Cybersécurité Maritime

Written By Fahad Rejabo

Publié le 15 avril 2019

Le secteur maritime mondial d'aujourd'hui dépend de plus en plus de la numérisation, de l'intégration des opérations et de l'automatisation. La mise en œuvre rapide et généralisée des systèmes informatiques et de la communication par internet pour les navires en mer dans toutes les régions du monde entraîne une exigence nouvelle et urgente : maintenir la sécurité opérationnelle de ces systèmes critiques. La cybersécurité est aujourd'hui une priorité dans le secteur maritime international.

Dans ce qui suit, nous examinons de près les nouvelles exigences auxquelles nous devons désormais tous répondre dans ce secteur. Nous fournissons également des conseils sur la manière de mettre en œuvre la cybersécurité dans les opérations maritimes.

Ni l’ Organisation maritime internationale, (OMI) ni les autorités nationales n'ont élaboré de réglementation en matière de cybersécurité spécifique au secteur maritime. Cela va changer dans un avenir très proche. À partir du 1er janvier 2021, les exigences en matière de cybersécurité seront formalisées dans le chapitre IX de la Convention internationale pour la Sauvegarde de la vie humaine en mer, SOLAS, règles 1 à 6, Gestion de la sécurité de l'exploitation des navires.

Il ne s'agit pas d'un développement isolé. Des mesures importantes en faveur d'une réglementation de la cybersécurité dans le secteur maritime ont déjà été prises par d'autres organisations ou sont en cours d'élaboration. La nécessité urgente d'élaborer une réglementation en matière de cybersécurité pour le secteur maritime est, en fait, un sujet de préoccupation depuis un certain temps.

En juin 2017, le Comité de la Sécurité Maritime de l'OMI, le CSM, a approuvé des lignes directrices pour la gestion des cyberrisques. Celles-ci sont devenues, à leur tour, la base de recommandations de haut niveau pour l'ensemble du secteur maritime,

Les lignes directrices imposent aux armateurs, aux exploitants et aux parties prenantes l'obligation d'adopter une approche de gestion des risques avec trois objectifs primordiaux : minimiser le danger pour l'équipage, la sécurité environnementale et les conséquences financières d'une perte totale ou partielle de la disponibilité, de l'intégrité et de la confidentialité des données sensibles. 

Les nouvelles exigences obligatoires en matière de cybersécurité pour tous les propriétaires de navires

Face aux nouvelles menaces de cybersécurité qui pèsent sur le secteur et compte tenu de la résolution du CSM, l'OMI a pris la décision d'intégrer des exigences obligatoires en matière de cybersécurité dans le Code International de Gestion de la Sécurité (ISM).

À partir du 1er janvier 2021, la cybersécurité devra être prise en compte par tous les acteurs du secteur du transport maritime et intégrée dans leurs Systèmes de Gestion de la Sécurité, SGS.

Une organisation qui a rapidement réagi à ces nouvelles circonstances est l'Oil Companies International Marine Forum, OCIMF. À partir de janvier 2018, l'OCIMF a mis à jour la version 3 de la norme Tanker Management and Self Assessment, TMSA, en y ajoutant un 13e élément de performance. Ce nouvel élément traite spécifiquement de la cybersécurité.

 

Que signifient de telles évolutions pour le secteur maritime mondial ? Plus précisément, qu'exigent le code ISM, un prérequis de la convention SOLAS, et la version 3 de la TMSA, les bonnes pratiques du secteur, en matière de prévention de la cybercriminalité en mer ?

Que dit le code ISM à propos des exigences en matière de sécurité de l'information ? 

Le code ISM exige la modification du SMS d'une entreprise et doit désormais inclure les éléments suivants.

  • Les mesures de cybersécurité à adopter dans la déclaration de politique de l'entreprise en matière de santé, de protection et d'environnement, de sécurité et de qualité / HSES&Q.

    • Évaluation des risques de tous les systèmes OT et IT à bord et à terre.

    • Politique en place pour les utilisations du stockage amovible.

    • Politique et procédure en place concernant les communications réseau et le WiFi pour les équipages des navires.

    • Politique et procédure en place pour le contrôle et la mise à jour des systèmes de navigation et de communication.

    • Politique en place concernant les critères d'autorisation pour les connexions à distance.

    • Inventaire de tous les systèmes d'OT.

    • Politique d'accès à l'Internet en place, décrivant les restrictions liées aux opérations actuellement effectuées à bord.

    • Plans de secours pour les interventions d'urgence élaborés et en place.

    • Articles identifiés par TMSA et énumérés ci-dessous.

Quelles sont les exigences en matière de cybersécurité de la TMSA ?

  • Procédures en place concernant la gestion des patchs pour les logiciels.

    1. Procédures et directives en place pour l'identification et l'atténuation des cybermenaces.

    2. Disponibilité de lignes directrices pour la cybersécurité établies par l'industrie et les autorités de classification.

    3. Élaboration de procédures de gestion des mots de passe.

      1. Élaboration et mise en œuvre d'un plan de cyber sensibilisation visant à sensibiliser l'ensemble du personnel à la sécurité.

Le code ISM a-t-il un impact sur vous ?

Les exigences obligatoires énoncées dans le code ISM couvriront les opérations suivantes de tous les navires effectuant des opérations internationales, à savoir :

  • Navires à passagers, y compris les engins à passagers à grande vitesse.

    • Pétroliers, chimiquiers, transporteurs de gaz, vraquiers et engins rapides de transport de marchandises de 500 TJB et plus.

    • Autres navires de charge (navires de haute mer) et unités mobiles de forage en mer (non ancrées au fond) de 500 TJB et plus.

La version 3 du TMSA concerne également les opérations commerciales dans le cadre du Programme de rapports d'inspection des navires / SIRE.

Comment pouvez-vous vous conformer aux nouvelles exigences en matière de cybersécurité ?

Le code ISM 3 est maintenant en vigueur. Toute entreprise opérant sous la juridiction du nouveau Code ISM doit donc commencer à planifier la mise à jour de son SMS en conséquence. La date limite est fixée au plus tard à la première vérification annuelle de l'attestation de conformité de l'entreprise suivant le 1er janvier 2021. 

Pour toutes les organisations concernées, le message est clair. Afin de se préparer et de mettre en place la structure de cybersécurité requise, y compris les dispositions relatives aux écosystèmes tiers, il faut commencer à planifier dès maintenant la mise en œuvre des meilleures pratiques. Pour soutenir cette action, l'OMI a mis à jour ses directives sur la cybersécurité.

Qu'en est-il de la cybersécurité dans l'industrie offshore ?

L’International Marine Contractors Association (IMCA), qui représente le secteur de la construction et du soutien offshore (navires) dans le monde entier, a également mis à jour ses conseils sur les cybermenaces.

Les mesures de cybersécurité recommandées par l'IMCA comprennent vingt contrôles, et sous-contrôles, qui portent sur diverses mesures et activités techniques. L'objectif principal est d'aider les organisations à établir des priorités en matière de défense contre les formes actuelles les plus courantes et les plus dommageables d'attaque des systèmes et réseaux informatiques.

Un résumé des 20 contrôles de l'IMCA pour la cybersécurité offshore

  1. Inventaire des dispositifs autorisés et non autorisés géré de manière active. Il s'agit d'établir un inventaire, de suivre et de gérer tous les dispositifs matériels du réseau afin que seuls les dispositifs autorisés y aient accès. Cette action permet également d'identifier, de localiser et d'empêcher les dispositifs non autorisés et non gérés d'accéder au réseau.

  2. Inventaire des logiciels autorisés et non autorisés géré de manière active. Là encore, il s'agit de dresser un inventaire et de l'utiliser pour suivre et corriger tous les logiciels du réseau. Seuls les logiciels autorisés doivent être installés et autorisés à fonctionner. Tous les logiciels non autorisés et non gérés doivent être identifiés et empêchés d'être installés ou d'exécuter une quelconque fonction.

  3. Configurations sécurisées du matériel et des logiciels sur les appareils mobiles, les ordinateurs portables, les stations de travail et les serveurs. Déterminez, mettez en œuvre et gérez activement, en assurant le suivi des rapports et en corrigeant la configuration de sécurité de tous les ordinateurs portables, serveurs et postes de travail. Cela doit être fait à l'aide d'un processus rigoureux de gestion de la configuration et de contrôle des changements afin d'empêcher les attaquants d'exploiter les services et les paramètres vulnérables.

  4. Évaluation continue des vulnérabilités et remédiation. Acquérir et évaluer en permanence de nouvelles informations et prendre des mesures en conséquence afin d'identifier toutes les vulnérabilités. Remédier à ces dernières et, ce faisant, minimiser la fenêtre d'opportunité pour les attaquants.

  5. Défenses contre les malwares. Maintenir une veille 24 heures sur 24 et 7 jours sur 7 contre l'installation, la propagation et l'exécution de codes malveillants en de multiples points de l'entreprise, tout en optimisant l'utilisation de l'automatisation pour permettre la mise à jour rapide de la défense, la collecte de données et les actions correctives.

  6.  Sécurité des logiciels d'application. Gérer le cycle de vie de la sécurité de toutes les applications logicielles, qu'elles soient développées en interne ou acquises, afin de prévenir, détecter et corriger les failles de sécurité.

  7. Contrôle de l'accès sans fil. Déployer et mettre en œuvre les processus et outils utilisés pour suivre, contrôler, prévenir les abus et corriger l'utilisation sécurisée des réseaux locaux (LAN) sans fil, des points d'accès et des systèmes clients sans fil.

  8. Capacité de récupération des données. Préparer et déployer tous les processus et outils permettant de sauvegarder de manière adéquate les informations critiques, avec une méthodologie éprouvée pour leur récupération en temps voulu après une violation de la sécurité.

  9. Évaluation des compétences en matière de sécurité et formation appropriée pour combler les lacunes. Cela concerne tous les rôles fonctionnels de l'organisation, en donnant la priorité à ceux qui sont essentiels pour les opérations commerciales et les exigences de sécurité. Identifier l'expertise, les compétences et les capacités spécifiques nécessaires pour soutenir la défense de l'entreprise. Développer et exécuter un plan intégré pour évaluer et identifier les lacunes de la cyberdéfense. Remédier à toute vulnérabilité ainsi identifiée par le biais d'une politique opérationnelle, d'une planification organisationnelle, de programmes de formation et de sensibilisation.

  10. Configurations sécurisées pour les dispositifs de réseau tels que les pare-feu, les routeurs et les commutateurs. Établir, mettre en œuvre et gérer activement, en assurant le suivi, le reporting et la correction, la configuration de sécurité des dispositifs de l'infrastructure réseau. Cela doit se faire à l'aide d'un processus rigoureux de gestion de la configuration et de contrôle des changements afin d'empêcher les attaquants d'exploiter des services et des paramètres vulnérables.

  11. Limitation et contrôle de l'accès aux ports du réseau. Protocoles et services. Gérer en traçant, contrôlant et corrigeant l'utilisation opérationnelle continue des ports, protocoles et services sur les dispositifs en réseau afin de minimiser les fenêtres de vulnérabilité à la disposition des attaquants.

  12. Contrôler l'utilisation des privilèges administratifs. Gérer les processus et les outils utilisés pour suivre, contrôler, prévenir ou corriger l'attribution, l'utilisation et la configuration des privilèges administratifs sur les ordinateurs, les réseaux et les applications.

  13. Défense des frontières. Détecter, prévenir et/ou corriger le flux d'informations transférées entre des réseaux fonctionnant à des niveaux de confiance différents, en se concentrant sur les données susceptibles de compromettre la sécurité.

  14. Maintenance, surveillance et analyse des logs d'audit. Collecter, gérer et analyser les logs d'audit des événements liés à la cybersécurité qui pourraient aider à la détection ou à la compréhension d'une attaque, ou qui pourraient aider à la récupération après une violation de la sécurité.

  15. Contrôler l'accès en fonction du degré de nécessité. Les processus et les outils utilisés pour suivre, contrôler, empêcher ou corriger l'accès sécurisé aux biens essentiels, tels que les informations, les ressources et les systèmes, doivent être organisés et maintenus en fonction d'une détermination formelle des personnes, des ordinateurs et des applications qui ont besoin et le droit d'accéder à ces biens essentiels, sur la base d'une classification approuvée.

  16. Surveillance et contrôle des comptes. Gérer activement le cycle de vie des comptes de systèmes et d'applications afin de minimiser les possibilités pour les attaquants de les exploiter. Cela comprend la gestion de leur création, de leur utilisation, des périodes d'inactivité et de leur suppression.

  17. Protection des données. Déployer et mettre en œuvre des processus et des outils utilisés pour empêcher l'exfiltration de données, atténuer les effets des données exfiltrées et garantir la confidentialité et l'intégrité des informations sensibles.

  18. Réponse et gestion des incidents. Protégez les informations de l'organisation, ainsi que sa réputation, en développant et en mettant en œuvre une infrastructure de réponse aux incidents. Celle-ci doit comprendre une planification détaillée, la définition des rôles et responsabilités du personnel, la formation, la communication et la supervision de la gestion. Ces actions sont essentielles pour détecter rapidement une attaque, contenir efficacement tout dommage, éradiquer la présence de l'attaquant et restaurer l'intégrité du réseau et des systèmes.

  19. Ingénierie des réseaux sécurisés. Faire de la cybersécurité un attribut inhérent à l'entreprise en spécifiant, concevant et créant des fonctionnalités qui permettent un haut degré de confiance dans les opérations des systèmes tout en refusant ou en minimisant les opportunités pour les attaquants.

  20. Tests d'intrusion et exercices de l'équipe rouge. Testez la force globale des défenses de votre organisation, y compris la technologie, les processus et le personnel, en simulant les actions et les objectifs d'un attaquant.

Aperçu des directives de l'OMI

À partir de la résolution de haut niveau du CSM mentionnée ci-dessus, l'OMI a mis à jour les lignes directrices pour le secteur des transports maritimes en version 2.0.

Guidelines on Cybersecurity Onboard Ships (Lignes directrices sur la cybersécurité à bord des navires) a été composé et approuvé par les principales associations commerciales internationales de l'industrie maritime. Les membres de ces associations sont des armateurs, des opérateurs, des partenaires de l'industrie du transport maritime de marchandises sèches et de navires-citernes et des organisations internationales du secteur maritime.

La version 2.0 comprend des mises à jour importantes concernant des risques spécifiques et l'environnement de menaces auquel le secteur est actuellement confronté. Parmi ces éléments figurent les suivants.'

  • Incorporation des cyber-risques dans le système de gestion de la sécurité des navires de l'eacg / SMS.

  • Amélioration des directives relatives aux évaluations des risques effectuées sur les technologies opérationnelles (OT) afin d'inclure les systèmes de navigation et de contrôle des moteurs.

  • Des directives supplémentaires pour la gestion des risques associés aux fournisseurs et vendeurs tiers. 

L'objectif des lignes directrices de l'OMI est de répondre aux besoins spécifiques et uniques des secteurs du transport maritime, de la navigation et du transport commercial de passagers en matière de gestion des cyberrisques. Les lignes directrices de l'OMI sont généralement fondées sur les meilleures pratiques élaborées par le secteur de la cybersécurité, avec des ajouts relatifs aux exigences spécifiques et aux domaines fonctionnels de l'industrie maritime. Les directives de l'OMI couvrent les sujets suivants.

Considérations maritimes spécifiques

L'adoption de normes de meilleures pratiques est une étape nécessaire mais pas suffisante. L'industrie maritime doit relever des défis spécifiques. Il s'agit tout d'abord de la relation avec les questions de sécurité ainsi que de l'enchevêtrement des technologies de l'information et des technologies opérationnelles (OT).

Sécurité et cybersécurité

Les lignes directrices de l'OMI mettent l'accent sur la relation étroite entre la sûreté et la sécurité. Mais les directives soulignent également des distinctions importantes.

  • La cybersécurité concerne la protection des informations et des données IT / OT contre l'accès non autorisé, la manipulation ou la falsification.

    • La cybersécurité est axée sur le risque de perte de disponibilité, ou d'intégrité, des données et des OT qui sont essentiels pour la sécurité du personnel ainsi que des navires et autres installations.

    • Les systèmes qui relèvent de la cybersécurité comprennent l'ECDIS, le GNSS ou d'autres données de capteurs externes ou systèmes OT tels que le positionnement dynamique ou les systèmes de contrôle du moteur.

Technologies de l'information et technologies opérationnelles

Il existe des différences très nettes entre les systèmes IT et les systèmes OT. Un moyen sûr de s'en souvenir est de les séparer par leurs fonctions principales.  Les systèmes IT traitent des informations et/ou transmettent des données. Les systèmes OT contrôlent des machines physiques.

Autres particularités des systèmes informatiques

  • Les hautes performances sont maintenues même lorsque des contrôles et des restrictions d'accès sont appliqués.

    • "0 temps d'arrêt" n'est généralement pas un facteur crucial

    • Faible tolérance aux pannes requise

    • Faible impact sur la sécurité

    • Gestion des données

    • Haut degré de compatibilité dans l'utilisation des protocoles open source

    • Flexibilité des ressources ; les systèmes IT sont conçus pour permettre la fluctuation de l'allocation des ressources.

    • Le directeur des technologies de l'information (CTO) professionnel doit être responsable des achats. 

Autres particularités des systèmes d'OT

  • Le timing est un facteur clé et les contrôles ou fonctions qui retardent les processus peuvent provoquer des perturbations, voire une panne du système.

    • 0 temps d'arrêt" est généralement un facteur crucial.

    • Des redondances ou des systèmes de secours sont nécessaires pour maintenir le "0 temps d'arrêt".

    • Impact élevé sur la sécurité.

    • Haute tolérance aux pannes requise.

    • Faible compatibilité / utilisation de protocoles propriétaires.

    • Inflexibilité des ressources. Les systèmes sont conçus avec suffisamment de ressources pour remplir les fonctions prévues.

    • L'ingénieur en chef est responsable de l'approvisionnement.

Concepts de base de la sécurité de l'information

En langage clair, la sécurité de l'information désigne les mesures prises pour garantir que les informations ne tombent pas entre de mauvaises mains.

Un bon point de départ pour quiconque cherche à comprendre la sécurité de l'information est un outil politique connu sous le nom de triade CIA. Dans ce cas, CIA signifie Confidentialité, Intégrité et Disponibilité de l'information.

La triade de la CIA est un guide pour la mise en œuvre de politiques, de contrôles de sécurité et de procédures dans toute organisation.

Confidentialité

La confidentialité renvoie au concept selon lequel seules les personnes qui doivent avoir accès à l'information, ou celles à qui l'information est destinée, doivent avoir accès au contenu en clair.

Integrité

L'intégrité est l'assurance que l'information est exempte de toute altération ou modification non autorisée, de quelque manière que ce soit. En outre, il doit exister un moyen de tester l'intégrité de l'information.

Disponibilité

La disponibilité fait référence à la facilité d'accès aux informations par les entités autorisées. Lorsqu'une

entité autorisée qui a besoin de l'information prend les mesures correctes pour y accéder, elle ne doit rencontrer aucune difficulté pour le faire.

La triade de la CIA est aujourd'hui une norme industrielle utilisée pour évaluer le cyber-risque des organisations. L'objectif de la gestion du risque cybernétique est de déterminer le degré approprié de protection nécessaire pour garantir la confidentialité, l'intégrité et la disponibilité des actifs informationnels les plus importants de l'organisation.

Gestion du risque cybernétique

L'élaboration et la mise en œuvre d'une stratégie de gestion des cyberrisques intégrant à la fois la

la cybersécurité et la sûreté informatique doivent commencer par des ateliers de communication et de planification.

Le cadre de référence unique et le domaine d'expertise de chacun de ces deux ensembles de compétences permettent de déterminer le bon équilibre entre cybersécurité et sûreté informatique. La première étape doit consister en une évaluation générale des menaces et des risques (Threat Risk Assessment /TRA) axée sur le secteur maritime.

Quatre actions possibles

En termes de gestion du risque cybernétique, il existe quatre actions possibles. Elles sont les suivantes.

  • Prévention des risques

  • Transfert du risque

  • Acceptation du risque

  • Atténuation des risques.

Prévention des risques

Dans la plupart des cas, il ne s'agit pas d'une solution viable pour la gestion des risques car

l'interconnectivité et la communication des entreprises reposent sur l'internet,

les serveurs Web et les solutions cloud. Dans ce contexte, décider d'éviter les risques signifie revenir au papier et au crayon pour chaque interaction. Il est clair que ce choix désavantagera considérablement l'entreprise par rapport à ses concurrents qui préféreront probablement atténuer, transférer et accepter une partie du risque résiduel. 

Transfert du risque

Cette alternative est basée sur le marché croissant des fournisseurs d'assurance cybersécurité.

À l'instar de l'assurance automobile ou d'autres types d'assurance temporaire, un risque plus élevé lié à l'absence de maintenance corrective ou à des antécédents d'"accidents" entraîne des primes d'assurance plus élevées. Dans certains cas, elle peut être rentable par rapport à l'alternative de l'acceptation des risques.

Atténuation des risques

C'est là que l'organisation menacée doit déployer le plus d'efforts, mais c'est aussi là que nous constatons le meilleur retour sur investissement. La marque de l'entreprise, la confiance des clients et d'autres actifs non quantifiables ne s'acquièrent pas facilement. Les conséquences de la perte de ces actifs ne peuvent pas non plus être facilement transférées. Vous ne pouvez pas acheter une assurance réputation.

Acceptation des risques

Ici, nous avons deux possibilités. Nous pouvons accepter le risque tel qu'il est ou nous pouvons accepter le risque résiduel après l'ajout d'un facteur d'atténuation. Un certain degré de risque résiduel continuera toutefois à être présent même après l'atténuation. C'est pourquoi tout système de gestion de la sécurité de l'information et toute stratégie de gestion des risques implique l'acceptation d'un certain degré de risque.

Identifier

Les premières étapes de la cybersécurité concernent la fonction d'identification dans le cadre de la cybersécurité. La fonction d'identification couvre l'identification des éléments suivants.

  • Cela concerne aussi bien les actifs informationnels que les dispositifs et systèmes physiques.

    1. Cela inclut toutes les parties présentant une menace, existante ou potentielle.

    2. Il s'agit de tous les points faibles connus où une attaque aurait le plus de chances de pénétrer nos défenses.

Les informations provenant des trois domaines ci-dessus doivent être appliquées à l'évaluation des risques ainsi qu'au degré et à la nature de l'impact sur les affaires dans le cadre d'un atelier d'évaluation des risques. En outre, des évaluations personnalisées des cyberrisques doivent être réalisées pour chaque type de navire afin d'identifier avec précision le profil de risque de ce navire.

Protéger

Sur la base des résultats de l'évaluation des menaces et des risques (EMR), l'étape suivante consiste à sélectionner les contrôles appropriés pour atténuer les risques. Les contrôles sélectionnés ne doivent pas seulement couvrir les mesures techniques, mais aussi la formation et la cyberconscience de l'ensemble du personnel. Les contrôles procéduraux et administratifs relatifs à la politique et aux procédures doivent également être abordés.

Mise en œuvre des contrôles techniques, CIS top 20

Les contrôles CIS consistent en un ensemble de vingt actions. Ces actions forment un cadre de défense approfondi des meilleures pratiques qui atténuent les attaques les plus courantes contre les systèmes et les réseaux.

Ce cadre évite délibérément les détails de la sécurité, en se concentrant sur les domaines de haut niveau qui offrent la plus grande valeur. Dans le même temps, les contrôles sont mis en correspondance avec d'autres normes et directives, ce qui donne à la fois une vue d'ensemble et une aide à la conformité.

Le cadre du CIS a été élaboré par une communauté de base couvrant de multiples secteurs et industries. Sur la base de l'expérience collective des attaques réelles et de l'expertise professionnelle de cette communauté, les contrôles sont classés par ordre de priorité. Cette approche nous aide à concentrer nos efforts sur les mesures les plus fondamentales et les plus utiles à prendre pour prévenir, alerter et réagir à une attaque.

Les contrôles 1 à 6 sont les plus importants. Ce sont les "contrôles de base". En prenant des mesures dans ces domaines, on réduit de 85 % la probabilité de réussite d'une attaque. En outre, les 6 premiers contrôles sont très rentables en termes de réduction du niveau de cyberrisque. Les autres actions recommandées dans le cadre du CIS sont énumérées ci-dessous sous la rubrique "Fondamental".

Cadre du CIS en 6 actions

  1. Inventaire et contrôle des biens matériels

  2. Inventaire et contrôle des actifs logiciels

  3. Gestion continue des vulnérabilités

  4. Utilisation contrôlée des privilèges administratifs

  5. Configuration sécurisée du matériel et des logiciels sur les appareils mobiles, les ordinateurs portables, les stations de travail et les serveurs.

  6. Maintenance, surveillance et analyse des logs d'audit

Actions fondamentales du cadre CIS

  1. Protection des e-mails et des navigateurs Web

  2. Défense contre les logiciels malveillants

  3. Limitation et contrôle des ports, protocoles et services du réseau

  4. Capacités de récupération des données

  5. Configuration sécurisée des dispositifs de réseau, tels que les pare-feu, les routeurs et les commutateurs.

  6. Défense des frontières

  7. Protection des données

  8. Accès contrôlé en fonction du besoin de savoir Segmentation des réseaux embarqués (annexe 2)

Détecter

Selon Wärtsilä, un important fabricant mondial de moteurs marins, la grande majorité des

attaques de cybersécurité sont menées au moyen de techniques d'hameçonnage et d'ingénierie sociale, mais la plupart des atteintes réelles à la sécurité peuvent être attribuées à une erreur humaine. La stratégie de Wärtsilä pour détecter et atténuer les attaques de cybersécurité repose sur des programmes de formation et de sensibilisation de l'ensemble du personnel.

Plus précisément, une formation régulière permet non seulement d'accroître et de maintenir la sensibilisation, mais aussi de concentrer l'attention sur des formes spécifiques de menaces. Il s'agit notamment des logiciels malveillants, du hameçonnage et de l'ingénierie sociale. En outre, la formation du personnel permet de garantir la vigilance en ce qui concerne la protection des mots de passe, l'utilisation privée d'Internet, les pièces jointes et les liens des courriers électroniques et d'autres choses à faire et à ne pas faire. Une formation régulière contribuera grandement à la détection et à la prévention des violations de la cybersécurité.

Anatomie d'une cyberattaque

Que se passe-t-il exactement lors d'une cyberattaque ? Examinons les phases d'une violation typique de la cybersécurité.

Reconnaissance - Collecte d'informations sur l'organisation ou l'entité ciblée.

La phase de reconnaissance se présente sous deux formes principales :

  • Reconnaissance passive - Ne pas s'attaquer directement à la cible, mais recueillir des informations de source ouverte. Il peut s'agir de fouille de poubelles, de google hacking, ou de l'utilisation de sites d'emploi ou de médias sociaux pour trouver des informations sur les employés qui peuvent être utilisées dans une phase ultérieure.

  • Reconnaissance active - Interaction directe avec la cible. Il peut s'agir de manipuler le facteur humain, d'envoyer des e-mails, d'appeler directement la réception ou les employés pour recueillir des informations sur l'organisation ciblée.

Scanning

Utilisation d'outils pour sonder la cible et enregistrer la réponse. L'objectif est d'identifier les versions des systèmes d'exploitation et des logiciels fonctionnant sur les systèmes afin de repérer les vulnérabilités qui peuvent être présentes sur ces mêmes systèmes.

Obtenir l'accès

Mettre un pied dans les systèmes. Cela peut se faire à distance ou physiquement. Une fois à l'intérieur, l'attaquant peut soit élever ses privilèges pour avoir un accès complet, soit acquérir des "privilèges système" sur un système particulier.

Maintien de l'accès

Un hacker pénètre dans un système et élève ses privilèges. Son objectif est de maintenir ce niveau d'accès, c'est pourquoi l'attaquant peut laisser une "porte dérobée" ou un rootkit tel qu'un cheval de Troie d'accès à distance / RAT, afin de pouvoir revenir facilement sur un système dans un but néfaste, comme l'exfiltration de données ou le "pivot" vers un autre système du réseau.

Couvrir les traces

es hackers cherchent bien sûr à échapper à la détection. C'est pourquoi ils suppriment, ou essaient de supprimer, toute trace de leur intrusion dans un système. Il peut s'agir de la suppression des logs ou des logiciels malveillants / scripts / exploits / charges utiles qu'ils ont utilisés pour accéder au système. Il peut également s'agir de supprimer les comptes qu'ils ont pu créer dans le but d'obtenir un accès ou d'élever leurs privilèges, ou de faire en sorte qu'un système écrase les logs pertinents en lui faisant écrire un grand nombre de logs non pertinents.

Planification de la réponse de la compagnie et du navire

La mise en œuvre d'un plan d'intervention bien préparé est d'une importance vitale pour résoudre les

problèmes avec un minimum de risques pour le personnel, les biens et les opérations normales. Les plans d'intervention et de rétablissement doivent être revus et exercés dans la réalité à intervalles réguliers.

Exemple : Réponse initiale (non exhaustif)

  • Effectuez une évaluation préliminaire pour déterminer si l'événement nécessite une intensification de l'action de réponse ou s'il peut être résolu par des mesures de réponse normales.

    1. Notifier le capitaine du navire et, si nécessaire, les responsables à terre.

    2. Examiner les détails de l'événement.

    3. Effectuer une évaluation initiale de l'événement et des impacts associés.

    4. Déterminer si un niveau de gravité doit être déclaré. Par exemple :

1)   La situation nécessite-t-elle une assistance au-delà du navire et de la gestion à terre ?

2 ) La situation exige-t-elle le déplacement de personnes ou de matériel/équipement ?

Récupération - Du cycle de planification à la restauration des services

Exemple : Planification de la reprise (non exhaustif)

  • Établissez un cycle de planification afin que des mises à jour de l'état d'avancement puissent être fournies à intervalles réguliers.

  • Surveillez les efforts de récupération et traitez tout problème identifié.

  • Déterminez si le problème a été résolu.

  • Déclarer que l'incident est terminé.

  • Aviser le personnel approprié pour commencer la restauration des services et le retour à la normale des opérations. 

Recommandations issues des directives de l'OMI

L'objectif déclaré des lignes directrices est le suivant . "Offrir des conseils aux armateurs et aux opérateurs sur la gestion efficace des cyber-risques".

Les lignes directrices ne constituent pas un appel à un contrôle ou à un audit externe, car de nombreuses petites organisations ne tireront pas nécessairement profit d'un audit des procédures. Un exemple d'organisation qui ne bénéficierait pas nécessairement d'un audit externe est celle dont les politiques et procédures sont moins granulaires et plus ad hoc, non écrites et informelles.

Une organisation qui dispose de procédures et de politiques non écrites et informelles en matière de gestion des cyber-risques aurait davantage intérêt à commencer par les bases plutôt que de former un comité composé de membres clés de la direction, des finances, des RH, du juridique et de l'informatique pour discuter et rédiger des politiques et des procédures formelles pour la gestion des cyber-risques dans leur propre organisation.

Ces politiques peuvent être basées sur plusieurs procédures informelles déjà appliquées dans l'organisation ainsi que sur des adaptations des meilleures pratiques du secteur et des "Directives sur la cybersécurité à bord des navires".

Les procédures et politiques en place dans une organisation peuvent actuellement se limiter à une politique d'utilisation acceptable pour les utilisateurs, ainsi qu'à une politique de compte, à une configuration du réseau et à des procédures d'administration des serveurs pour la section informatique.

L'organisation peut avoir négligé certains éléments qui seraient utiles pour formaliser la politique. Dans ce cas, il est recommandé d'utiliser les lignes directrices de l'OMI et des ressources externes pour aider à identifier les lacunes de ce processus.

Documentation de référence

Le Comité de la sécurité maritime précise que les directives sont consultatives. Les informations et les conseils fournis par les directives du MSC doivent être adaptés par les opérateurs maritimes en fonction de leurs activités spécifiques. En tant que compagnie maritime ou opération à terre, vous pouvez choisir l'approche spécifique de gestion des risques à adopter en fonction des besoins de votre entreprise et de votre goût du risque.

Il est clair qu'un système de gestion de la sécurité doit viser la gestion des cyberrisques conformément aux objectifs fonctionnels et aux exigences du code ISM. Il existe plusieurs cadres de gestion des cyber-risques parmi lesquels choisir. Les lignes directrices suggèrent une approche basée sur les cinq éléments fonctionnels du US National Institute of Standards & Technology / NIST Cybersecurity and Risk Management Frameworks. à savoir : Identifier, Détecter, Protéger, Répondre et Récupérer.

Il est très positif de voir que le MSC et le comité de facilitation se sont mis d'accord sur des lignes directrices après avoir fait preuve de diligence raisonnable et effectué des recherches dans un secteur déjà bien établi avec des meilleures pratiques qui sont évaluées et améliorées régulièrement. 

Trois domaines d'orientation et de normes sont mentionnés dans le document MSC-FAL.1/Circ.3 comme matériel de référence :

Les lignes directrices sur la cybersécurité à bord des navires".

  • "Norme ISO/IEC 27001 sur les technologies de l'information - Techniques de sécurité -

  • Systèmes de gestion de la sécurité de l'information - Conditions requises. Publiée conjointement par l

  • l'Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI)".

  • Commission électrotechnique internationale (CEI)"

  • "Cadre de l'Institut national des normes et de la technologie des États-Unis pour l'amélioration de la cybersécurité des infrastructures critiques (le cadre du NIST)"

Service de cybersécurité axé sur le secteur maritime

Secure State Cyber réalise des examens et des audits techniques externes ainsi que l'identification des menaces et des vulnérabilités. Secure State Cyber, présent en Europe et en Amérique du Nord, aide les organisations à gérer les cyber-risques et est disponible pour aider toute organisation, de celles qui ne savent pas par où commencer, jusqu'à n'importe quel niveau de maturité dans la gestion des cyber-risques.

Fahad Rejabo
Previous

Présentation sur la cybersécurité à la conférence H2O au Canada
Next

Sécuriser les opérations commerciales lorsque vos employés travaillent à distance depuis leur domicile