©DR

Étayée par de nombreux exemples et enrichie par quelques 200 entretiens avec les parties prenantes, l’étude sur les risques cybernétiques dans le transport maritime, portée par la société CyberOwl et le cabinet d'avocats HFW, témoigne de l’extrême vulnérabilité du secteur alors que la réglementation et l’assurance tâtonnent. Pourtant, près de la moitié des organisations sondées ont fait l'objet d'une cyberattaque au cours des trois dernières années et donné lieu à des rançons qui se chiffrent en millions d’euros. 

« The Great Disconnect ». La grande déconnexion. Un titre qui en dit long sur l’état de l’art des risques cyber dans le secteur maritime. Plusieurs attaques récentes, très médiatisées, ont sensibilisé sur la réalité du phénomène qui, jusqu’à ces dernières années, était encore peu palpable jusqu’à ce que sept des dix premiers transporteurs mondiaux de conteneurs reconnaissent publiquement avoir été victimes de cyberattaques, inquiétantes pour leur capacité à figer des opérations.

Secteur connecté s'appuyant de plus en plus sur des applications en ligne pour assurer la circulation des navires et des marchandises, et appelé à l’être encore davantage au vu de son accélération digitale, le transport maritime est un candidat idéal pour les prédateurs des systèmes d’information. Transportant des marchandises dangereuses et produits chimiques, les navires sont en outre des actifs critiques. La vulnérabilité s’accroît face à la crainte que la Russie n'utilise la cyberguerre en représailles aux sanctions occidentales appliquées en raison de son invasion de l'Ukraine.

Compréhension du risque cybernétique faible

« Malgré cette menace croissante, la compréhension du risque cybernétique reste relativement faible. Il en va de même pour l’appréhension qu'a le secteur de ses responsabilités et obligations », indiquent les auteurs de cette étude portée par la société de cybersécurité maritime CyberOwl et le cabinet d'avocats mondial spécialisé dans ce domaine, HFW. Les deux entreprises ont confié sa réalisation à la société Thetius, qui a mené plus de 200 entretients avec des professionnels, des dirigeants, des experts des systèmes d’information, des marins, des responsables à terre, des prestataires…

C’est sans doute l’une des études les plus documentées – par ses nombreux exemples, ses témoignages et l’analyse des données –, sur les risques cybernétiques propres au transport maritime. Elle a le mérite d’être assez efficace en une cinquantaine de pages et ses chapitres organisées en trois questions : quelles sont les cybermenaces maritimes ? Qu’est ce qui rend vulnérable l’industrie maritime (la dite déconnexion du titre qui renvoie à la gestion en interne mais plus largement à celle de la supply chain) ? Comment y remédier ?

« Les conclusions de ce rapport aident les responsables du transport maritime à évaluer leur propre organisation. Il dépasse les anecdotes car il est basé sur données provenant des flottes surveillées par CyberOwl », explique en introduction Daniel Ng, le PDG de la start-up spécialisée. « La technologie dans le secteur du transport maritime évolue à un rythme étonnant. L'utilisation de l'informatique sous-tend déjà une grande partie des opérations de la chaîne d'approvisionnement mondiale, et avec l'adoption prochaine de systèmes de propulsion alternatifs et de navires autonomes, l'importance de la cybersécurité ne fera que croître », ajoute Tom Walters, associé au sein de HW

Des rançons de 3 M$

Parmi les enseignements qui cognent à la lecture, ceux qui touchent au portefeuille. Près de 45 % des 200 professionnels interviewés ont déclaré que leur organisation avait fait l'objet d'une cyberattaque au cours des trois dernières années. Parmi ceux-ci, 3 % ont donné lieu au paiement d'une rançon – zone d'ombre juridique* – d’un coût moyen de 3,1 M$. En moyenne, les cyberattaques ont coûté aux exploitants de navires 182 000 $ par an. Or, seuls 34 % d’entre eux estiment que leur organisation est parée contre les cyberattaques et 54 % dépensent moins de 100 000 $ par an pour sa gestion.

Deux tiers des professionnels du secteur ignorent si leur assurance couvre les agressions informatiques. Plus de 25 % des marins ne savent pas quelles actions leur seraient demandées en cas de cyberincident. À terre, 38 % des hauts responsables n'ont pas de plan d'intervention spécifique ou ne savent pas si leur organisation en a un. Plus on monte dans la hiérarchie, moins la personne est au fait des mécanismes des intrusions dans les systèmes d’information.

Des problèmes similaires existent tout au long de la chaîne d'approvisionnement maritime, avec un décalage entre les normes de sécurité appliquées par les exploitants de navires et par les différentes parties prenantes. C’est dire que de les opérateurs ont peu ou pas de contrôle sur la sécurité des systèmes installés à bord. Ce déphasage trouve un prolongement dans les réglementations : la résolution de l'OMI sur la cybersécurité fait ainsi peser la charge de la conformité réglementaire sur les seuls propriétaires et exploitants de navires.

Motivation des pirates

Les motivations des pirates et leur mode opératoire échappent manifestement à ceux qui ont à subir leurs méfaits, notamment quand ils relèvent de vrais cybercriminels. 

« Ils peuvent être motivés par toute une série de raisons, de la plus anodine comme des fans informatiques intellectuellement curieux, à la plus hostile avec le désir de nuire. Il peut s’agir dans ce cas de manoeuvres hautement sophistiquées, parrainées par des États et/ou des bandes criminelles organisées, ou d’activistes qui ont repéré une vulnérabilité, soulignent les auteurs. Avec les ressources d'un État-nation, l'usurpation d'une mer entière n'est pas seulement une possibilité, c'est une réalité. »

La motivation financière, pour ceux qui exécutent, reste bien souvent le mobile. Surtout quand il doit servir un trafic lucratif, que cela soit celui des stupéfiants ou de la piraterie maritime le long des côtes africaines. 

En 2011, des hackers ont eu accès au système d'exploitation du terminal du port d'Anvers. La base de données compromise contenait des informations précises sur la localisation de chaque conteneur dans l'installation. Parallèlement à cette cyberviolation, les trafiquants de drogue ont fait entrer et sortir un flux constant de stupéfiants du port pendant au moins deux ans. « La cocaïne et l'héroïne étaient dissimulés dans des conteneurs chargés de bois et de bananes. Les informations dérobées dans le système d'exploitation du port ont permis aux trafiquants de pénétrer dans l'installation sécurisée et de repérer leur contrebande parmi les milliers de conteneurs indéfinissables pour la récupérer. Les autorités sont restées dans l'ignorance jusqu'à ce que les criminels fassent preuve d'un excès de zèle et commencent à retirer des conteneurs entiers de l'installation ».

En 2016, un groupe de pirates s'est introduit dans les systèmes d’informations d'un grand transporteur de conteneurs, ayant ainsi accès aux manifestes de cargaison de ses navires. Ils ont été vendus sur le dark web et tombés entre les mains de pirates somaliens. Il s'en est suivi une série d'attaques coordonnées qui ont duré le temps que la société finisse par identifier le mode opératoire et ses vulnérabilités.

Sophistication des agressions

« Bien que la contrebande de drogues et le vol de marchandises puissent être lucratifs, ces opérations ont un rapport risque/récompense intrinsèquement faible », relève l’étude. En revanche, les criminels peuvent extorquer avec un risque minimal et une récompense nettement plus importante grâce à des logiciels classés dans la catégorie des ransomwares, redoutables pour infiltrer et crypter des réseaux informatiques critiques. Ces logiciels sont « monnaie courante » mais ils se sont sophistiqués ces dernières années avec l’émergence des cryptomonnaies qui offrent aux criminels des méthodes de paiement anonymes, rappellent les auteurs

En 2021, ces logiciels se sont attaqués aux équipements. Cas le plus emblématique, l'attaque du Colonial Pipeline, par où transitent 45 % de tout le carburant consommé sur la côte Est des États-Unis. Les propriétaires n'ont eu d'autre choix que de payer les 4,4 M$ en bitcoins exigés en échange du rétablissement des opérations.

Usurpation des identités

Les systèmes mondiaux de navigation par satellite (GNSS, global navigation satellite systems), qui donnent la position d'un élément partout et en temps réel, sont essentiels au bon fonctionnement des équipements des systèmes de navigation d'un navire. Mais ils sont des proies faciles pour piller les identités.

« Lorsque l'usurpation est subtile, l'équipe de navigation du navire peut ne pas se rendre compte qu'elle est attaquée, ce qui entraîne des conséquences bien plus graves. » Et le rapport de citer le cas du Stena Impero, battant pavillon britannique, qui en traversant le détroit d'Ormuz, notoirement difficile à naviguer, a connu des écarts inhabituels par rapport à son plan de voyage.

« Bien que cela n'ait pas été confirmé par les autorités iraniennes ou britanniques, les experts considèrent que le GPS du navire a été corrompu pour le forcer à traverser involontairement les eaux iraniennes ». Les données du Système d'identification Automatique (AIS) ont en effet indiqué que le GPS transmettait des données de position qui ne correspondaient pas au cap et à la vitesse réels du navire. Le pétrolier sera arraisonné ensuite par les Gardiens de la révolution iranienne et détenu pendant deux mois dans le cadre de l'escalade de la crise diplomatique entre l'Iran et les États-Unis.

Plus connectés que jamais, les navires deviennent des objets captifs

« Pendant de nombreuses décennies, la meilleure défense d'un navire contre les cyberattaques était son isolement, posent les auteurs dans leur réflexion sur les vulnérabilités de cette industrie en particulier. Sans connexion numérique avec le monde extérieur, il était pratiquement impossible d'infiltrer le système d'un navire sans agir physiquement à bord. » Plus connectés que jamais, ils sont aussi devenus captifs que jamais.

Des entretiens avec les professionnels, l’étude a identifiés plusieurs lacunes. Le facteur humain reste le maillon faible mais aussi le plus grand atout, dans la mesure où il est possible d’influer.

Qu’a-t-il été fait depuis l'attaque NotPetya contre Maersk en 2017, qui a coûté au groupe des centaines de millions de dollars ? Le Comité de la sécurité maritime de l'OMI a adopté la résolution MSC.428(98) en 2017 pour donner des orientations sur les bonnes pratiques en matière de cybersécurité. Mais la conformité ne signifie pas la protection. 

Assurance pas adaptée

Il reste aussi beaucoup à faire en termes de réglementation et d’assurance, notent les experts. La réglementation évolue toutefois depuis l’adoption de la résolution de l'OMI qui intègre ces risques dans le système de gestion de la sécurité (SGS). « C’est une première étape importante ». Reste à savoir si le navire peut être considéré en état de naviguer à la lumière de la directive 2021 de l'OMI. Les exploitants doivent être en mesure de prouver avoir pris des mesures raisonnables pour gérer les agressions informatiques.

L’assurance reste une autre problématique. Parmi les reproches récurrents des cyber-souscripteurs : les produits proposés ne couvrent pas de manière adéquate le coût réel des cyberattaques, notamment la perte d'activité induite.

« Plusieurs exemptions excluent spécifiquement le risque cybernétique des polices d'assurance. En outre, lorsqu’il est intégré, il peut être soumis à des franchises ». Lorsque les cybercriminels sont parrainés par des États, la définition d’« actes de guerre » n’est pas évidente. Plusieurs affaires en cours devant les tribunaux tentent d’y répondre. Ils feront alors sans doute jurisprudence.

Adeline Descamps

* Dans de nombreuses juridictions, le fait d'effectuer des paiements à des organisations terroristes constitue une infraction pénale. L'Office of Foreign Asset Control (OFAC) aux États-Unis interdit par exemple à toute personne relevant de la juridiction américaine d'effectuer des transactions avec des entités ou des personnes, organisations ou des États-nations sous sanction.

 

Des attaques bien réelles

Récemment, une cyberattaque a été signalée au port indien de Jawaharlal Nehru, qui a paralysé les activités du terminal à conteneurs, une installation gérée par l'État. Une autre attaque a frappé la société américaine de logistique Expeditors, l'obligeant à verrouiller ses systèmes d'exploitation dans le monde entier pour en limiter l'impact.

Ces attaques viennent s'ajouter à une longue liste. Le phishing et les ransomwares étant les formes d'attaque les plus courantes. En septembre 2021, CMA CGM a subi la deuxième agression en un an par logiciel malveillant, la première en septembre 2020. 

Ces deux dernières années, les attaques se sont multipliées dans le secteur de la logistique et du transport. Gefco en a fait les frais. MSC a connu un épisode similaire en début d’année 2020 qui a rendu inopérants ses services pendant cinq jours. L'entreprise de logistique danoise Blue Water a aussi dû contrer des pirates informatiques. L’OMI, l’autorité internationale de réglementation du transport maritime, a subi des assauts peu de temps après CMA CGM. 

En mars 2021, K Line a signalé un ransomware attaquant l’ensemble de ses systèmes d’information au point de les rendre hors service. La récupération de l’ensemble de ses données a pris plus d'un mois. Peu de temps après, la compagnie japonaise a connu une deuxième tentative d’incursion. HMM a également signalé une introduction dans son système de messagerie électronique en juin. Le géant du courtage maritime Clarksons a été concerné.

L’« invasion » la plus médiatisée reste celle qu’a subie la société sud-africaine Transnet, premier gestionnaire du trafic de conteneurs en Afrique du Sud. En proie à un logiciel dommageable à grande échelle en juillet, elle avait été contrainte de suspendre les opérations dans les quatre principaux ports du pays, Cape Town, Ngqura, Port Elizabeth et Durban.

Transnet, qui gère un important réseau de fret ferroviaire acheminant des minéraux et d’autres produits de base pour l’exportation, avait même dû déclarer la force majeure, une clause lui permettant de ne pas remplir ses engagements vis-à-vis de ses clients en cas d'évènement imprévisible. L'Afrique du Sud étant le point d'échange de pays enclavés tels que le Zimbabwe ou la République démocratique du Congo, l’attaque peut très rapidement prendre des proportions considérables. La plupart du cuivre et du cobalt extraits en RDC et en Zambie, où opèrent des géants miniers tels que Glencore et Barrick Gold, utilisent Durban pour expédier des marchandises hors d’Afrique.

A.D.