Fondée en novembre 2020, France Cyber Maritime a publié, cette année, son premier panorama de la menace qui pèse sur le monde maritime. Il fait état de trois principaux types de menaces : étatique, cybercriminelle et hacktiviste. Olivier Jacq, directeur technique et scientifique au sein de France Cyber Maritime, présente l’association et la première édition du panorama.
Qu’est-ce que France Cyber Maritime ?
France Cyber Maritime est une association loi 1901 fondée en novembre 2020. Elle a pour objectif de fédérer des acteurs de la cybersécurité et du maritime, qu’ils soient de droit public ou privé, afin de travailler conjointement sur le sujet de la cybersécurité maritime.
Le maritime est très important pour nos économies, la majeure partie de nos biens transitent par les mers. Si un jour, il devait y avoir une interruption majeure à la suite d’une cyberattaque, les conséquences pour l’ensemble de l’économie pourraient être assez lourdes.
Sécuriser un navire s’avère compliqué. Il dispose de systèmes particuliers, il est souvent en mer, il existe des contraintes satellitaires. Il fallait donc trouver des solutions adaptées. Une réflexion a été menée par l’État français, qui a mené à la création de deux structures. Une plus axée sur des actions de pilotage : le Conseil cyber du monde maritime (C2M2). Et une structure plus opérationnelle : France Cyber Maritime. Aujourd’hui, nous comptons près de 80 adhérents de toutes tailles : des ports, des grands groupes comme Naval Group ou CMA CGM, mais aussi des armateurs de taille plus modeste. C’est vraiment vers ces derniers que nous concentrons nos actions, car ils n’ont pas nécessairement de RSSI (Responsable de la sécurité des systèmes d’information) à temps plein.
France Cyber Maritime, un rôle entre sensibilisation et coordination
Quelles sont les missions de France Cyber maritime ?
Nous avons deux missions. D’abord créer un écosystème cyber avec des acteurs qui ont des besoins en cybersécurité et doivent monter en maturité sur ce sujet. Ce sont les ports, les armateurs et, de manière plus large, toutes les entreprises du monde maritime. D’un autre côté, nous avons les acteurs qui ont des solutions. Ce sont les éditeurs, des PME qui travaillent sur des sujets de formation, de sensibilisation, d’entraînement, de détection, de renseignement cyber, etc. Des entreprises qui sont donc en capacité de répondre à ces attentes, afin que le secteur maritime soit plus sécurisé.
Ensuite, nous opérons le Maritime Computer Emergency Response Team (M-CERT). Son objectif est de suivre l’actualité de la menace, les incidents de cybersécurité, etc. Il apporte une réponse concrète aux acteurs du monde maritime, pour déterminer quels sont les groupes de cybercriminels qui ont attaqué le monde maritime, quelles sont les attaques fréquentes. Il diffuse des bulletins mensuels à tous nos adhérents, ainsi que des indices de compromission. Ce sont des informations techniques qui leur permettent de se protéger au mieux des principales menaces que l’on peut rencontrer et qui touchent le secteur. Enfin, le M-CERT coordonne la réponse à incident. C’est un point d’entrée unique pour les acteurs français ou européens victimes pour expliquer, conseiller et orienter sur les premières actions à mettre en œuvre : il assure donc un rôle essentiel dans la prévention et la coordination. En ce qui concerne les opérateurs d’importance vitale (OIV) et opérateurs de services essentiels (OSE), c’est l’ANSSI (Agence nationale de la sécurité des systèmes d’information) qui intervient en cas d’attaque sur leurs systèmes d’information d’importance vitale ou essentiels.
Présentez-nous le panorama de la menace cyber maritime 2022.
C’est le premier que nous publions. Ce panorama, réalisé en partenariat avec la société OWN, est très important car nous avons encore besoin d’expliquer la réalité de la menace. Comme tous les secteurs industriels, le maritime n’a jamais été aussi soumis à la menace numérique, notamment en termes de cybercriminalité. Le panorama permet donc de diffuser une synthèse de ce qui se passe dans le monde maritime. Quelles ont été les principales attaques ? Par où sont entrés les attaquants ? Quelles ont été les vulnérabilités exploitées ? Quels sont les groupes, que recherchent-ils ? Ce panorama entre donc pleinement dans notre mission de sensibilisation et d’information.
Les ports, la logistique et les armateurs, cibles privilégiées des hackers
Quels ont été les principaux enseignements du panorama ?
Trois principaux types de menaces se dégagent dans ce panorama : étatique, cybercriminelle et hacktiviste. Pour ce qui est du sujet étatique, bien entendu, du fait de son caractère stratégique, le secteur maritime peut présenter un intérêt pour certains pays. Il y a eu, dans le passé, des fuites, délibérées ou non, de publications de certains pays sur leur intérêt pour certains systèmes du secteur maritime. Des sources ouvertes ont ainsi mentionné, il y a quelques mois, des envois de courriers électroniques piégés visant spécifiquement les participants à une conférence maritime. Ils ont ainsi reçu un courrier électronique contenant une pièce jointe piégée qui aurait permis de compromettre leurs données ou leurs systèmes d’information. Toujours à partir de sources ouvertes, on peut également relever des tentatives de compromissions par des clés USB, qui sont encore très utilisées à bord des navires pour des opérations de maintenance, notamment.
Pour la menace d’origine criminelle, nous avons dressé le bilan des groupes les plus actifs dans le domaine maritime, les points d’entrée et les vulnérabilités qu’ils privilégient. Nous établissons notamment un focus sur les infostealers, dont on parle peu par rapport aux attaques par rançongiciel. Pourtant, ils en sont souvent à l’origine, afin de concevoir des courriels de phishing réalistes grâce aux informations glanées. À l’heure actuelle, l’attention se concentre autour d’une dizaine de groupes de rançongiciels, comme Lockbit 3.0. En France et à l’international, nous avons la chance d’avoir de nombreux chercheurs en cybersécurité qui s’intéressent à ces groupes afin de déterminer leurs modes d’action. Cela permet bien souvent de disposer rapidement d’informations. Sur un récent cas d’attaque sur des ports d’Océanie, des chercheurs et des CERT se sont intéressés à la façon dont ces terminaux portuaires auraient pu être compromis. Ils ont pu identifier la faille qui a probablement été exploitée par ces attaquants-là, permettant ainsi d’alerter d’autres acteurs et d’éviter de nouvelles attaques.
Enfin, la recrudescence des cas d’hacktivisme permet de rappeler le lien entre la géopolitique et les actions dans le cyberespace. Aujourd’hui, dès qu’il y a une décision politique, essentiellement liée au conflit russo-ukrainien, mais également au Proche-Orient par exemple, il y a des attaques par déni de service distribué avec des groupes qui se coordonnent entre eux pour viser un pays, un continent, des organisations. Ils vont ensuite la revendiquer sur des outils comme Telegram.
Quelles sont les principales cibles dans le domaine maritime ?
Si nous tenons compte du jeu de données ADMIRAL géré par le CERT Maritime, qui recense l’ensemble des événements qui ont touché le secteur depuis 1980, ce sont les ports qui ont été principalement touchés avec une centaine d’attaques recensées (https://www.m-cert.fr/admiral). Vient ensuite le secteur de la logistique, qui utilise également énormément les systèmes d’information pour le suivi des conteneurs. Enfin, les armateurs complètent ce tableau. C’est finalement assez logique car ce sont les trois types d’entités qui sont les plus numérisées et les plus exposées sur Internet au sein du secteur.
Hormis les attaques par déni de service distribué, quelles sont les autres méthodes privilégiées ?
Le moyen initial le plus utilisé reste le phishing. Nous y sommes tous exposés dans nos vies privées et professionnelles. Au niveau maritime, nous constatons que les groupes qui empruntent cette voie utilisent aussi un vocabulaire spécifique du monde maritime. Ils ont recours à des courriers électroniques, à des sujets, à des pièces jointes qui sont cohérents, réalistes, et qui ressemblent vraiment à ce qu’il pourrait y avoir comme échanges au sein du monde maritime. Ensuite vient l’exposition directe d’équipements, logiciels ou matériels vulnérables sur Internet, et enfin les risques liés aux supports USB.
Quels moyens pourraient être mis en place afin de mieux protéger le secteur maritime ?
Nous avons besoin de nous appuyer sur des personnes qui ont l’expérience des navires et, plus généralement, qui connaissent bien l’ensemble du secteur. France Cyber Maritime est ainsi composée, entre autres, de personnes qui ont cette expérience du monde maritime. Cela permet d’avoir une très bonne connaissance des fonctionnements des systèmes d’un port ou d’un navire, etc. Aujourd’hui, quand un armateur ou un port ont besoin d’un audit, nous allons les mettre en relation avec les entreprises de confiance les plus à même de répondre à leurs besoins. Effectuer un audit de cybersécurité sur un bâtiment de 400 m n’est pas chose aisée car il compte de nombreux systèmes d’information spécifiques, mais aussi des systèmes de contrôle industriels ou systèmes de télécommunication particuliers…
Ensuite, il y a un travail de sensibilisation à mener. Nous avons ainsi mis en place des webinaires réguliers sur les principales menaces. Nous en avons ainsi organisé un sur les menaces visant les systèmes de positionnement par satellite comme le GPS. Dans ce cadre, nous avons eu le témoignage d’un pilote d’Air France, mais aussi une intervention de l’Agence Nationale des Fréquences qui nous a présenté le travail qu’elle effectue pour prévenir, détecter et contrer ces cas de brouillages GPS.
Enfin, avons également mis en place une opération européenne sectorielle de Bug Bounty, intitulée Battleship, en partenariat avec notre adhérent Yes We Hack. Pendant 24 h, en marge des Assises de l’économie de la mer, des hackers éthiques ont chassé les vulnérabilités sur un certain nombre de systèmes d’information du monde maritime. L’année dernière, un armateur avait déjà soumis ses systèmes d’information dans le cadre de ce Bug Bounty. Ces opérations, complémentaires des audits de cybersécurité, permettent de détecter des vulnérabilités et de les corriger de manière dynamique et particulièrement efficace.
Quelles sont les perspectives pour le panorama 2023 ?
Les grandes lignes identifiées en 2022 resteront toujours d’actualité au fil du temps car les sources de menace étatiques, cybercriminelles et hacktivistes seront toujours présentes. Notre objectif pour le prochain panorama sera de dégager des évolutions, dans les groupes ou les procédés…