ou les conteneurs hors du navire, et temporairement stockés
dans les zones portuaires : systèmes de transport interne (chariot enjambeur, cour, camion, châssis, etc.), systèmes
liés au stockage temporaire d'équipement de stockage (rayonnages à palettes, tankage, etc.), des magasins réfrigérés et non refroidis, des silos,
des réservoirs, des interrupteurs (gérés et non gérés) pour les tuyaux et les bandes transporteuses, des points
d'accès sans fil pour les scellés
«intelligents» et les dispositifs d'auto-localisation des conteneurs, etc.
21
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
Dispositifs terminaux utilisés pour contrôler le fret, les conteneurs, les véhicules ou les passagers et les inspecter,
liés à la connectivité
puis les transporter vers d'autres systèmes de transport : systèmes de contrôle et d'inspection (scanners, systèmes
avec l’hinterland, le
d'inspection, rayons X), gare ferroviaire, gares de triage des wagons, plates-formes de transport multimodal pour
fret,
les personnes (passagers, travailleurs, etc.), installations portuaires intérieures, équipements de contrôle des
les conteneurs, les
portes portuaires (lecture de plaques,
véhicules ou les badges, lecture de codes- barres, détecteurs)
passagers
22
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
Systèmes informatiques
Système, généralement détenu et géré par l'autorité portuaire ou les parties prenantes du port, de plus en plus
organisé, comme un système de guichet unique pour partager les informations sur les opérations portuaires liées
aux navires entre toutes les parties prenantes du port (date d'arrivée ou de départ du navire données par les
Port Community System
compagnies maritimes, déclarations obligatoires telles que la liste de l'équipage, les déclarations de marchandises
(PCS)
dangereuses, les réservations de services de navire, etc.). Ils visent à faciliter la gestion des escales des navires au
moyen de la digitalisation des formalités
administratives.
Système, généralement détenu et géré par les parties prenantes du port qui sont généralement des sociétés privées
en charge des opérations du terminal portuaire, permettant de partager des informations sur les opérations
Cargo Community System
portuaires liées aux marchandises, à la cargaison et aux conteneurs entre tous les acteurs impliqués (contenu de
(CCS)
la cargaison, localisation d'un
conteneur, heure de son transfert, déclarations en douane, etc.).
Systèmes composés de différentes applications, systèmes, postes de travail et serveurs, communs à toutes les
entreprises : finances, ressources humaines (RH), systèmes de communication et de réseaux, systèmes d'e-mailing,
systèmes de vente et de marketing (ERP), etc. Systèmes de gestion des opérations de terminaux Les systèmes de
Systèmes d'entreprise gestion des opérations de terminaux, généralement détenus, utilisés et entretenus par des opérateurs de terminaux
portuaires privés, sont principalement composés de différents systèmes: des systèmes d'exploitation d'entreprise pour planifier
et gérer la logistique et les opérations (ERP, CRM, etc.), les systèmes industriels spécifiques aux opérations des
terminaux (grues, etc.), les systèmes
d'exploitation des terminaux (TOS) utilisés pour optimiser les systèmes de logistique, de transbordement et de
stockage.
Suivi du trafic maritime (VTS) Systèmes de surveillance du trafic maritime (pour le VTS), intégrant le cas échéant par extension (VTMIS) d’autres
/ Système d’Information de informations et fonctionnalités pour augmenter l'efficacité des opérations portuaires (allocation des ressources,
Gestion etc.).
du Trafic des Navires
(VTMIS)
Systèmes de gestion Systèmes utilisés par les autorités portuaires pour gérer et assurer la sécurité des processus d'amarrage:
des postes avertissements et alertes, données météorologiques, flux de caméras vidéo, gestion de l'attribution des postes
d'amarrage d'amarrage, etc.
23
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
Appareils IT END
Postes de travail Différents postes de travail sont utilisés dans les ports : systèmes informatiques dédiés aux systèmes industriels, à
des terminaux informatiques la maintenance, aux postes mobiles et fixes, etc.
Différents appareils mobiles sont utilisés dans les ports : smartphones, tablettes, radios terrestres à ressources
Appareils mobiles
partagées
« TETRA », appareils spécifiques utilisés pour la logistique (numérisation, etc.) etc.
24
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
Systèmes radio (identification par radiofréquence « RFID », VHF, etc.) utilisés pour de nombreux processus
Radio
portuaires :
communication avec les navires, opérations de sûreté et de sécurité, gestion logistique, etc.
Protocoles Protocoles utilisés pour échanger des informations : EDI, API, protocoles d'authentification , etc.
Serveurs utilisés dans les ports pour différentes finalités : serveurs Web, serveurs d'applications, serveurs proxy,
serveurs de messagerie, serveurs virtuels, imprimantes, etc. Réseaux Différents réseaux sont installés dans les ports
Serveurs
: radios VHF (Internet, WiMAX / WIFI, Satellite, réseaux ad-hoc, VLAN / LAN, etc. Ils peuvent être gérés par
différentes parties prenantes à différents
niveaux.
Commutateurs, routeurs, Composants utilisés pour transmettre des paquets de différentes manières entre différents réseaux.
concentrateurs
Systèmes de protection du réseau, pare-feu, IPS / IDS, infrastructure à clé publique « PKI » / authentification
Sécurité du réseau multifacteur
« MFA », antivirus, information sur la sécurité et gestion des événements « SIEM » et d'autres solutions de
sécurité sont
installés dans les zones portuaires.
Cloud Solutions cloud pour héberger certaines données, par exemple des e-mails et partager des fichiers.
Informations et données
Déclarations obligatoires pour qu'un navire pénètre dans la zone portuaire, conformément aux réglementations
Déclarations obligatoires internationales, européennes, nationales et locales. Par exemple, obligatoire par la Convention FAL : passagers et
équipage,
navire, fret, contrôle aux frontières, déchets, sécurité, santé, informations sur les voyages sont requis.
Comme toute entreprise, les ports fournissent des services aux entreprises (compagnies maritimes, etc.) et
Données
réservent différents services à leurs prestataires (prestataires ICT par exemple) : financiers et commerciaux sont
commerciales et
des échanges (transfert
financières d'argent, facturation, etc.).
Grâce aux données satellitaires et de navigation (AIS, SafeSeaNet, etc.), les différentes parties prenantes
Données de navigation
partagent les données de navigation avec le port (position GPS, informations sur les routes maritimes, etc.).
Les autorités portuaires et d'autres autorités nationales contrôlent et délivrent l'autorisation de mouvement des
Contrôle et autorisation
navires et
25
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
des cargaisons.
Afin de planifier et de gérer tous les services (services maritimes, services logistiques, etc.), des données
Données opérationnelles
opérationnelles sont partagées entre les acteurs portuaires.
26
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
Personnes
Personnel de l’autorité Personnels permanents ou temporaires, statuaires ou contractuels, employés par l’autorité portuaire.
portuaire
Personnels des sociétés opérant en permanence dans les ports emploient des personnes, en tant que personnel
Personnel commercial
permanent statuaire (opérateurs de terminaux, prestataires de services permanents, etc.).
Personnels employés par les autorités portuaires et les entreprises privées, opère dans différents systèmes pour
Personnel informatique / OT
mettre en
place de nouvelles solutions et les maintenir (RSSI, CIO, administrations, etc.).
Personnels externes des installations portuaires, autre personnel de service (tiers), personnel temporairement
Personnel externe
autorisé (entrepreneurs, chauffeurs de taxi, etc.).
27
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
Lorsqu'un navire arrive dans un port, les membres de l'équipage et leur capitaine peuvent utiliser les différentes
Équipages de navires
installations
du port (restaurant, bar, etc.).
Passagers Passagers qui traversent les zones portuaires pour monter dans les navires de croisière et les ferries.
Grand public Généralement, certaines zones portuaires sont ouvertes au public (tourisme, recherche, etc.).
28
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
29
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
32
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
Réputation ternie, Aujourd'hui, les ports sont dans un écosystème international extrêmement compétitif : le moindre incident ou problème sur
perte de ses activités et opérations peut nuire à sa réputation et perdre des clients qui pourraient diriger leur trafic vers les ports
compétitivité voisins.
Le port étant l'interface directe entre l'arrière-pays et la mer, une catastrophe environnementale dans les zones portuaires
Catastrophe
peut avoir des conséquences désastreuses sur les populations, la faune et la flore et les infrastructures humaines, à très
environnementale
longue distance (marée noire,
explosion de gaz, pollution des océans), naufrages, etc.).
33
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
Enfin, les principales menaces auxquelles les écosystèmes portuaires peuvent être
exposés sont décrites dans la figure 6 (source ENISA) et détaillées dans le tableau 4.
34
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
Espionnage
Mode
opératoire Sous-catégorie Description & objectifs poursuivis
(exemple)
Détournement Relayer et modifier éventuellement la communication entre deux parties qui croient qu'elles communiquent
Attaque de session directement entre elles.
de Exploiter les vulnérabilités des systèmes pour obtenir les mêmes droits d'accès que les clients ciblés
l’homme Piratage d’une
(cookies
du milieu session
d'authentification par exemple).
(« Man-in- Interception Intercepter la communication entre le port et les différentes parties prenantes (radio, échanges entre
the-middle ») des émissions navires et port,
& etc.).
Interceptions Interception Ecouter les communications ou analyser les systèmes pour intercepter des données sensibles à des fins
de données d'espionnage
sensibles d'entreprise, d'espionnage d'État ou de criminalité et d'espionnage piraté.
Reconnaissanc
Scanner le réseau passivement jusqu’à trouver une porte d'entrée qui permette à l’attaquant de révéler des
e du réseau
- informations sur le réseau du port interne (ports ouverts, protocoles utilisés, etc.). Avec cette connaissance,
et
l'attaquant opère pour comprendre les systèmes ciblés.
manipulation
du trafic
Défaillances et
Exploiter les vulnérabilités - liées à des dysfonctionnements ou des défaillances - comme une porte d’entrée
Attaque dysfonctionnements
vers différents systèmes (navigation, communication et autres systèmes) d'autres acteurs portuaires
par point des systèmes des
(navires, autres acteurs du transport, etc.) liés à des systèmes portuaires.
d'eau autres
parties prenantes
Mode
Sous-catégorie Description & objectifs poursuivis
opératoire
(exemple)
34
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
Altérer l’apparence d’un site Internet et démontrer de la part de l’attaquant qu’il a pu prendre le contrôle
Injection de
du serveur, et donc, accéder potentiellement à des données sensibles (personnelles, bancaires,
code HTML, Défiguration
commerciales, etc.) : ce qui porte directement atteinte à l’image et à la crédibilité du propriétaire du site
SQL,
auprès de ses utilisateurs, clients, usagers,
Javascript partenaires, actionnaires, etc.
35
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
Cibler différents systèmes : RGPS, réseau, applications, IoT, etc… Les objectifs d'une telle attaque sont
Déni de d'entraîner une indisponibilité du système et une interruption de la production. La plupart des attaques DoS
-
service sont causées par plusieurs sources en même temps (par exemple, un grand nombre de demandes envoyées
(DoS) par différents systèmes en
même temps) envoyées au système cible, également appelé déni de service distribué (DDoS).
Obtenir un accès non autorisé aux ressources d'une organisation (c’est-à-dire périphériques, etc.) à travers
Force brute - de nombreuses tentatives pour deviner la clé ou le mot de passe correct. Si les systèmes de port
permettent l'utilisation
de mots de passe simples ou par défaut, ils peuvent être particulièrement vulnérables à ce type d'attaques.
Cybercriminalité
Mode
Sous-catégorie Description & objectifs poursuivis
opératoire
(exemple)
Utiliser une interaction humaine pour obtenir ou compromettre des informations sur l'organisation et les
processus portuaires : en posant des questions, en se faisant passer pour une autre personne, l'attaquant
- peut rassembler les informations dont il a besoin pour infiltrer les systèmes portuaires. L'attaquant peut
demander plusieurs sources, en s'appuyant sur les informations qu'il peut obtenir de la première source pour
ajouter à sa crédibilité ou en envoyant
des liens malveillants.
Ingénierie Utiliser des mels ou des sites Web malveillants pour solliciter des informations personnelles en se faisant
sociale passer pour une organisation digne de confiance. Les attaques par phishing sont les attaques d'ingénierie
Hameçonnage
sociale les plus courantes. D'autres formes existent : attaque par vishing (via la communication vocale),
(phishing)
attaque par smishing
(exploitation de SMS, texte, messages contenant un lien malveillant, etc.).
Utiliser délibérément l’identité d’une personne impliquée dans l'écosystème portuaire, par exemple en
volant des informations d'identification, pour obtenir un gain financier, des informations critiques, un accès
Usurpation d'identité
non autorisé à un système, etc. La fraude du « faux président », en utilisant l'identité de personnes puissantes
dans l'écosystème, peut
avoir un impact sérieux.
36
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
Logiciels - Faire pénétrer des logiciels malveillants dans les systèmes portuaires qui peut conduire à des actions
malveillan indésirables et non autorisées, exploitant pour certaines d'entre elles des vulnérabilités pour élever les
ts privilèges qui peuvent endommager les systèmes IT / OT du port, l'infrastructure, l'intégrité des données et
(Malware) les opérations. Il existe différents types de logiciels malveillants créés à des fins différentes : rançongiciels,
virus, chevaux de Troie, logiciels espions,
attaques par injection ou application Web, etc.
37
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
Cibler spécifiquement le port, de manière sophistiquée et malveillante, pour infiltrer ses systèmes à des fins
différentes. Par exemple, la menace persistante avancée (APT) est une attaque furtive, diffuse et continue
Attaques ciblées
sur une longue période de temps conçue pour intégrer du code malveillant dans des systèmes ciblés qui
effectuent des tâches
spécifiques sans être remarqué.
Dérober, par différents moyens, des données sensibles (données personnelles, données de suivi de fret,
Abus et vol de
données données opérationnelles, etc.) et / ou abuser des certificats utilisés dans les opérations portuaires
(certificats de navire, etc.).
Manipulation Manipuler des données (données financières, données de navigation, données de fret, opérations, etc.) dans
des données les
systèmes pour atteindre ses objectifs.
Signaux de
Manipuler des systèmes de géolocalisation et de navigation pour modifier la trajectoire d'un navire,
géolocalisation
- provoquer des accidents par exemple. Des attaques récentes utilisant l'usurpation GPS et la falsification AIS
usurpation /
montrent que cette menace est importante et doit être prise en compte, en particulier dans le contexte
brouillage
maritime.
38
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
Attaques physiques
Contourner les systèmes de contrôle d'accès pour pénétrer dans les zones portuaires, accéder à un navire ou à d'autres
Accès non autorisé véhicules ou dispositifs terminaux OT (grues, etc.). De plus, des véhicules et des navires non autorisés peuvent également
entrer dans les zones
portuaires.
Fraude Tromper intentionnellement la victime en violant le droit civil à différentes fins.
Chercher à obtenir par violence, menace de violences ou contrainte soit une signature, un engagement ou une
Extorsion
renonciation, soit la ré -
vélation d'un secret, soit la remise de fonds, de valeurs ou d'un bien quelconque.
Adopter un comportement malhonnête ou illégal visant des personnes puissantes dans un écosystème (par exemple dans
Corruption
l’écosystème
portuaire) aux fins d’obtenir de leur part un quelconque avantage.
Hacktivisme Utiliser la technologie pour promouvoir un programme politique ou un changement social.
Voler des appareils mobiles (téléphone portable, radios, etc.), du matériel fixe, des sauvegardes, des documents imprimés
Vol
(liste des marchandises, navires, etc.), du fret (marchandises, fret, conteneur, etc.).
Détériorer ou détruire volontairement des actifs portuaires sans raison particulière, tels que les systèmes informatiques et
Vandalisme
OT
portuaires, les navires ou autres véhicules, et le fret (marchandises, fret, conteneur, etc.).
Détériorer ou détruire délibérément les systèmes et infrastructures portuaires afin d'affaiblir l'écosystème portuaire
(principalement à des fins militaires, politiques ou idéologiques). Le sabotage peut être externe (de personnes qui ne sont
Sabotage
pas directement impliquées dans les opérations portuaires) ou interne (de personnes directement impliquées dans les
opérations portuaires, comme des employés
irrités, etc.).
Terrorisme Utiliser la violence intentionnelle, généralement contre des civils, à des fins politiques, idéologiques et religieuses
Piraterie, criminalité Développer des organisations illégales et non autorisées qui enfreignent la loi pour maintenir un pouvoir et des activités
illégale, illégales (trafic
mafia de drogue, vol de marchandises, etc.).
39
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
Dommages involontaires
Utilisation L’utilisation d’une source non fiable pour les systèmes de port (mise à jour défectueuse, logiciel malveillant, etc.) peut
d'une source non fiable entraîner un dysfonctionnement ou une propagation des systèmes. L'attaque NotPetya en est un parfait exemple.
Même avec de bonnes intentions, si les administrateurs des systèmes portuaires ne sont pas suffisamment formés et
Administration erronée
informés des impacts de telles erreurs, une administration erronée peut avoir un impact important sur les systèmes
des systèmes IT / OT
portuaires et, si elles sont
critiques, directement sur le port opérations.
Résultat Afin de tester le niveau de sécurité des systèmes portuaires, le port peut ordonner des tests de pénétration qui, s'ils ne
des tests de pénétration sont pas
effectués correctement, pourraient endommager les systèmes.
Par erreur, les employés ou autres parties prenantes accédant aux systèmes portuaires peuvent supprimer des informations
Suppression de données
critiques
qui pourraient avoir un impact sur les opérations portuaires (par exemple, les informations de fret ou de navigation).
Les systèmes portuaires sont gérés et maintenus par différents prestataires de services : si leurs accès ne sont pas
Défaillance de sécurité
correctement contrôlés, les failles de sécurité de la tierce partie peuvent affecter directement les systèmes portuaires (en
tierce
cas de maintenance par
exemple).
Les employés peuvent partager, par erreur ou par ignorance, des données sensibles si la solution de sensibilisation et de
Fuite d'informations
protection des données est insuffisante.
40
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
Défaillances et dysfonctionnements
Défaillances ou Une défaillance ou un dysfonctionnement des systèmes informatiques ou OT ou des appareils terminaux peut parfois se
dysfonctionnements des produire, en particulier si la maintenance et la conformité aux manuels et instructions pendant l'exploitation ne sont pas
systèmes ou des assurées, ou si la bonne le
dispositifs fonctionnement n'est pas mesuré et contrôlé régulièrement.
Exploitation des Les systèmes et les appareils peuvent présenter des vulnérabilités qui pourraient être exploitées par des pirates, en
vulnérabilités des particulier si les systèmes ou les appareils ne sont pas corrigés à temps ou régulièrement surveillés alors que des mesures
systèmes correctives sont mises en
ou des appareils place entre-temps.
Défaillances et Les systèmes (navigation, communication et autres systèmes) d'autres acteurs portuaires (navires, autres acteurs du
dysfonctionnements transport, etc.) peuvent présenter des dysfonctionnements ou des défaillances pouvant entraîner un ralentissement voire
des systèmes des un arrêt des opérations portuaires. De plus, si ces systèmes sont liés à des systèmes portuaires, un attaquant peut exploiter
autres les vulnérabilités de ces systèmes
parties prenantes comme une porte d'entrée vers des systèmes portuaires.
Principaux systèmes Le port dépend de différents systèmes d'approvisionnement (électricité, carburant, etc.) qui sont essentiels pour assurer
d'approvisionnement les opérations portuaires : en cas de panne ou d'interruption de ces systèmes, les opérations portuaires seront ralenties
voire arrêtées.
Échec ou interruption Le port dépend de nombreux fournisseurs de services, et certains d'entre eux peuvent être critiques pour les opérations
des fournisseurs de portuaires.
services Une défaillance ou une interruption de ces fournisseurs de services peut avoir un impact important sur les opérations
portuaires.
Pannes
Les pannes sur l'alimentation principale peuvent avoir des impacts importants sur les opérations portuaires : l'arrêt de
Pannes principales
l'alimentation en carburant conduit à bloquer les navires dans le port, les pannes sur les réseaux électriques impactent les
d'alimentation
systèmes IT et OT (ex. :
aucune communication possible entre les acteurs portuaires, le stockage frigorifique ne peut plus conserver les produits
surgelés).
41
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
Les réseaux portuaires sont essentiels pour les opérations portuaires et la communication entre les différents acteurs
Panne de réseau (autorité portuaire, opérateurs de terminaux, navires, autres autorités, etc.) : les défaillances des réseaux portuaires
peuvent affectent
fortement leurs opérations.
Un incident peut se produire à un moment où les employés du port ne sont pas présents et peut avoir des conséquences
Absence de personnel
importantes sur les systèmes et les infrastructures portuaires, en particulier dans le cas d'une automatisation croissante
des processus portuaires.
42
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
Les principaux enjeux auxquels les ports sont actuellement confrontés pour mettre en • Besoin de trouver un juste équilibre entre l'efficacité commerciale et
œuvre les mesures de cybersécurité sont les suivants : la cybersécurité, notamment en garantissant la continuité des services
tout en préservant la sécurité des TI et des OT, comme la déconnexion
• manque de culture numérique dans l'écosystème portuaire, dans lesquels des systèmes critiques et la mise à jour des systèmes sans aucun
certaines parties concernées sont encore conservatrices. En effet, de impact commercial.
nouvelles tendances telles que la numérisation et les initiatives IoT
entrent en collision avec la nature conservatrice de l'industrie maritime, • Héritage de certains systèmes et pratiques : en particulier en ce qui
mais sont de plus en plus appliquées. Dans ce contexte, les besoins de concerne les systèmes de gestion des données de navigation et les
cybersécurité et les meilleures pratiques de ces initiatives ne sont souvent systèmes OT qui peuvent être très anciens et vulnérables et pour
pas considérées comme prioritaires par les parties prenantes qui se lesquels des mesures de cybersécurité supplémentaires doivent être
penchent d'abord sur l'adoption des technologies ; appliquées.
• manque de sensibilisation et de formation concernant la cybersécurité : • Absence d'exigences réglementaires en matière de cybersécurité : la
l'écosystème des ports appréhende en premier lieu les enjeux de sécurité directive SRI / NSI est une première base pour mettre en œuvre des
et de sûreté « physiques », alors que les systèmes d’information et de mesures de cybersécurité, mais ne concerne que certains des acteurs
communication sous-tendent de nouveaux défis en matière de du secteur maritime. Cela n'est pas encore suffisant pour garantir un
cybersécurité que les acteurs portuaires n'anticipent et ne maîtrisent niveau de cybersécurité adéquat sur l'ensemble de l'écosystème
souvent pas pleinement ; portuaire et pour permettre le dégagement de budgets suffisants pour
répondre aux exigences.
• manque de temps et de budget alloué à la cybersécurité : en raison d'une
mauvaise sensibilisation, en particulier de la direction en ce qui concerne • Difficulté à se tenir au courant des dernières menaces, notamment au
les défis de la cybersécurité. vu de la diversité des acteurs opérant dans les ports, des processus,
des systèmes mis en place et utilisés et de la croissance rapide des
Complexité de l'écosystème portuaire du fait du nombre et de la diversité des acteurs
impliqués dans les opérations portuaires : les acteurs au sein d'un port peuvent être innovations dans l'écosystème portuaire (solution proposée :
nombreux (jusqu'à plusieurs centaines pour les plus grands ports). s’abonner à la veille ANSSI).
Cet écosystème est construit à partir d'entreprises de différentes tailles, avec différents
niveaux de capacités de cybersécurité. • Complexité technique des systèmes informatiques et industriels du
port : les parties prenantes du port utilisent différents systèmes qui
sont développés, gérés et entretenus par différentes équipes ou
entités. Par exemple, ils peuvent être développés soit par des équipes
informatiques portuaires, soit par des tiers ou par des prestataires
43
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
informatiques. De plus, ils peuvent être basés sur différentes technologies. • Nouveaux cyber-risques résultant de la transformation numérique des
Enfin, les équipes gérant la sécurité des systèmes IT et OT peuvent également
être différentes. Par conséquent, la cartographie de tous les systèmes ports : les ports lancent actuellement plusieurs projets de digitalisation
portuaires est difficile à définir et à maintenir dans le temps. des processus portuaires, notamment avec l'émergence du concept
SmartPort, les cyber-risques devraient être pris en compte dans les
• Convergence et interconnexion informatique et industriels : les phases initiales de ces projets.
systèmes industriels, généralement plus vulnérables que les systèmes
informatiques, sont généralement protégés car ils sont séparés des
systèmes et réseaux informatiques. Mais, de plus en plus, les systèmes
3.3 Scénarios types de cyberattaques
et réseaux informatiques et industriels deviennent de plus en plus
Sur la base de la description des actifs et des menaces répertoriées dans les sections
dépendants et interconnectés, exposant les systèmes industriels à des 2.1 et 3.1, plusieurs scénarios types de cyberattaques ont été définis en corrélation avec
risques plus élevés. les sources de menaces et les possibles impacts sur les actifs portuaires, énumérés et
détaillés dans la section 3.1. Chaque scénario est associé à une liste de mesures de
sécurité, détaillée plus loin dans le chapitre 4, qui atténuera le risque que ce scénario
• Défis de la chaîne d'approvisionnement. Un certain nombre de défis se produise. Les mesures de sécurité sont formalisées sous la forme, pour prendre un
liés à la cybersécurité sont associés à la chaîne d'approvisionnement : exemple, de « TP-01 : segmentation du réseau », avec « TP » comme groupe de
manque de certifications de cybersécurité pour les produits et services mesures (dans ce cas « Pratiques techniques »), le numéro associé (dans ce cas « 01
») et le nom de la mesure (dans ce cas « Segmentation du réseau »).
portuaires, risques de sécurité liés à l'accès à distance des fournisseurs
aux réseaux / systèmes portuaires, longs cycles de correction pour
certains types de systèmes (par exemple ICS), hétérogénéité et Scénario A - Compromission de données critiques pour voler
nombre élevé de fournisseurs, difficulté de changer les services des des marchandises de grande valeur ou autoriser le trafic
fournisseurs. Les entrepreneurs n'ont pas beaucoup de contrôle sur le illégal par le biais d'une attaque ciblée
niveau de cybersécurité de leurs fournisseurs et, par conséquent, sur
les cyberrisques qu'ils impliquent (attaques de la chaîne Ce scénario est une attaque sophistiquée et ciblée contre les systèmes portuaires
d'approvisionnement). (menace persistante avancée) : les attaquants doivent avoir une connaissance
approfondie des systèmes et réseaux portuaires (ingénierie sociale, analyse du réseau),
• Fortes interdépendances entre les systèmes et services portuaires et des processus portuaires et de l'infrastructure portuaire (intrusion physique) pour
effectuer des cargaisons et vol de conteneurs. Un exemple d'une telle attaque s'est
les services externes d'autres secteurs (par exemple l'énergie) qui produite dans l'un des terminaux portuaires d'Anvers en Belgique.
introduisent des risques de cybersécurité d'interdépendance.
44
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
Impacts
Actifs Acteurs
touchés impliqués
Systèmes communautaires de fret Opérateurs de terminaux
(CCS) Réseaux Police
Courriel Compagnies de transport maritime et de fret maritime
Personnes Expéditeurs et destinataires
Détails de l’attaque
D'une part, les attaquants identifient et récupèrent les données d'authentification (informations d'identification) pour accéder à des systèmes utiles :
• les attaquants rassemblent des informations sur les systèmes portuaires par le biais de l'ingénierie sociale ;
• ensuite, ils identifient les systèmes ciblés utilisés pour la gestion des cargaisons et des conteneurs et l'identité des personnes qui les utilisent
;
• une fois les systèmes et leurs opérateurs / utilisateurs identifiés, les attaquants lancent des attaques de phishing pour récupérer les
informations d'identification pour accéder à ces systèmes.
D'autre part, les attaquants installent des composants pour accéder à distance au réseau portuaire et contourner la sécurité du réseau :
• les attaquants scannent les réseaux portuaires pour trouver des vulnérabilités afin de les exploiter et recueillir des informations ;
• ils installent, si nécessaire, par intrusion physique, des composants pour accéder à distance aux réseaux portuaires (point d'accès sans fil) ;
• pour assurer un accès constant et s'adapter à chaque réseau et infrastructure changements à long terme, ils espionnent les réseaux.
Les attaquants ont désormais accès au suivi du fret systèmes et autres systèmes portuaires pertinents et ils peuvent accéder aux informations
critiques sur les conteneurs qu'ils veulent voler (localisation, contenu, code de ramassage, etc.) de l'extérieur des installations portuaires.
Les attaquants peuvent alors voler la cargaison avant la date de retrait officielle.
Principales mesures de
cybersécurité
OP-10 : programme de sensibilisation à la sécurité. TP-01 : segmentation du réseau.
OP-16 : création d'un centre d'opérations de cybersécurité (SOC). TP-02 : analyses régulières du réseau.
TP-08 : authentification multifacteur.
45
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
Figure 7 : Compromis de données critiques pour voler des marchandises de grande valeur ou
autoriser un scénario de trafic illégal
46
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
47
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
Impacts
Réputation ternie Perte et coûts financiers Dommages aux systèmes ou, pire, destruction
Actifs Acteurs
touchés impliqués
Arrêt des opérations portuaires, paralysie portuaire Actifs concernés Tous acteurs du port
Parties prenantes impliquées
Systèmes
informatiques
Systèmes et réseaux
OT Terminaux OT
Personnes
Informations et données
Détails de l’attaque
Le port met à jour l'un de ses serveurs avec une mise à jour compromise (ransomware) - d'autres moyens peuvent être utilisés pour introduire un
ransomware sur les systèmes portuaires, par exemple l'ingénierie sociale (phishing ou USB-drop par exemple) ou une mauvaise ségrégation du réseau
(large exposition à Internet).
Le ransomware se propage dans le réseau du port, en utilisant des vulnérabilités non corrigées et un manque de segmentation du réseau. Il est exécuté
sur les systèmes et appareils du port et dérobe les informations d'identification stockées. Il exécute un mécanisme d'élévation des privilèges, en
utilisant une mauvaise séparation des comptes hautement privilégiés. Il se propage dans d'autres parties du réseau du port par le même mécanisme.
Il infecte les systèmes et les appareils cryptés ne peuvent plus être utilisés.
Une rançon est requise alors que tous les systèmes et appareils sont en panne.
Principales mesures de
cybersécurité
OP-01 : Stratégie de protection des points d'extrémité. TP-01 : Segmentation du réseau
OP-05 : Définir un processus de gestion des vulnérabilités. TP-13 : Gestion des comptes privilèges (« PAM »).
OP-16 : Création d'un centre d'opérations de cybersécurité (SOC). TP-15 : Gestion anti-malware et anti-virus.
TP-23 : Processus de gestion des mises à jour.
PS-15 : Assurer la cyber résilience du port systèmes. TP-24 : Source de vérification des mises à jour.
PS-17 : définir une organisation de gestion de crise.
48
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
Étant donné que ces systèmes sont différents d'un port à l'autre, il peut y avoir plusieurs
façons de configurer cette attaque: par exemple, si les systèmes de communauté de
port sont exposés via une application Web, l'attaquant peut exploiter les vulnérabilités
courantes des applications Web ; s'il s'agit d'une application développée en interne par
des développeurs employés par le port et si des règles de développement de sécurité
standard ne sont pas appliquées, des vulnérabilités spécifiques peuvent être exploitées,
etc.
49
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
Impacts
Accident
Perte financière Perturbation des opérations portuaires
(lié à la gestion des marchandises
dangereuses)
Actifs Acteurs
touchés impliqués
Systèmes communautaires portuaires (PCS) Autorité portuaire
Systèmes financiers · ERP Opérateurs de terminaux portuaires
Détails de l’attaque
Selon l'architecture du PCS et l'exposition du réseau: o Si le PCS est exposé à des tiers via une interface Web dédiée, l'attaquant peut exploiter les
vulnérabilités courantes des applications Web pour avoir accès au PCS (injection SQL « langage de requête structuré », attaque par force brute,
exploitation de mauvaise ségrégation des droits d'accès, etc.).
• Si le PCS est automatiquement connecté à des systèmes externes via des protocoles d'échange de données tels que des protocoles API ou EDI,
l'attaquant peut organiser une attaque de type intermédiaire en interceptant les échanges de données et en les modifiant dans le cas où les
échanges de données ne sont pas suffisamment sécurisés.
• Si un accès direct au PCS lui-même hors du réseau portuaire est possible, l'attaquant peut exploiter des mesures de sécurité de réseau faibles
pour avoir un accès direct à ce système et utiliser des informations d'identification qu'il a pu avoir volées via l'ingénierie sociale.
Une fois que l'attaquant a un accès non autorisé au PCS avec suffisamment de droits d'accès, il peut manipuler les données directement sur le PCS
(modification des opérations portuaires, vol de données critiques, suppression de données sur certaines opérations, etc.).
La perte de l'intégrité des données PCS a de nombreuses conséquences: chaos dans les opérations portuaires, perte financière potentielle pour le
port qui perd des informations sur les opérations l'empêchant de facturer les opérations effectuées ou même accident si des marchandises dangereuses
liées aux données sont manipulées ou rendues indisponibles
Principales mesures de
cybersécurité
PS-09 : méthodologie du projet, y compris les évaluations de sécurité TP-01 : segmentation du réseau.
et les points de contrôle. TP-05 : stratégie de gestion des identités et des accès (« IAM »).
TP-08 : authentification multifacteur.
OP-11 : contrôle strict des accès des tiers. TP-19 : mécanismes sécurisés pour les échanges de machine à machine.
OP-16 : création d'un centre d'opérations de cybersécurité (SOC). TP-25 : systèmes de corrélation et d'analyse des journaux.
OP-17 : analyses régulières du réseau.
OP-18 : sécurité du périmètre avec politique de filtrage.
50
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
51
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
52
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
Figure 10 : Scénario de compromission du système OT créant un accident majeur dans le scénario des zones portuaires
53
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
Impacts
Arrêt des opérations portuaires, paralysie Dommages aux systèmes, ou pire, Blessures ou décès humains
portuaire destruction
Pertes et coûts financiers Réputation ternie et perte de compétitivité Catastrophe environnementale
Actifs Acteurs
touchés impliqués
Systèmes et réseaux OT Autorité portuaire
Fin OT appareils Opérateurs de terminaux portuaires
Infrastructure mobile Fournisseurs de services
Infrastructure fixe Chaîne de livraison
Personnes
Détails de l’attaque
Un ordinateur portable de maintenance accédant aux systèmes de contrôle OT est compromis avec un code malveillant (via une clé USB ou un
courrier électronique compromis, téléchargement de logiciels malveillants à partir d'Internet, etc.).
Le code malveillant se propage sur les réseaux OT, puis l'OT systèmes lorsque l'ordinateur portable s'y connecte.
Si les systèmes de contrôle industriel (ICS) sont sophistiqués (IoT, serveur distant, etc.), les attaquants peuvent déployer des mécanismes pour
commander l'ICS à distance.
Sinon, le code ICS est modifié pour exécuter des commandes prédéfinies contenues dans le code
malveillant. Les dispositifs terminaux OT, tels que les grues ou les ponts, se déplacent de manière
irrégulière ou inattendue.
Cela peut provoquer un incident de sécurité et de sûreté entraînant des dommages ou la destruction de l'infrastructure portuaire, des blessures ou la
mort, etc.
Principales mesures de
cybersécurité
OP-01 : définir une stratégie de protection des points finaux. TP-11 : politique d'installation et de configuration.
OP-09 : développer des cours de formation spécifiques et obligatoires TP-14 : réseau d'administration dédié.
sur la
cybersécurité pour certaines populations clés.
54
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
OP-12 : définir clairement tous les aspects pertinents du partenariat TP-25 : systèmes de corrélation et d'analyse des journaux.
avec des
tiers, inclure des mesures de sécurité.
OP -16 : créer un centre d'opérations de cybersécurité TP-30 : segmentation du réseau entre l'informatique et Systèmes OT.
OP-21 et OP-22 : protéger physiquement les systèmes informatiques et TP-29 et TP-31 : prise en compte des systèmes OT et IoT dans toutes
OT. les mesures de sécurité et mettre en place des mesures de sécurité
spécifiques.
55
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et
est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques
comme en matière de sécurité du numérique. EBIOS RM permet d’apprécier les risques
numériques et d’identifier les mesures de sécurité à mettre en œuvre pour les maîtriser.
Elle permet aussi de valider le niveau de risque acceptable et de s’inscrire à plus long
terme dans une démarche d’amélioration continue.
Enfin, cette méthode permet de faire émerger les ressources et arguments utiles à la
communication et à la prise de décision au sein de l’organisation et vis-à-vis de ses
partenaires.
56
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
L'élaboration de mesures de cybersécurité pour les ports constitue l'un des points
centraux de ce guide. L'objectif est de fournir des lignes directrices et des
recommandations aux acteurs de l'écosystème portuaire pour les aider à prévenir,
notamment via la réalisation d’auto-diagnostics, ou à répondre correctement aux
cyberattaques potentielles sur les systèmes portuaires.
Pour définir la catégorisation de ces mesures, le guide s'est appuyé sur les scénarios
types de cyberattaque identifiés dans la partie 3.3 ainsi que sur les mesures de sécurité
des politiques et normes énumérées à la section 1.1 et les cadres communs pour la
cybersécurité comme le Document de référence sur les mesures de sécurité pour les
opérateurs de services essentiels, ISO 27001 ou NIST.
Enfin, une liste de 22 domaines de sécurité a été définie pour classer toutes les mesures
de sécurité en relation avec les ports. Pour organiser les domaines de manière logique,
ils ont été classés en trois groupes principaux :
• politiques et gouvernance
4. IDENTIFIER LES MESURES •
•
pratiques et processus organisationnels
pratiques et mesures techniques
DE CYBERSÉCURITÉ Il existe 42 règles d’hygiène de l’ANSSI qui constituent une liste de règles les plus
simples et les plus élémentaires mais essentielles pour assurer la sécurité de tout
système d’information.
ADAPTÉES Elles sont à mettre en parallèle avec les 23 règles de sécurité imposées aux systèmes
d’information essentiels des opérateurs de services essentiels sont d’un niveau
d’exigence nettement plus élevé.
Étant donné qu’une partie du public cible de ce guide est éligible aux dispositions de la
directive SRI / NIS en tant qu'opérateurs de services essentiels, les mesures suivantes
ont été élaborées pour correspondre aux mesures proposées dans le document de
référence sur les mesures de sécurité pour les opérateurs de services essentiels.
57
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
Néanmoins, quelques exceptions existent, notamment la sécurité du cloud, la sécurité PS Rédiger et mettre en œuvre une politique de sécurité des systèmes
machine à machine et la sécurité des systèmes de contrôle OT et industriels, ce qui 01 d'information (ISSP) qui décrit tous les moyens et procédures organisationnels
indique qu'une approche plus sectorielle peut être pertinente pour répondre aux et techniques, y compris les sujets liés à l'environnement OT. Cet ISSP doit être
spécificités du secteur portuaire approuvé par la haute direction du port afin de garantir l'approbation de haut
niveau de la politique. Les éléments clés de l'ISSP peuvent être intégrés dans
Le code couleur utilisé ci-après est donc proposé à titre indicatif pour aider le lecteur à le plan de sûreté de l'installation portuaire requis par le code ISPS.
se situer entre ces deux niveaux d’exigence.
Appliquer la gouvernance de la sécurité des environnements IT et OT via l'ISSP
VERT : mesure ayant correspondance parmi les 42 règles du guide d’hygiène PS en décrivant les rôles et les responsabilités de chaque partie prenante
informatique de l’ANSSI et parmi les 23 règles du texte de transposition de la 02 (exploitant, opérateurs de terminaux, prestataires, etc.).
Directive NIS.
ORANGE : mesure non formulée de manière explicite dans les 42 règles guide
d’hygiène informatique de l’ANSSI, mais parmi les 23 règles du texte de Partager cet ISSP avec toutes les parties prenantes impliquées dans les
PS opérations portuaires ou, si plus pertinent, une version allégée sous-tendant les
transposition de la Directive NIS. responsabilités de chaque partie envers la cybersécurité au niveau du port.
BLEU : mesure ayant correspondance parmi les 42 règles guide d’hygiène
03
Examiner annuellement la PSSI en tenant compte des résultats des tests de
informatique de l’ANSSI mais non parmi les 23 règles du texte de PS cybersécurité et de l'analyse des risques pour lutter contre les nouvelles
ROUGE : mesure non formulée de manière explicite dans les 42 règles du menaces et les nouveaux risques
transposition de la Directive NIS. 04
guide d’hygiène informatique de l’ANSSI ni parmi les 23 règles du texte de
transposition de la Directive NIS. 4.1.2 Gestion des risques et des menaces
4.1 Politiques et gouvernance
Mesures de cybersécurité pour identifier et gérer en permanence les risques et
Il est essentiel que les ports définissent les politiques et la gouvernance en matière d'IT
menaces liés à l'écosystème portuaire.
et d'OT, en appliquant les meilleures pratiques de cybersécurité, en particulier pour la
plupart des actifs critiques, avec une approche basée sur les risques.
Adopter une approche fondée sur les risques pour élaborer la stratégie de
cybersécurité des ports et mettre en place un processus d'amélioration continue
4.1.1 Politique et organisation de la sécurité pour s'assurer que les risques identifiés sont maîtrisés et que les nouveaux
risques sont correctement identifiés en temps opportun. Veiller à ce que les
Mesures de cybersécurité pour mettre en œuvre et maintenir à jour une politique de cyber-risques identifiés soient pris en compte dans les plans de sûreté et de
sécurité du système d'information (PSSI). PS sécurité pour aligner la cybersécurité sur la sécurité et la sûreté physique (en
05 particulier, grâce à l'évaluation de sûreté des installations portuaires requise par
le code ISPS).
58
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
Effectuer et mettre à jour régulièrement l'analyse des risques pour identifier les PS Résoudre les problèmes liés à la confidentialité sur la base des réglementations
risques et les menaces liés à l'écosystème portuaire. En particulier, une analyse locales et internationales applicables, telles que le règlement général sur la
des risques doit être menée pour les nouveaux projets (initiatives SmartPort 10
PS protection des données (RGPD).
telles que Big Data, IoT, blockchain, etc.).
06
Lancer un projet de classification des données pour identifier les données
Mettre en place des indicateurs de sécurité et des méthodes d'évaluation pour critiques pour les opérations portuaires ainsi que les données personnelles et
PS évaluer la conformité des systèmes et processus portuaires à l'ISSP et la pour les protéger en conséquence et pour cartographier les flux de données,
performance de la gestion des risques, en impliquant plusieurs parties PS en particulier pour les données personnelles et les données opérationnelles
07 prenantes le cas échéant. 11 relatives aux navires, aux marchandises dangereuses et au fret.
Mettre en place un processus de renseignement sur les menaces pour surveiller 4.1.4 Inventaire et gestion des actifs
en permanence les vulnérabilités, identifier les nouveaux risques et menaces
et déployer des actions pour les atténuer.
PS Mesures de cybersécurité concernant la cartographie des écosystèmes, y compris les
Cette mesure peut être améliorée en développant des initiatives collaboratives actifs des ports et les actifs de tiers interagissant avec les actifs du port.
08 privées-publiques de partage d'informations sur les renseignements sur les
menaces au niveau européen. Utiliser des outils centralisés pour l'inventaire et la gestion des actifs et assurez-
PS vous de les maintenir à jour (applications, plates-formes logicielles, réseaux,
4.1.3 Sécurité et confidentialité dès la 12
composants réseau, serveurs, périphériques physiques, systèmes industriels,
composants d'administration, etc.).
conception
Définir une politique concernant les périphériques et logiciels autorisés pour
PS garantir que seuls des composants fiables sont introduits dans le réseau de
Mesures de cybersécurité qui doivent être appliquées dès les premières étapes du
13 ports.
développement des systèmes et pendant le cycle de vie du développement afin
d'augmenter par conception les niveaux de sécurité de toutes les solutions et
Utiliser des outils centralisés pour surveiller les différents actifs en les adaptant
applications, pour protéger les données critiques et garantir la confidentialité des
PS en fonction des spécificités et des risques associés (par exemple surveillance
données personnelles.
passive pour les systèmes industriels) et détecter les actifs non autorisés.
14
Développer une méthodologie de projet comprenant des évaluations et des
points de contrôle de sécurité, y compris pour les projets agiles (analyse des
risques, examen de la sécurité de l'architecture, tests de sécurité, approbation
PS de la sécurité, etc.) pour les projets nouveaux et existants, compte tenu de la
criticité et de l'exposition du système. Plus précisément, inclure fortement les
09 problèmes de cybersécurité dans les projets SmartPort, de la conception à la
mise en œuvre.
59
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
Assurer la cyber-résilience des systèmes portuaires en définissant des objectifs Définir une stratégie de protection des terminaux pour surveiller les terminaux
et des directives stratégiques concernant la continuité des activités et la gestion des ports et renforcer leur sécurité en mettant en œuvre des outils et des
PS de la récupération et mettre en place les services et processus clés associés mécanismes de sécurité tels que l'antivirus, le cryptage, la gestion des
(plan de continuité de l’activité / plan de reprise de l’activité ; en anglais, « OP
15 Disaster Recovery Plan »).
terminaux mobiles (« MDM ») et le renforcement (désactivation des services
01 inutiles, notamment en sécurisant Ports USB dans tous les systèmes de ports).
Définir des paramètres importants pour la continuité des activités du port, tels Implémenter des listes blanches d'appareils et de logiciels et révisez la liste au
qu'un objectif de temps de récupération (« RTO »), un objectif de point de OP moins une fois par an ou en cas de changement majeur du système.
PS récupération (« RPO »), une interruption maximale tolérable (« MTO ») et un 02
objectif de continuité des activités minimales (« MBCO »). Définir un processus de gestion du changement pour introduire tout nouveau
16 OP dispositif dans les systèmes portuaires (tests d'acceptation, étapes de
Définir une organisation de gestion de crise en formalisant une politique 03 validation, etc.).
PS spécifique et en mettant en place le processus de gestion de crise associé,
17 incluant toutes les parties prenantes du port. S'assurer que tous les employés et sous-traitants retournent leurs terminaux à
OP la fin du contrat et définir les processus d'élimination sécurisée des terminaux.
Assurer l'efficacité des procédures de récupération en organisant des exercices 04
de formation annuels, en s'assurant que toutes les parties prenantes critiques
du port (autorités locales, autorités portuaires, opérateurs de terminaux, 4.2.2 Gestion des vulnérabilités
PS prestataires de services, etc.) sont impliquées autant que possible et formaliser
18 les rapports post- exercice. Mesures de cybersécurité pour garantir que les systèmes sont à jour et protégés contre
les vulnérabilités.
4.2 Pratiques et processus
Définir un processus de gestion des vulnérabilités pour identifier les
organisationnels OP vulnérabilités des actifs, il peut être basé sur des outils automatiques et
manuels tels que les analyses de vulnérabilité.
05
Les ports doivent définir les pratiques et processus pertinents concernant la gestion
informatique et OT, à suivre par tous les employés du port ou plus spécifiquement par
les équipes IT et OT dans leurs opérations quotidiennes au sein de l'écosystème
portuaire.
60
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
56
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
Définir les procédures d'alerte et identifier les bons contacts pour chaque partie S'assurer que les systèmes informatiques et OT hébergés dans le port sont
prenante du port en fonction de la criticité de l'incident (RSSI, direction et OP protégés conformément aux meilleures pratiques établies en matière de
OP conseil d'administration du port, autorités nationales, équipe de réponse aux sécurité (détection d'incendie, climatisation, etc.) et de sécurité (contrôle
incidents de sécurité informatique 21 d'accès, vidéosurveillance, etc.).
17 « CSIRT », etc.).
OP Garder la traçabilité de toutes les opérations de maintenance effectuées sur les
OP Mettre en œuvre des procédures de notification des incidents et d'amélioration systèmes physiques IT et OT.
continue. 22
18
4.2.6 Contrôle et audit 4.3 Pratiques et mesures techniques
Mesures de cybersécurité pour contrôler la conformité de l'IT et de l'OT à la politique de Les ports doivent appliquer plusieurs mesures techniques afin de prévenir les cyber-
sécurité des systèmes d’information et aux meilleures pratiques de sécurité. attaques sur les systèmes informatiques ou industriels des ports, détecter et réagir à
toute attaque et être résilients en cas d'impact majeur d'une cyberattaque.
Effectuer régulièrement des audits de cybersécurité (tests de pénétration,
équipe rouge, etc.) pour vérifier l'application et l'efficacité des mesures de
OP
sécurité et évaluer le niveau de sécurité des systèmes portuaires.
4.3.1 Sécurité du réseau
19
Effectuer des révisions périodiques des règles de réseau, des privilèges de Mesures de cybersécurité pour éviter tout accès non autorisé aux systèmes portuaires,
OP atténuer la propagation des incidents de sécurité informatique au sein des systèmes ou
contrôle d'accès et des configurations d'actifs.
20 sous-systèmes et protéger les systèmes contre les accès non autorisés.
57
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
Effectuer des analyses de réseau régulières pour détecter les réseaux non TP Mettre en œuvre des mécanismes d'authentification multifactorielle pour les
autorisés et malveillants (WIFI par exemple) ainsi que les terminaux utilisant comptes accédant aux applications critiques (en particulier pour PCS, CCS,
TP des ponts entre deux zones séparées (avec des interfaces dans deux zones 08 TOS, VTS / VTMIS) et aux données (données personnelles, données
02 réseau par exemple). opérationnelles sensibles telles que des informations détaillées sur les navires,
les marchandises dangereuses et le fret), et en cas d'environnements pauvres
Définir la sécurité périmétrique, avec des règles de filtrage. ou non protégés (accès externe via Internet par exemple, accès tiers à partir
TP d'autres réseaux d'entreprise, etc.).
03
Considérer l'accès physique dans le cycle de vie de l'accès (installations
4.3.2 Contrôle d'accès TP portuaires, zone portuaire, bâtiments, etc.) et définir des mesures spécifiques
09 pour l'accès à distance.
Mesures de cybersécurité pour garantir un accès légitime aux systèmes portuaires.
Effectuer régulièrement des révisions des comptes et des droits d'accès pour
Mettre en place des outils centralisés pour gérer les identités et les droits s'assurer que les accès sont toujours légitimes, en particulier pour les comptes
d'accès aux systèmes portuaires. Si différents outils sont mis en place, en TP qui ont accès à des données sensibles (données personnelles, données
raison de la diversité des acteurs portuaires (Autorités Portuaires, opérateurs opérationnelles sensibles, informations sur les marchandises dangereuses,
TP de terminaux, collectivités locales, tiers, etc.) et de leurs systèmes, un 10 etc.).
04 approvisionnement automatique ou manuel peut être défini.
4.3.3 Administration et gestion de la configuration
Définir une stratégie de gestion des identités et des accès (« IAM ») et ses
processus associés pour gérer le cycle de vie des identités et de leurs droits
d'accès (désactivation automatique des comptes, examen régulier, principe du Mesures de cybersécurité pour assurer une administration sécurisée des actifs
informatiques et industriels.
TP moindre privilège et séparation des tâches, directives relatives aux mots de
passe, etc.). Cette stratégie doit être, autant que possible, construite en
05 commun avec les acteurs de l'écosystème portuaire. Définir la politique et les règles d'installation et de configuration et établir des
TP bases de sécurité pour installer uniquement les services et fonctionnalités
Interdire autant que possible l'utilisation de comptes génériques, en imposant nécessaires et autoriser l'équipement essentiel pour la sécurité et le
des comptes uniques et individuels dans tous les systèmes portuaires, en 11 fonctionnement des systèmes portuaires.
TP
particulier pour les systèmes sensibles (PCS, CCS, TOS, VTS / VTMIS,
06 systèmes de sécurité). Configurer des comptes spécifiques uniquement utilisés par les administrateurs
TP pour effectuer les opérations d'administration (installation, configuration,
Appliquer, dans la mesure du possible, les politiques et règles de complexité 12 maintenance, supervision, etc.).
TP
des mots de passe pour les systèmes.
07
58
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
Définir le processus de gestion des comptes privilèges (« PAM »), les exigences TP Essayer d'inclure, autant que possible, des solutions de l’informatique en nuage
TP de sécurité sur ces comptes et les règles pour gérer leur cycle de vie. Faites 18 (« cloud ») dans les mécanismes de détection et de réponse.
particulièrement respecter ce processus pour les tiers qui supervisent les
13 opérations d'administration.
4.3.6 Sécurité de machine à machine
Mettre en place, autant que possible, des réseaux d'administration dédiés pour
créer des zones sûres, en priorité pour les systèmes critiques (notamment pour Mesures de cybersécurité pour sécuriser les échanges de machine à machine.
TP
les VTS / VTMIS, les systèmes radio, les systèmes de sécurité, etc.).
14 Implémenter des mécanismes pour sécuriser les échanges de machine à
machine (y compris les messages EDI et les API principalement utilisés avec
4.3.4 Gestion des menaces des parties prenantes externes, telles que les compagnies maritimes) et assurer
l'authentification mutuelle, l'intégrité et la confidentialité avec les systèmes
Mesures de cybersécurité pour protéger tous les systèmes contre les logiciels TP portuaires tels que le cryptage, l'ICP ou certificats numériques, contrôles
malveillants ou les virus. d'intégrité, signature numérique, horodatage, en particulier lorsque les
19 échanges se font sur Internet.
S’assurer que l'anti-malware, l'anti-spam et l'antivirus sont installés et à jour sur
TP tous les systèmes de port, y compris les ordinateurs de bureau et les serveurs. Utiliser des protocoles de communication qui incluent une fonctionnalité pour
15 TP détecter si tout ou partie d'un message est une répétition non autorisée d'un
4.3.5 Sécurité de l’informatique en nuage (« cloud ») 20 message précédent.
Mesures de cybersécurité pour protéger l'environnement de l’informatique en nuage (« 4.3.7 Protection des données
cloud ») dans les ports.
Mesures de cybersécurité pour protéger les données au repos, en transit ou utilisées
L’informatique en nuage (« cloud ») fait l’objet d’un référentiel spécifique ANSSI dans les systèmes portuaires.
(Secnumcloud).
Mettre en œuvre des procédures et mécanismes de cryptographie pour
Définir une méthode d'évaluation de la sécurité de l’informatique en nuage (« protéger la confidentialité, l'authenticité et / ou l'intégrité des données dans les
TP cloud ») pour évaluer l'impact et les risques du choix de solutions cloud en TP systèmes portuaires (au repos, en transit ou en cours d'utilisation). Cette
tenant compte des lois et réglementations applicables. mesure sera mise en œuvre en fonction de la classification des données
16 21 effectuée.
TP Inclure autant que possible les aspects de sécurité et de disponibilité dans les
accords avec les fournisseurs de sécurité de l’informatique en nuage (« cloud Anonymiser et sécuriser toutes les données personnelles directes ou indirectes
17 »).
TP
traitées au sein de l'entreprise, par ex. grâce au contrôle d'accès et au
22 chiffrement basés sur les rôles, après avoir pris en compte toutes les exigences
légales pertinentes.
59
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
60
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
61
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
Ainsi, vous pouvez d’une part évaluer le niveau de maturité de votre organisme en vérifiant
les actions déjà mises en œuvre et d’autre part identifier les actions nécessaires pour
atteindre le niveau suivant.
Bien entendu, un niveau est atteint lorsque les actions présentées sont toutes et totalement
appliquées sur l’ensemble du SI.
Les actions décrites ici, sont volontairement simplifiées afin de clarifier le cheminement de
la mise en œuvre des mesures de sécurité en marquant les points de passages obligés.
Chacune d’elles contribue à la réussite de la mise en place des mesures de cybersécurité
décrites au chapitre 4.
5. PLANIFIER Chaque niveau de maturité SSI représente la manière dont une organisation exécute,
contrôle, maintient et assure le suivi des processus SSI.
A noter qu’un guide de l’ENISA propose un modèle de maturité à trois niveaux : il décrit
LA MISE EN ŒUVRE pour chaque mesure de sécurité, des exemples d’implémentation, du moins formel (niveau
1) au plus formel (niveau 3). La méthode EBIOIS RM (cf page 28 des fiches méthode)
propose également une métrique de cotation pour la maturité cyber en quatre niveaux (du
moins formel au plus formel).
DE SES ACTIONS
62
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
Niveau 0. Pratique inexistante ou incomplète : pratiques de Niveau 2. Pratique répétable et suivie : des actions
base éventuellement mises en œuvre et le besoin n'est pas reproductibles mises en œuvre de façon planifiée et suivie,
reconnu. avec un support relatif de l'organisme.
• Protection des postes de travail par un antivirus mis à jour
quotidiennement Les actions sont planifiées et sont réalisées par une personne qui possède des
compétences en SSI. Certaines pratiques sont formalisées, ce qui permet la
• Correctifs de sécurité appliqués sur les postes de travail
duplication et la réutilisation (éventuellement par une autre personne). Des
• Mot de passe obligatoire pour s’authentifier mesures qualitatives sont réalisées (indicateurs simples sur les résultats). Les
autorités compétentes sont tenues informées des mesures effectuées.
• Plan d’adressage IP du réseau de l’entreprise, conforme à la réalité
• Comptes d’ouverture de session nominatifs et individuels
• Fiche « départ agent » pour surveiller les droits et les matériels
• Formalisation de la responsabilisation des acteurs de la chaine SSI
Niveau 1. Pratique informelle : actions isolées mises en œuvre (directeurs, administrateurs techniques et fonctionnels) avec des rôles
de manière informelle et réactive sur l'initiative de ceux qui séparés (décision, exécution) et signature des habilitations
estiment en avoir besoin. • Comptes administrateurs dédiés pour les accès privilégiés (serveurs,
équipements industriels)
• Droits d’accès aux ressources du réseau sont définis et appliqués • Suppression des comptes génériques
• Procédure d’alerte ou de signalement connue des utilisateurs (hotline • Procédure d’autorisation des accès hors applicatif
par exemple)
• Procédure d’autorisation des accès intervention télémaintenance
• Description des étapes de mise à jour régulière ou d’urgence des
correctifs de sécurité sur tous les équipements • Top 10 de l’OWASP appliqué par les développeurs
• Filtrage Web mis en place • Préférence pour les protocoles sécurisés (HTTPS, SSH, FTPS, POPS)
• Protection des postes de travail par un antispam • Validation par la direction de la « charte informatique », annexe du
règlement intérieur signée par les utilisateurs
63
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
Niveau 3. Processus défini : la standardisation de pratiques. Niveau 4. Processus contrôlé : la mesure quantitative.
Les actions précédemment décrites sont toutes réalisées conformément à un La cybersécurité devient un avantage compétitif. Le processus est coordonné
processus défini (ex : adaptation au contexte, emploi d'une méthode), dans tout le périmètre choisi et pour chaque exécution. Des mesures
standardisé (commun à tout l’organisme) et formalisé (existence d'une quantitatives sont régulièrement effectuées (en termes de performance). Les
documentation). Le processus SSI est bien compris autant par le management mesures effectuées (indicateurs qualitatifs et quantitatifs) sont analysées et des
que par les exécutants. améliorations sont apportées au processus.
• Systèmes sensibles : audits de sécurité, tests intrusion, analyse de • Données classifiées protégées selon l’IGI 1300
risques, homologation • Exercice gestion de crise et création de la cellule de crise cyber
• Surveillance des accès en télémaintenance • Cartographie du SI, de ses interactions et de ses flux
64
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
65
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
7 Supervision Surveillance des accès en télémaintenance ; supervision managée des équipements en temps réel ; mise en place d’un SOC et d’un SIEM.
Formalisation de la responsabilisation des acteurs de la chaine SSI (directeurs, administrateurs techniques et fonctionnels) avec des rôles
séparés (décision, exécution) et signature des habilitations ; validation par la direction de la « charte informatique », annexe du règlement
6 Gouvernanc intérieur signée par les utilisa - teurs ; ressources, moyens sont affectés à la SSI ; formations nécessaires pour les administrateurs techniques
afin d’obtenir les certifications ISO2700x et les qualifications sur les outils informatiques en production ; politique de Sécurité des Systèmes
e d’Information (PSSI) conforme au cadre juridique appli- cable, validée par la direction.
Procédure (ou processus) de gestion des droits d’accès (arrivée / départ / modification) ; procédure d’autorisation des accès hors applicatif
; procédure d’autorisation des accès intervention télémaintenance ; systèmes sensibles (audits de sécurité, tests intrusion, analyse de risques,
5 Procédures homologation) ; produits informatiques avec visas de sécurité au niveau adéquat ; applications, lors de chaque évolution du SI, des
recommandations techniques et organisation- nelles décrites dans les guides de l’ANSSI ; données classifiées protégées selon l’instruction
générale interministérielle 1300 ; exercice gestion de crise et création de la cellule de crise cyber ; mise à jour et suivi des indicateurs SSI.
Définition et mise en place d’une politique de mot e passe (ex : mot de passe obligatoire pour s’authentifier) ; procédure d’alerte ou de
signalement connue des utilisateurs (hotline par exemple) ; comptes d’ouverture de session nominatifs et individuels ; sensibilisation des
4 Utilisateurs utilisateurs des moyens infor- matiques aux attaques SSI (incluant des tests de faux mails piégés « phishing », ingénierie sociale …) et
formation aux bonnes pratiques (mot de passe, sau- vegardes, réseaux sociaux…) ; les administrateurs techniques ont obtenu les certifications
et les qualifications sur les outils informatiques en production ; cloisonnement vie privée / vie professionnelle.
3 Applications Top 10 de l’OWASP appliqué par les développeurs ; authentification forte (certificats, OTP, MFA, etc.).
Protection des postes de travail par un antivirus mis à jour quotidiennement ; correctifs de sécurité appliqués sur les postes de travail ;
droits d’accès aux ressources du réseau sont définis et appliqués ; description des étapes de mise à jour régulière ou d’urgence des correctifs
2 Systèmes de sécurité sur tous les équipe- ments ; protection des postes de travail par un antispam ; comptes administrateurs dédiés pour les accès
privilégiés (serveurs, équipements industriels) ; suppression des comptes génériques, PCA et PRA formalisés, Solution sécurisée de partage
de fichier ; cartographie du SI, de ses interactions et de ses flux ; chiffrement des postes de travail ou virtualisation.
Plan d’adressage IP du réseau de l’entreprise, conforme à la réalité ; filtrage Web mis en place ; préférence pour les protocoles sécurisés
1 Réseaux (HTTPS, SSH, FTPS, POPS) ; protection du réseau par pare-feu et segmentation en VLAN ; accès au SI depuis l’extérieur par VPN, Isolation des
systèmes industriels du réseau in- terne et de l’Internet ; blocage 802.1x des prises et des équipements connectés (caméras, photocopieurs,
imprimantes…).
*(CISO) Chief Information Security Officer - (RSSI) Responsable de la Sécurité des Systèmes d’Information.
66
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
67
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
▪ les actions à mener à court, moyen et long terme vis-à-vis de l’externe Etape 6 - Créer une boîte à outils dédiée à la gestion d’une crise cyberattaque
(relations presse, communication web, etc.) comme des
collaborateurs. Etape 7 - Former ses équipes à la gestion du volet communication
Etape 1 - Initier un dialogue avec les équipes cyber et IT hors période de crise * ANSSI - Guide "Crise d'origine cyber, les clefs d'une gestion opérationnelle et
stratégique"
Etape 2 - Anticiper les scénarios de crise et les réponses à apporter sur le volet
communications * ANSSI Guide "Anticiper et gérer sa communication de crise cyber"
68
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
Les enjeux induits par une telle attaque vont bien au-delà de la perte de données ou du
paiement d’une rançon. C’est pourquoi il est recommandé de mettre en place une cellule
Ne pas payer la rançon
de crise au plus haut niveau de l’organisation, indépendante des groupes de travail
opérationnels qui auront des responsabilités de pilotage et d’exécution.
En cas de cyberincident généré par un rançongiciel, il est recommandé de ne jamais
Cette cellule aura pour objectif : payer la rançon. Son paiement ne garantit pas l’obtention d’un moyen de déchiffrement,
incite les cybercriminels à poursuivre leurs activités et entretient donc ce système
▪ de répondre aux enjeux de niveau stratégique de la crise en établissant frauduleux. De plus, le paiement de la rançon n’empêchera pas votre entité d’être à
nouveau la cible de cybercriminels.
(stratégies de communication interne comme externe, réunir les
éléments à fournir en vue de la judiciarisation. Par ailleurs, l’expérience montre que l’obtention de la clé de déchiffrement ne permet
pas toujours de reconstituer l’intégralité des fichiers chiffrés. En particulier, les fichiers
▪ de demander l’appui du délégué à la protection des données (DPO) modifiés par une application et chiffrés dans le même temps par le rançongiciel ont de
fortes chances d’être corrompus (exemple : un fichier de base de données).
▪ d’identifier les impacts de ces dysfonctionnements sur les activités de
l’organisation.
69
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
6.2.4 Trouver l’assistance technique ▪ la contrefaçon des marques (logos, signes, emblèmes, etc.) utilisées
lors de l’hameçonnage, sanctionnée par les articles L. 713-2 et L. 713-
Il est possible de faire appel à des prestataires spécialisés dans la réponse aux 3 du code de la propriété intellectuelle.
incidents de sécurité. Le Gouvernement a mis en place la plateforme
« cybermalveillance.gouv.fr » qui permet d’entrer en contact avec des prestataires de Il est donc recommandé de porter plainte directement auprès des services de police ou
proximité. de gendarmerie - y compris maritime - le plus proche de l’entreprise ou par courrier
adressé au Procureur de la République du tribunal judiciaire du ressort géographique
Retrouvez la liste des prestataires de réponse aux incidents ici. de l’entreprise.
6.2.5 Déposer plainte Les éléments suivants peuvent être demandés ou pourront être recherchés dans le
cadre de l’enquête. En fonction du profil de votre entité, ils peuvent diverger :
La cybercriminalité recouvre les infractions parmi lesquelles :
▪ le détail et la chronologie des événements relatant l’incident (la main
▪ les atteintes aux Systèmes de Traitement Automatisé de Données courante), notamment la date de la demande de rançon ;
(S.T.A.D.), autrement dit les cyberattaques, sanctionnées par les articles
▪ les emplacements des appareils potentiellement infectés ;
323-1 à 323-8 du code pénal, notamment l’accès frauduleux à un
système de traitement automatisé de données (article 323-1 du code ▪ les journaux de sécurité associés à l’incident ;
pénal) ; ▪ l’analyse technique de l’attaque ;
▪ les atteintes aux droits de la personne résultant des fichiers ou des ▪ la collecte d’échantillons de fichiers chiffrés ;
traitements informatiques, sanctionnées par les articles 226-16 à 226-
24 du code pénal, notamment la collecte de données à caractère ▪ la préservation des supports ou des machines (quand c’est possible)
personnel par un moyen frauduleux, déloyal ou illicite (article 226-18 sur lesquels le rançongiciel s’est exécuté (disque système) ;
du code pénal) ;
▪ les adresses de messagerie électronique et adresses de crypto-
▪ les atteintes aux personnes, sanctionnées notamment par les articles monnaie fournies par les cybercriminels ;
226-4-1 (usurpation d’identité) et 222-17 (menaces) du code pénal ;
▪ le texte de demande de rançon ;
▪ les escroqueries (telles que l’hameçonnage, « phishing »),
sanctionnées par les articles 313-1 du code pénal, ; ▪ les coordonnées des témoins de l’incident.
70
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
Le dépôt de plainte doit être réalisé au nom de l’entité. Si l’opération est confiée à un
collaborateur, il sera nécessaire de préparer une délégation de pouvoir pour cette
personne, signée par un représentant légal de la personne morale afin de permettre le
dépôt de plainte.
Lorsque la vie privée d’une personne est grandement menacée, l’article 34 du RGPD
enjoint à l’entreprise d’alerter la personne concernée de la violation de ses données
personnelles.
71
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
Alors que les ports subissent leur transformation numérique, la cybersécurité doit être
considérée non seulement comme un facteur clé à prendre en compte pour suivre le
rythme des évolutions techniques, mais aussi comme un catalyseur de nouveaux
développements et d'automatisation. Compte tenu de la complexité du paysage
portuaire en termes de parties prenantes impliquées et de flux de communication et
d'interactions système, mais également en termes d'évolution de l'environnement
informatique et OT, il ne s'agit en aucun cas d'une tâche facile ou directe.
CONCLUSION Ce guide permettra également de favoriser la collaboration entre les nombreuses parties
prenantes impliquées dans les opérations portuaires (autorités portuaires, exploitants
d’installations portuaires, opérateurs portuaires, société de pilotage, compagnies
maritimes, etc.) autour des enjeux de cybsersécurité.
72
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
• la prise en compte de la sécurité dès la conception dans les applications, d'autant plus que les
ports utilisent de nombreux systèmes, dont certains sont ouverts à des tiers pour l'échange de
données. Toute vulnérabilité sur ces systèmes peut être une porte pour compromettre les
systèmes portuaires ;
• le renforcement des capacités de détection et de réponse au niveau du port pour réagir le plus
rapidement possible à toute cyberattaque avant qu'elle n'affecte le fonctionnement, la sûreté
ou la sécurité du port. Les ports peuvent s'appuyer sur des mesures de détection simples telles
que des alertes lorsqu’une action spécifique est effectuée (tentative d'authentification sur un
actif très critique par exemple) ou rechercher des indicateurs de compromis (IOC), ou sur des
méthodes plus complètes, utilisant l'apprentissage automatique pour corréler les informations
et identifier les modèles compromettants. De telles initiatives ont déjà commencé à se
développer au sein de l'écosystème portuaire.
▪ l’attention à porter sur le champ connexe du brouillage radio des bandes de fréquence.
73
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
PARTIE 2 :
CYBERSECURITE DU NAVIRE
74
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
Cette transformation technologique du navire de commerce en a modifié sa gestion. Désormais les échanges sont
quotidiens entre le navire, la compagnie, le port, l’agent maritime… Le navire ne bénéficie plus d’un niveau de
sécurité informatique de type « air wall » consistant à l’isoler physiquement de tout réseau informatique. Le navire
s’intègre naturellement dans cette toile planétaire du réseau des réseaux.
Notre navire est désormais devenu un ensemble complexe de systèmes industriels. La conduite de ces systèmes
n’est malheureusement pas exempte de défauts numériques. Les systèmes embarqués peuvent ainsi être la clé
d’entrée d’un acte de malveillance.
Ces simples constats démontrent que le navire peut être vulnérable à un acte de malveillance qui peut porter sur :
Bien que les actes de malveillances restent à ce jour très limités contre un navire, il convient cependant de le
protéger. Protéger le navire consiste à préserver les moyens opérationnels et organisationnels de ce type de
transport. L’objectif final vise à garantir qu’aucun acte de malveillance ne puisse mettre en péril la conduite et
l’exploitation du navire.
75
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
Ces 3 dernières années, les systèmes de positionnement automatique et par satellite, le système de cartographie
ECDIS (Electronic Charts Display Information System), le système d’enregistrement des données (Voyage Data
Recorder) ont fait l’objet d’analyses. Ces dernières ont révélé plusieurs failles numériques à corriger. Plusieurs
équipements apparaissent ainsi sensibles à une cyber attaque. La description des éléments de la vulnérabilité du
navire est reprise au niveau de l’annexe N°1 du document.
76
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
Pour mettre en place une démarche de sécurité des systèmes d’information du navire, il est important de pouvoir
identifier correctement les valeurs et les biens à protéger afin de lutter de manière efficace. Ceci implique une
approche rigoureuse en fonction du type de navire et de son exploitation.
A ce jour, seul le code international pour la sûreté des navires et des installations portuaires (code ISPS) définit une
recommandation en matière de gestion des procédés informatiques. Ce code précise que la vulnérabilité du
système informatique devrait faire l’objet d’une évaluation dans le cadre de la sûreté du navire afin de disposer de
mesures adaptées à une quelconque menace. Evaluer le niveau de menace, est par conséquent essentiel pour
mettre en place des outils de lutte efficace.
La prise en compte des secteurs vitaux du navire et des mesures d’hygiène de base de la sécurité des systèmes
d’information du navire ont conduit à définir 9 rubriques (Annexe N°2) :
Ces 9 rubriques proposent un ensemble de 34 questions fermées qui permettent un traitement direct et
simple des réponses. Cette enquête a été conduite à bord de 68 navires sous pavillon français disposant
d’une certification en matière de sûreté. Ces navires représentent 26 compagnies françaises.
77
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
Extrait de l’analyse :
D’une manière générale, cette enquête fait apparaitre que les compagnies françaises s’appuient d’une part sur un
service interne pour gérer le système d’information du navire et d’autre part disposent d’une politique compagnie en
matière de gestion du système d’information. Cependant, il convient de noter que cette politique est d’une manière
générale très incomplète au regard des deux éléments suivants :
▪ le responsable à bord du navire n’est définit que dans 62% des cas (commandant, chef
mécanicien, officier « électronicien », commissaire),
▪ la cartographie de la liste matérielle et logicielle du navire n’est répertoriée que dans 59% des cas,
Le point sensible de cette rubrique fait apparaitre que seulement 32% des navires sondés ont fait l’objet
d’une évaluation des risques du système d’information du navire. La nature de cette évaluation n’a pas
fait l’objet d’une analyse pour les 20 navires ayant répondu positivement à cette question.
Enfin, en complément, il convient de préciser que près de 79% des navires sondés réalisent une télémaintenance entre
la terre et le navire.
78
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
A de rares exceptions l’ensemble des systèmes d’information du navire sont localisés dans la zone d’accès restreinte du
navire : zone définie au niveau du plan de sûreté du navire.
Extrait de l’analyse :
▪ Le premier fait apparaitre qu’un tiers des navires sondés disposent d’une connexion internet sur
les systèmes d’information critiques (réseaux liés à la navigation, la propulsion, la gestion de
l’énergie du navire, la gestion de la cargaison). Ces systèmes vitaux disposent dans les deux tiers
des cas d’un moyen de connexion direct via un port USB (Questions C10/C11 n’apparaissant pas sur
le graphique).
▪ Le second point porte sur la gestion des analyses de données. 91% des navires sondés disposent
d’un logiciel antivirus permettant l’analyse de données réseaux et de données externes via un port
USB. Les données téléchargées ne sont pas exécutées automatiquement dans 84% des cas.
▪ Le troisième point confirme la présence de système WIFI à bord des navires (75% des navires
sondés). Ce système n’est malheureusement pas toujours sécurisé.
▪ Enfin le quatrième élément à retenir dans cette rubrique porte sur le fait que dans 69% des cas, il
est possible de relier un équipement personnel aux réseaux du navire.
79
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
Extrait de l’analyse :
Les rubriques 4 à 7 de l’enquête permettent d’illustrer la gestion des systèmes d’information du navire par
l’équipage. Les points positifs de cette rubrique portent sur l’utilisation quasiment systématique de mots de passe
d’accès à un réseau, la mise à jour régulière des logiciels du navire et l’archivage de données. Cette gestion est très
largement supportée par le service informatique de la compagnie. Cependant, en décryptant de plus près cette
partie, il apparait les points sensibles suivants :
▪ Gestion des mots de passe : la fréquence de son changement et son format ne sont pas adaptés.
Seulement dans 18% des cas, le mot de passe est changé avec une fréquence variant entre 6 mois
et 3 ans. Ces mots de passe ne sont complexes dans 47% des cas.
▪ Les logiciels utilisés à bord des navires sondés sont mis à jour régulièrement. Les mises à jour sur le
site officiel éditeur sont réalisées dans un cas sur deux.
▪ La gestion des droits d’accès à bord du navire apparait plus préoccupante et faiblement
maitrisée. Seulement dans 22% des cas, l’accès à Internet ou la consultation des messages
électroniques depuis un compte administrateur est impossible. De plus, près d’un navire sur deux
dispose d’un compte anonyme ayant accès aux réseaux.
▪ Enfin, l’archivage de données est réalisé suivant une fréquence variable en fonction des compagnies
: quotidienne à mensuelle. Il est à noter que l’utilisation d’une plateforme d’archivage de type «
cloud » reste très rare à ce jour : 10% des navires sondés déclarent utiliser ce mode d’archivage de
données navire.
80
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
Extrait de l’analyse :
Cette dernière rubrique illustre le fait que très peu de navires témoignent d’avoir fait l’objet d’un acte de malveillance.
Seulement deux navires ont déclaré avoir eu à traiter la gestion d’un virus sur le réseau de l’informatique de gestion.
Néanmoins, cette information reste à titre d’information car un navire a pu faire l’objet d’une attaque sans en avoir eu
connaissance.
L’enseignement principal de cette rubrique porte sur le fait que les compagnies françaises semblent sensibilisées
à la gestion d’un acte de malveillance. Les mesures sont bien évidemment perfectibles. Néanmoins, l’idée de reprise
en main du navire est prise en considération. Ainsi :
▪ 62 % des navires sondés disposent d’un plan de continuité en cas de dégradation du système
d’information du navire.
▪ Dans 76 % des cas, il est nécessaire de rechercher la cause de l’incident.
Les axes d’amélioration sont à rechercher au niveau de la surveillance d’une activité anormale du
système de gestion d’information du navire et de la mise en place d’un système d’autocontrôle de
l’activité des systèmes d’informations à bord du navire. L’enquête fait apparaitre que ces contrôles sont
réalisés dans 60 % des cas. Le service informatique de la compagnie est généralement en charge de ces
contrôles ou audits de sécurité du système d’information du navire.
81
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
▪ Réseaux critiques : les réseaux liés à la navigation, la propulsion, la gestion de l’énergie du navire, la
gestion des marchandises, la gestion des passagers et la gestion des alarmes devraient être classés «
critique »,
▪ Réseaux non contrôlés : ces réseaux ne font pas l’objet d’une surveillance de sécurité de la part du
navire ou de la compagnie (Réseau WIFI d’un navire à passagers). Il est néanmoins nécessaire de
vérifier le cloisonnement des différents réseaux du navire.
Les outils à mettre en œuvre dans le cadre de la protection de la sécurité de l’information à bord du navire sont de trois
ordres : les outils technologiques, les outils de gestion et la formation.
La protection des données à bord d’un navire de la marine marchande ne réclame pas une approche du même
niveau que celle requise par un navire de combat. La stratégie d’une cyber protection efficace du navire civil peut
donc faire appel à des moyens simples et peu onéreux présents sur le marché. La combinaison des outils
technologiques à mettre en place peut être la suivante :
▪ Antivirus : ce système ne correspond pas à la protection absolue. Néanmoins, ce système est un pré-
requis qui doit être mis à jour afin de disposer de la signature des « malware » identifiés.
▪ Pare-feu : cet outil permet d’autoriser uniquement les flux légitimes à transiter sur le réseau. La
première démarche d’un pirate numérique sera de détecter des cibles potentielles. Si toutes les
portes sont fermées, l’adresse ne sera pas traitée : l’ordinateur est donc invisible aux pirates.
82
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
▪ VPN (Virtual Private Network ou Réseau Privé Virtuel) : une connexion VPN est aussi appelée
connexion « tunnel ». Ce système crée une enveloppe de protection pour toutes les informations
transitant par son intermédiaire. En complément, le VPN masque l’adresse des ordinateurs
connectés et les remplacent par celles de serveurs intermédiaires.
▪ Anti-spyware : certains programmes espions ne sont pas considérés comme des virus. Ces derniers
passent donc au travers de l’antivirus. Il convient d’associer ces 2 types de programmes pour
protéger correctement le système. Un antivirus contient généralement un dispositif anti-spyware.
▪ IDS (Intrusion Detection System) : ces outils permettent de détecter les attaques/intrusions du
réseau sur lequel il est placé. C'est un outil complémentaire aux firewall, scanneurs de failles et anti
virus. Une alarme remonte dès lors qu’une activité liée à un comportement ou une signature anormale
est détecté sur les réseaux et système.
▪ NAS (Network Attached Storage) : ce système permet d’archiver les données et de stocker sur un
volume centralisé pour des clients du réseau. L’archive des données permet d’envisager la reprise en
main du système en cas d’acte de malveillance.
Les outils de gestion à mettre en place devraient utiliser les règles de certification internationale. Pour un navire, ces
règles sont encadrées par les codes ISM (gestion de la sécurité) et ISPS (gestion de la sûreté). En référence à ces
deux codes, le manuel de gestion de la sécurité inclut des références à la sécurité des systèmes d'information à bord
du navire. Cependant, ces références sont généralement très basiques. Quant au plan de sûreté, il correspond à une
approche purement physique de la sécurité des systèmes d’information du bord. Le plan de sûreté du navire et le
manuel de la gestion de la sécurité sont les documents appropriés pour y inclure les références de gestion de la cyber
sécurité :
83
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
Au fil des années, les navires sont devenus de plus en plus dépendants de leur système informatique embarqué.
Le recueil des éléments de cette étude permet d’établir trois enseignements :
▪ Le premier porte sur la nécessite de « sacraliser » les systèmes industriels à bord du navire.
▪ Le second enseignement porte sur le besoin d’élever le niveau de protection du système
d’information du navire en disposant d’outils systèmes adaptés à l’exploitation du navire et d’un
système de gestion permettant de faire face à une cyber attaque.
▪ Enfin le troisième enseignement concerne le besoin de disposer de marins sensibilisés à cette
menace. Ils pourront ainsi mieux détecter une incohérence système. Cette approche est désormais
possible au travers d’un guide conjointement rédigé par l’ANSSI et la DAM (« Guide des bonnes
pratiques de sécurité informatique à bord des navires » – Edition octobre 2016). La cause première
des attaques est liée à l’attaquant. Il est cependant à noter que le facteur humain joue la plupart
du temps un rôle clé dans le fait qu'une attaque réussisse ou non.
▪ Evaluer le risque : cette analyse est le point de départ de toute démarche de cyber sécurité. Les
systèmes doivent faire l’objet d’une analyse méthodique. Cette évaluation sera revue
régulièrement,
▪ Cartographier l’installation du navire : cette illustration du système permet d’une part d’évaluer
rapidement l’impact d’un acte de malveillance et d’autre part de contribuer à la résolution des
incidents,
▪ Contrôler : Les autocontrôles ou audits internes permettent de vérifier régulièrement le système, le
niveau effectif de cyber sécurité du navire. Ce contrôle doit statuer également sur la gestion des
intervenants extérieurs,
▪ Surveillance du système : cette veille permet de prévenir la menace. Cette conduite doit s’assurer de
la surveillance d’une intrusion au niveau du système,
▪ Plan de continuité : Le plan d’urgence du navire et de la compagnie doivent répondre à l’ensemble
des scénarios d’incident entraînant un arrêt ou une dégradation d’une activité critique identifiée au
niveau de l’évaluation des risques.
▪ Télémaintenance : Des procédures claires et des moyens de protection doivent être mis en place
pour encadrer ce type d’opérations. La politique de la compagnie devrait définir le cadre de cette
maintenance à distance.
84
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
En février 2016, la Direction des Affaires Maritimes a transmis à l’Organisation Maritime Internationale (OMI)
une soumission traitant des éléments sur le cyber sécurité appliqués au navire. Cette soumission a permis de
participer activement aux travaux du comité MSC96. La circulaire MSC.1/Circ.1526 du 01 juin 2016 précise
désormais le besoin de s’appuyer sur les codes déjà établies par l’OMI pour gérer la cyber sécurité du navire. Elever
le niveau de cyber sécurité du navire consiste à appliquer un ensemble de règles qui conduise à intégrer la
gestion des systèmes industriels du navire, la gestion des outils technologiques, la formation des marins et des
procédures intégrées au niveau des codes déjà établis par l’OMI. Les recommandations suivantes peuvent servir de fil
conducteur aux compagnies pour élever ce niveau de protection. Les lignes directrices à suivre devraient
être les 7 suivantes :
85
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
L’analyse des données de l’enquête fait apparaitre que les compagnies françaises ont pris en compte la gestion
de la sécurité des systèmes d’informations au travers d’une politique et d’une protection physique de ces systèmes.
En revanche, il apparait que l’évaluation des risques des systèmes d’informations reste marginale. Cette évaluation
est pourtant la base de toute action à mener dans le cadre de la mise en place de la cyber sécurité à bord du navire.
Cette action permet de réduire la criticité relative à la gestion des 4 domaines suivants :
Il convient d’alerter les compagnies sur la nécessité de réaliser une évaluation de ces risques afin de renforcer
les contre-mesures pour faire face à un acte de malveillance numérique. Il est à noter que cette évaluation est
obligatoire pour le pavillon français en référence au règlement européen CE725/2004 article 3.5. Cet article
impose l’application de l’article B8.3 du code ISPS : Une SSA (ShipSecurity Assessment) devrait porter sur les
élémentsci-aprèsàbordouà l'intérieurdunavire:
.1-sûreté physique; .2-intégrité structurelle; .3-systèmes de protection individuelle; .4-procédures générales; .5-
systèmes de radio et télécommunications, y compris les systèmes et réseaux informatiques, .6- autres
zones qui, si elles subissent des dommages ou sont utilisées par un observateur illicite, présentent un risque
pour les personnes, les biens ou les opérations à bord du navire ou à l'intérieur d'une installation portuaire.
Cette évaluation est approuvée par l’autorité du pavillon dans le cadre de l’approbation du plan de sûreté du navire.
Page 16/37
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
La mise en place de mesures de sécurité des systèmes d’informations à bord du navire devrait s’appuyer sur le
principe de la roue de DEMING. La méthode comporte quatre étapes, chacune entraînant l'autre, et vise à établir un
cercle vertueux au travers des 4 actions suivantes :
88
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
Le navire est relié à la toile. Les systèmes embarqués peuvent comporter des défauts. La menace est relativement
faible à ce jour. Les systèmes technologiques et de gestion adaptés au navire existent. Le monde du « shipping »
a posé un premier jalon de directives. Tout est donc en place pour protéger les 50 000 navires. Comme nous l’avons
vu, l’acte de malveillance numérique à l’encontre du navire reste marginal à ce jour. Alors pourquoi protéger le navire
? La nécessité de mettre en place des mesures de sécurisation n'améliore pas la gestion de l’exploitation du navire
et oblige cependant à investir dans un domaine qui ne rapporte pas ! Le résultat de l’équation parait simple, à quoi
bon investir dans la cyber sécurité du navire.
Il faut cependant garder à l’esprit que la non prise en compte de cette menace à bord du navire pourrait être
catastrophique et coûter bien plus chère qu’un investissement dans ce domaine. Imaginez les conséquences d’une
cyber attaque sur un porte-conteneurs de 19 000 boîtes dont la valeur marchande peut atteindre 4 milliard de dollars
!
Quel que soit le mode de pensée, ce type de menace est désormais incontournable pour le monde maritime : plus les
navires se numérisent, plus ils sont exposés. Par conséquent, il est essentiel de sensibiliser les armateurs. Il est
essentiel également d’accompagner les armateurs pour concrétiser la mise en place d’outils de gestion, d’outils
technologiques et d’une formation adaptée. Cette enquête illustre les moyens disponibles pour répondre à ce risque
qui n’a rien de marginal.
89
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
L’AIS est initialement destiné à aider les navires à éviter les collisions, les
autorités portuaires et maritimes à surveiller la circulation et assurer un
meilleur contrôle de la mer. Les récepteurs AIS ont fait leur apparition dans les
passerelles depuis quelques années. Ils gèrent l’envoi et la réception des
positions GPS, vitesse, cap, type, lieu et heure d’arrivée des navires, vers et
depuis les navires environnants. L’AIS est un système d’échange de
données entre navires rendu obligatoire par l’Organisation Maritime Internationale (OMI) depuis 2004. Cependant,
la généralisation de l’AIS pose des problèmes de confidentialité liés à la sûreté : la sélection du navire par des pirates.
Les données transmises par l’AIS sont à la portée de tous, y compris de la communauté scientifique. L'installation
d'émission et de réception contient :
▪ un transpondeur (émission automatique déclenchée par une réception préalable) radio VHF avec
2 chaînes de réception et une d'émission ;
▪ une unité de contrôle et de visualisation (Minimum Keyboard Display MKD) incluant le processeur
de communication et les interfaces de sorties vers les autres systèmes (ECDIS, ARPA).
▪ un récepteur GPS donnant la position du navire et le temps UTC nécessaire à la synchronisation
des transmissions de données AIS ;
▪ un récepteur VHF ASN (Appel Sélectif Numérique) est parfois intégré au transpondeur et réglé sur
le canal 70 pour un échange de messages type texto.
Basé sur l’échange automatisé de communications par radio VHF entre navires d’une part, entre navires et centres
de surveillance maritime d’autre part, il permet une identification en temps réel des navires émetteurs. le système est
potentiellement vulnérable :
▪ Au brouillage,
▪ A l’envoi de fausses d’informations,
▪ A la transmission de virus informatiques (l’AIS est géré par un mini-ordinateur).
Par ailleurs, le système AIS peut aussi être utilisé pour diffuser de fausses informations, qu’il est possible de «
fabriquer » relativement facilement. L’objectif de ces faux messages (signal de détresse, fausse localisation de
navire…) est avant tout d’attirer l’attention et de piéger les navires visés. En effet, l’AIS génère une alerte dans ce cas
de figure.
90
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
Il fournit au navigateur toutes les informations dont il peut avoir besoin pour faire route en sécurité : position
instantanée du navire (fonction GPS), lignes de sonde et hauts fonds, éphémérides nautiques (pour le soleil et
la lune notamment), feux côtiers et balises… Il est également couplé au système radar anticollision (ARPA). Le
système est conforme aux normes édictées par l'OMI.
Le système ECDIS a quelques vulnérabilités sous-jacentes de la sécurité des logiciels qui pourraient conduire à
des résultats désastreux pour les navires en mer. La base d’ECDIS est un système de cartographie de navigation
qui utilise un système informatique pour afficher numériquement les cartes marines ainsi que l'emplacement exact
et le suivi de son propre navire.
▪ sur le vecteur de mise à jour du système : disques CD/DVD, par connexion internet/Inmarsat ou
support USB,
▪ la non mise à jour du système d’exploitation qui correspond à un poste de travail qui fonctionne
généralement sur un support de type Windows non mis à jour.
▪ Ce système est interconnecté aux capteurs du navire : radar, NAVTEX, systèmes d'identification
automatique (AIS), Vitesse Log, Sondeur, anémomètre. Ces capteurs sont souvent connectés au
réseau local à bord des navires (port série / NMEA aux adaptateurs LAN),
91
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
▪ Le DAU (Data Acquisition Unit) qui correspond au cœur de l’équipement marin : entrées VHF, entrée
Radar, disque dur ou Flash disk extractible, batterie de secours autonome, micros, capsule haute
résistance d’enregistrement des données, BAU (Bridge Alarm Unit), SIU (Sensor Interface Unit) qui
collecte toutes les autres données, les codifie et les retransmet au DAU,
▪ L’enregistrement de données : date et heure, position du navire, vitesse surface (loch), cap gyro,
compas magnétique, image radar, conversations passerelle, radio communications
(émission/réception), hauteur d'eau sous la quille (sondeur), alarmes principales (incendie,
machine, etc.), statut des ouvertures dans le bordé (ouvertes ou fermées), statut des portes
étanches et des portes coupe-feu (ouvertes/fermées), angle de barre, ordres et réponses machine
- (transmetteur d'ordre machine), propulseur, vitesse vraie ou relative du vent.
▪ sur le vecteur de mise à jour du système : disques CD/DVD, par connexion internet/Inmarsat ou
support USB,
▪ la non mise à jour du système d’exploitation qui correspond à un poste de travail qui
fonctionne généralement sur un support de type Windows non mis à jour.
▪ Ce système est interconnecté aux capteurs du navire.
92
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
Les signaux des satellites civils ne sont pas protégés par chiffrement. Il est donc possible de les intercepter et de les
dupliquer.
5- RADAR /ARPA
93
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
Les vulnérabilités du système correspondent aux faiblesses de sécurité des capteurs tel qu’un GPS et à l’interface
homme/machine/machine qui utilise un système d’exploitation qui doit être mis à jour.
(1) l’ensemble des réseaux ICS (Industrial Control System) : gestion des capteurs et actionneurs,
(2) le SCADA (Supervisory Control and Data Acquisition) : l’ensemble des serveurs, poste de travail et
applications de l’ICS pour superviser le procédé industriel.
D’une manière très générale, la problématique de la gestion de la sécurité des systèmes d’informations industriels
résident en deux points :
▪ La différence de durée de vie entre les outils du Scada (cycles de vie courts (3-5 ans)) et les réseaux
industriels (cycle de vie longs de 15-20 ans : équipements figés et difficiles à faire évoluer).
▪ La culture de programmation qui ne va pas dans le sens d’une approche préventive de la sécurité.
94
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
La vulnérabilité des systèmes industriels n’est plus à démontrer. Les APT (Advanced Persistant Threat) de
type STUXNET ont illustré leurs compétences en matière de sabotage. Les failles du système pourraient
porter sur 7 domaines :
(2) Un faible niveau de protection des accès : contrôle d’accès très simple avec une gestion de l’utilisateur
et du mot de passe trop faibles ou inexistant, absence d’antivirus sur les postes de travail et serveurs, des
utilisateurs disposant de privilèges administrateur.
(3) L’absence de cloisonnement entre les systèmes d’information de gestion et les systèmes industriels
non sécurisé : ce principe permet de s’introduire via le système de gestion informatique dans le réseau
industriel. Cette faille est la cible de nombreuses attaques récentes. Ces ponts servent à remonter des
informations issues de la production directement dans les systèmes de pilotage. Cette méthode d’accès
permet à la fois le recueil d’information et le sabotage.
(5) La non mise à jour et la faiblesse des protocoles de gestion courants (FTP, Telnet, VNC, SNMP…)
utilisés sans chiffrement qui ouvre l’accès à la récupération de login/mot de passe, à des connexions
illégitimes aux serveurs,
(6) L’utilisation croissante de systèmes informatiques standards non durcis : Ces produits sur étagères
permettent une réduction des coûts et d’interopérabilité. Ces systèmes sont par conséquent la proie de
logiciel malveillant.
(7) L’absence de contrôle des intervenants sur les systèmes industriels : la surveillance des sous-traitants
reste bien souvent insuffisante. Les conséquences de cette non-gestion peuvent être la perte de données,
la détérioration d’équipements, la mise en danger du navire de son équipage et de l’environnement.
95
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
(2) Absence de contrôle d’accès au Contrôler les interventions sur les Système de gestion de la sécurité du navire (ISM) : fiches R2, R4
système d’exploitation du système systèmes d’exploitation non verrouillés. La politique compagnie doit intégrer les relations avec les intervenants
(ECDIS, DP, SCADA) (interne/externe) sur les réseaux critiques de conduite du navire. Ces
relations devraient être formalisées au niveau des contrats liant les
différentes parties (Compagnie/Equipage/Prestataires de service).
(6) Non mise à jour du système Suivi des recommandations constructeur et Système de gestion de la sécurité du navire (ISM) : fiches R2, R3
d’exploitation gestion de la configuration des systèmes Le suivi de la mise à jour des systèmes d’exploitation via des « patch »
(ECDIS, VDR, DP, SCADA) d'exploitation et des logiciels à bord du systèmes doit permettre de disposer d’un système toujours à niveau.
navire.
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
Pour exécution : bureau de la réglementation et du contrôle de la sécurité et de la sûreté des navires, Centre de
Sécurité des Navires.
Résumé : Cette enquête a pour objectif de dresser un état des lieux du niveau de sécurité des systèmes
d’information présents à bord du navire (cybersécurité du navire). A l’issue, les éléments de cette étude
participeront à définir un standard sur la vulnérabilité du navire. Ces éléments pourraient être pris en compte dans
le cadre de la refonte réglementaire du Décret 2007-937 et du Décret 84-810.
Mots clés :
✓ Cartographie du système d’information : ensemble d’éléments décrivant le système d’information et comprenant
notamment la liste des ressources matérielles (modèles) et logicielles (versions) utilisées, l’architecture du réseau
sur lequel sont identifiés les points névralgiques (serveurs sensibles, connexions externes).
✓ Zone d’Accès Restreinte : zone identifiée au titre du plan de sûreté du navire.
✓ Service sensible : conduite du navire, maintenance du navire, conduite des opérations en relation avec la gestion
de la cargaison du navire (stabilité, transfert de cargaison, ventilation double coque, rejets…), messagerie
électronique du navire.
✓ Mot de passe complexe : mot composé d’au moins 8 caractères de types différents (majuscules, minuscules,
chiffres, caractères spéciaux).
✓ Administrateur réseau : compte privilégié permettant la réalisation d’opérations de configuration et de gestion
sur tout ou partie du système d’information : installation, gestion des configurations, maintenance, évolution du
SI, supervision ou gestion de la sécurité.
✓ Réseau WIFI sécurisé : lors de la première configuration l’identifiant et les mots de passe ont été modifiées,
protocole de chiffrement (WPA2 ou WPA-AES).
✓ Dispositif de protection du système d’information : dispositif technique mis en place en vue d’élever le niveau de
sécurité du système d’information. Il peut s’agir par exemple de solutions de type antivirus (logiciel destiné à
identifier, neutraliser et effacer des logiciels malveillants), de dispositifs de chiffrement des données (procédé
cryptographique grâce auquel on rend la compréhension d’un document impossible à toute personne qui ne
possède pas la clé de (dé)chiffrement), de pare-feu ou firewall (logiciel et/ou matériel permettant de protéger les
données d’un réseau en filtrant les entrées et en contrôlant les sorties selon des règles pré définies).
Documents de référence :
✓ Code international pour la sûreté des navires et des installations portuaires (ISPS) : B8.3.5 sur l’évaluation des
moyens de communication y compris les systèmes et réseaux informatiques.
✓ Instruction sûreté des navires en date du 26 janvier 2015 (Processus écoute client – système qualité DAM),
✓ Note technique sur la certification des navires en date du 25 février 2015,
97
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
98
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
Pièce(s) jointe(s) :
99
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
5- ANNEXE N° 3 – GUIDES
Ces fiches comprennent les objectifs à mettre en place pour réduire le risque de cyber menace.
En complément, ces fiches font références aux outils sur lesquels la compagnie peut s’appuyer pour
réduire ce risque :
▪ Outils technologique,
Ces 7 fiches font références aux recommandations de l’enquête menée par la DAM et se basent
sur les directives de la circulaire de l’OMI MSC.1/Circ.1526 du 01 juin 2016 en matière de
prolongement des pratiques utilisées à bord du navire.
▪ R5 / Plan de continuité
OBJECTIFS :
CONTROLE DE L’APPLICATION :
Le contrôle de cette évaluation est approuvé par le pavillon dans le cadre de l’approbation
du plan de sûreté du navire en référence au règlement CE 725/2004.
L’évaluation de la cyber sécurité du navire devra évoluer afin d’avoir toujours un seuil
permettant de faire face efficacement à un acte de malveillance. Ce seuil doit répondre au besoin
de continuité opérationnelle du navire. Le point clé reste la résilience du système au fil du temps.
PRINCIPE :
Besoin d’une approche globale, afin que le dispositif ne présente pas de possibilités de
contournement.
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
OBJECTIFS :
Le guide PSSI a pour objectif de fournir un support aux responsables SSI pour élaborer une
politique de sécurité du ou des systèmes d’information (PSSI) au sein de leur organisme. Il est
décomposé en quatre sections : (1) l’introduction, ce présent document, permet de situer la place
de la PSSI dans le référentiel normatif de la SSI au sein de l’organisme et de préciser les bases de
légitimité sur lesquelles elle s’appuie ; (2) la méthodologie présente, de façon détaillée, la
conduite de projet d’élaboration d’une PSSI, ainsi que des recommandations pour la construction
des règles de sécurité ; (3) le référentiel de principes de sécurité ; (4) une liste de documents de
références de la SSI (critères d’évaluation, textes législatifs, normes, codes d’éthiques, notes
complémentaires…).
PRINCIPES :
1. La politique de sécurité doit être apparente : l’existence de mesures de protection
doit être perçue sans pour autant être connue de façon détaillée.
2. La politique compagnie doit permettre de répondre au principe d’un SOC (Security
Operation Center). Ce format permet de répondre à la détection, à la prévention, à l’alerte
et à l’aide à la décision pour faire face à un acte de malveillance.
3. Enfin, la cyber sécurité du navire sera assurée si l’action se réalise au niveau
organisationnel en mettant en place des normes.
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
OBJECTIFS :
1. Mot de passe :
- Définitions : structures, stockage, changement de fréquence,
- Protection des services sensibles du navire,
2. Logiciel : gestion de la mise à jour, autorité de mis à mise jour, maintient du niveau SSI
suffisant,
3. Accès au moyens SSI du navire :
- Gestion des comptes SI du navire par la compagnie,
- Gestion des comptes SI du navire à bord du navire,
- Gestion des comptes anonymes ou génériques ayant accès au navire,
4. Sauvegardes des données : fréquence de sauvegarde des données du navire, dispositif de
sauvegarde, support de secours,
5. Définir le rôle de chacun à bord en matière de SSI : administrateur navire, sensibilisation,
CONTROLE DE L’APPLICATION :
La vérification de l’application par la compagnie et le navire de cette politique s’effectue lors des
audits interne siège et navire dans le cadre du code ISM,
PRINCIPE :
Principe de responsabilisation des utilisateurs ou gérer le « besoin d’en connaître » de chaque
utilisateur, interne ou externe.
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
OBJECTIFS :
1. Réseau WIFI :
- Mesures de protection des données WIFI : cloisonner les réseaux, système de cryptage,,
- Limiter les échanges lors des opérations sensibles du navire (approches portuaires,
gestion de la cargaison…),
2. Connections aux réseaux : cadrer les mesures de protections lors de la connections de
dispositifs USB, PC…
3. Proscrire les systèmes sans fil (vulnérabilité radio de type « keySniffer),
4. Eviter les outils informatiques non référencés (Shadows IT ) : gestion des accès,
5. Connections aux systèmes industriels du navire :
- Gestion des ports de connections,
- Traçabilité en matière de connections,
- Télémaintenance : activation des ports,
PRINCIPES :
1. Principe d’autoprotection, ou « tout ce qui est extérieur ne peut être considéré comme sûr ».
2. Principe d’identification : limiter, surveiller les connections vers l’extérieur, bloquer toutes les
communications non nécessaires, authentifier les intervenants extérieurs.
3. Une attention particulière doit être portée aux systèmes sans fil et aux équipements
mobiles.
4. Un navire utilisant la télémaintenance doit renforcer la surveillance de ses accès qui
nécessitent des privilèges élevés. Les contrats avec les sociétés de services doivent
contenir des engagements de responsabilité.
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
OBJECTIF :
1. Code ISM chapitre 8 « PRÉPARATION AUX SITUATIONS D'URGENCE» : mise en place d’un
plan de continuité de fonctionnement après un incident,
2. Code ISM chapitre 9 « NOTIFICATION ET ANALYSE DES IRRÉGULARITES, DES ACCIDENTS
ET DES INCIDENTS POTENTIELLEMENT DANGEREUX» : report et surveillance du SSI du
navire .
CONTROLE DE L’APPLICATION :
La vérification de l’application par la compagnie et le navire de cette politique s’effectue lors des
audits interne siège et navire dans le cadre du code ISM,
SUPPORTS D’AIDE DOCUMENTAIRE OU TECHNIQUE :
PRINCIPE :
Principe de confinement, ou « il faut toujours pouvoir isoler un membre infecté ». Ceci est
particulièrement utile en cas d’attaque par de ver ou virus. A titre d’exemple, l’ application de ce
principe correspond à la mise en place de « sas de décontamination ». Ce sas peut lui-même
constituer un sous-réseau, où une politique de sécurité particulière, moins stricte que celle du
réseau interne, est mise en oeuvre, et sur lequel on peut placer des machines dédiées (serveurs
Web, antivirus, de messagerie), mais aussi des outils de détection d’intrusion...
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
OBJECTIFS :
CONTROLE DE L’APPLICATION :
La vérification de l’application par la compagnie et le navire de cette politique s’effectue lors des
audits internes siège et navire dans le cadre du code ISM,
PRINCIPES :
OBJECTIFS :
CONTROLE DE L’APPLICATION :
La vérification de la gestion de cette évaluation s’effectue lors de l’approbation du plan de sûreté
du navire et lors des audits de certification du navire,
PRINCIPES :
1. La sécurité physique est un aspect fondamental de tout type de sécurité pour garantir
l’intégrité, la confidentialité et la disponibilité des informations. Si quelqu’un réussit à
accéder au système informatique du navire, il peut l’endommager ou même le détruire.
2. La sécurité physique consiste en l’usage de barrières, alarmes, serrures et autres
contrôles physiques permettant de conditionner l’accès physique aux locaux, aux
ordinateurs et aux équipements. Ces mesures sont nécessaires pour protéger les
ordinateurs, leur contenu et les autres ressources matérielles contre l’espionnage, le vol
et la destruction accidentelle ou intentionnelle.
3. Nécessité d’une gestion dynamique du risque. Le risque doit être géré de façon
continue et dynamique dans un monde qui change très vite dans le domaine des
technologies de l’information et de la communication. Pour une entité donnée, il faut, à
tout moment, être informé des menaces les plus probables et des vulnérabilités publiées
et préparer un certain nombre de plans : réactions, de continuité des opérations...
applicables en cas d’incident, ou en cas d’attaque. Au-delà de ces plans, il peut s’avérer
judicieux de faire appel, pour la gestion des incidents informatiques, à des spécialistes
capables de caractériser l’attaque, d’évaluer les dégâts et de prendre des mesures de
confinement et de réaction.
107
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
PARTIE 3 :
BONNES PRATIQUES SECURITAIRES
108
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
1- SUR LE NAVIRE
109
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
À bord :
• déterminez des règles pour le format des mots de passe (longueur, complexité) et
faites les respecter ;
• modifiez systématiquement et au plus tôt les mots de passe par défaut lorsque les
systèmes en contiennent ;
• ne conservez pas les mots de passe dans des fichiers ou sur des post-it ;
• lorsque vous naviguez sur Internet, ne préenregistrez pas vos mots de passe dans
les navigateurs, notamment en cas d’utilisation d’un équipement public ou
partagé.
Enfin, au-delà de l’utilisation d’un mot de passe fort, pensez toujours à verrouiller
votre session, même lors d’une absence courte, afin d’empêcher tout accès non
autorisé à votre poste.
110
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
confidentielles (ex : code confidentiel, numéro de carte bancaire). En effet, des cour-
riels usurpent les couleurs d’institutions dans le but de récupérer vos données. Il
s’agit d’attaques par hameçonnage (ou « phishing ») ;
• n’ouvrez pas et ne relayez pas de messages de types chaînes de lettre, appels à la
solidarité, alertes virales, etc. ;
• désactivez l’ouverture automatique des documents téléchargés.
Il est donc recommandé de séparer vos usages personnels et vos usages professionnels :
• ne faites pas suivre vos messages électroniques professionnels sur des services de
messagerie utilisés à titre personnel ;
• n’hébergez pas de données professionnelles sur vos équipements personnels (clé
USB, smartphone…) ou sur des moyens personnels de stockage en ligne ;
• ne connectez pas de supports amovibles personnels (clé USB, disques durs ex-
ternes…) aux ordinateurs du navire ou de l’entreprise.
111
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
112
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
Soyez aussi prudent avec votre smartphone ou votre tablette qu’avec votre ordina- teur.
Bien que proposant des services innovants, les smartphones sont aujourd’hui très peu sécu-
113
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
risés. Il est donc indispensable de leur appliquer certaines règles élémentaires de sécurité
informatique :
• n’installez que les applications nécessaires et vérifiez à quelles données (informa-
tions géographiques, contacts, appels téléphoniques…) elles peuvent avoir accès
avant de les télécharger. Il est recommandé d’éviter d’installer des applications qui
demandent l’accès à des données qui ne sont pas nécessaires à leur fonctionnement ;
• en plus du code PIN qui protège votre carte téléphonique, utilisez un mot de passe
pour sécuriser l’accès à votre terminal et le configurer pour qu’il se verrouille
auto- matiquement ;
• effectuez des sauvegardes régulières de vos contenus sur un support externe pour
pouvoir les conserver en cas de restauration de votre appareil dans son état initial ;
• ne préenregistrez pas vos mots de passe.
114
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
…Et pour compléter ces différentes recommandations, pensez à prendre connais- sance de
la Politique de sécurité informatique de votre compagnie.
115
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
ternes réservés exclusivement à cet usage ou, à défaut, des CD ou DVD enregistrables
devraient être mis à disposition de l’équipage. De tels supports doivent être rangés dans
un lieu éloigné du système sauvegardé. Il convient en outre d’accorder une
attention particulière à leur durée de vie.
Idéalement, un serveur de stockage sécurisé en réseau – ou NAS (Network Attached
Storage) – pourrait être mis en place sur le réseau du bord. Un tel serveur comporte
plusieurs disques de sauvegarde et, de ce fait, garantit un niveau élevé de disponibilité
des données. Il convient de veiller à disposer de disques durs neufs de réserve en cas de
panne et de procéder fréquemment à une inspection du NAS afin de détecter au
plus tôt le dysfonctionnement d’un disque dur.
Les différents comptes sur les systèmes de bord doivent être créés et gérés avec la plus
grande attention :
116
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
• Supprimez tous les comptes anonymes ou génériques. Chaque utilisateur doit pou-
voir être identifié nommément afin de pouvoir relier chaque action à un
utilisateur.
Établissez et faites respecter des procédures encadrant les mouvements de person- nels : il
convient de s’assurer que les droits octroyés sur les systèmes d’information sont
appliqués au plus juste et qu’ils sont révoqués dès le départ d’une personne.
117
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
AES doit être utilisé (ne jamais activer le chiffrement WEP, cassable en quelques
minutes).
La clé de connexion doit être un mot de passe de plus de 12 caractères de types
diffé- rents. Elle n’est communiquée qu’à des personnes de confiance et doit être
changée régulièrement.
Le réseau Wi-Fi du navire ne devrait permettre l’accès qu’au réseau réservé à l’utilisa-
tion des ordinateurs personnels de l’équipage (parfois appelé réseau « Welfare »).
Enfin, lors des escales, à terre, n’utilisez pas les Wi-Fi « publics » offerts dans les
ports, les hôtels…, pour des raisons de sécurité.
Il est également recommandé de séparer les équipements destinés à des usages profes-
sionnels et les postes de travail destinés à des usages personnels, en les plaçant au sein
de deux réseaux distincts.
La plupart des équipements d’accès (ou « box ») proposés par les fournisseurs d’accès
à Internet par satellite et équipant les navires permettent ainsi la configuration de deux
réseaux virtuels distincts et étanches (« VLAN » – virtual local area network). L’un
de- vrait être exclusivement dédié aux équipements et usages professionnels, l’autre
(par- fois nommé « VLAN Welfare ») aux équipements et usages personnels.
118
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
3- VOCABULAIRE
• Antivirus : logiciel informatique destiné à identifier, neutraliser et effacer des logi- ciels
malveillants.
• Cheval de Troie : programme qui s’installe de façon frauduleuse pour remplir une tâche
hostile à l’insu de l’utilisateur (espionnage, envoi massif de spams,…).
• Chiffrement : procédé de cryptographie grâce auquel on souhaite rendre la com-
préhension d’un document impossible à toute personne qui ne possède pas la clé de
(dé)chiffrement.
• Compte d’administrateur : compte permettant d’effectuer des modifications affec- tant les
utilisateurs (modification des paramètres de sécurité, installation de logi- ciels…).
• Mise à jour : action qui consiste à mettre à niveau un outil ou un service informa- tique
en téléchargeant un nouveau programme logiciel.
• Phishing (hameçonnage) : méthode d’attaque qui consiste à imiter les couleurs d’une
institution ou d’une société (banque, services des impôts) pour inciter le des- tinataire à
fournir des informations personnelles.
• Système d’exploitation : logiciel qui, dans un appareil électronique, pilote les dispo- sitifs
matériels et reçoit des instructions de l’utilisateur ou d’autres logiciels.
• Wi-Fi : connexion Internet sans fil.
119