Les grands ports commerciaux ont pour mission d’assurer la bonne circulation de près de neuf milliards de tonnes de marchandises dans le monde (soit 90% du volume mondial). Pour rester compétitifs et performants, la transformation numérique des ports est devenue une étape indispensable. La dernière décennie a ainsi vu naître les « smart ports », ces ports intelligents qui s’appuient sur les nouvelles technologies pour automatiser et accélérer les processus logistiques. Problème : cette transformation s’accompagne d’une hausse des cyberattaques visant le transport maritime. Quels sont les vecteurs de risques propres à l’activité portuaire ? Comment assurer une sécurité portuaire ? Éléments de réponse.
L’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA) est formelle : une cyberattaque pourrait compromettre « les équipements numérisés tels que les passerelles portuaires ou les grues », qui pourraient ainsi « être contrôlées à distance et se déplacer de manière inattendue, allant jusqu’à causer des incidents à la fois destructeurs pour les infrastructures portuaires, et potentiellement mortels ». Ce scénario, issu d’un guide adressé aux autorités portuaires européennes, souligne les menaces cyber auxquelles sont exposés les grands ports internationaux. Et les conséquences de ces cyberattaques peuvent être ressenties bien au-delà des activités portuaires. Du fait de leur rôle crucial dans les échanges internationaux, le Comité interministériel de la Mer, chargé de délibérer sur la politique du gouvernement français dans le domaine, rappelait dès 2015 qu’une « cyberattaque majeure sur un grand port serait susceptible de désorganiser massivement toute la chaîne d’approvisionnement et par voie de conséquence l’économie du pays ».
Une cyberattaque majeure sur un grand port serait susceptible de désorganiser massivement toute la chaîne d’approvisionnement et par voie de conséquence l’économie du pays
Des constats d’autant plus alarmants que la surface d’attaque cyber des infrastructures portuaires ne cesse de s’accroître à mesure de la modernisation numérique des ports.
Smart Port : quand productivité et cybersécurité se confrontent
Olivier Jacq est directeur technique et scientifique de l’association France Cyber Maritime, qui rassemble offreurs de solutions, acteurs publics et maritimes afin de contribuer au développement de l’écosystème national de cybersécurité maritime. L’association a pour missions d’accroître la résilience du monde maritime et portuaire face aux menaces cyber et de contribuer à la création d’une filière d’excellence française en cybersécurité maritime. Pour ce spécialiste, l'essor des "smart ports" est lié à la volonté de « répondre à des enjeux de productivité et de compétitivité dans un secteur du transport maritime où les flux sont extrêmement tendus mondialement ».
Pour devenir intelligents, les ports investissent en effet dans des technologies telles que l’Internet des objets industriels (IIoT, comme par exemple les senseurs connectés), l’intelligence artificielle ou encore le jumeau numérique. Combinées, elles offrent un très fort potentiel d’automatisation et d’accélération des processus. Par exemple, le port de Yangshan, en Chine, est parvenu à complètement automatiser le fonctionnement de ses portiques ship to shore et autres ponts roulants depuis 2017. Une prouesse, tant les processus d’entrée et de sortie des navires étaient jusqu’alors considérés comme les plus complexes à automatiser. De leur côté, des ports comme Rotterdam ou Hambourg brillent par l’automatisation de leurs processus d’acheminement des conteneurs. L’International Association of Ports and Harbors (IAPH), une association basée à Tokyo et qui représente les ports de commerce les plus importants dans le monde, confirme : « le maintien de la compétitivité repose sur les capacités des infrastructures IT et OT des organisations maritimes à s’adapter aux nouveaux systèmes d’automatisation ».
D’un point de vue cyber, la surface d’attaque des ports augmente
Problème : si la logique des ports intelligents va dans le sens de l’histoire, elle a pour conséquence une démultiplication des points d’entrée potentiels aux réseaux ainsi qu’une porosité plus importante entre les systèmes d’information (IT) et opérationnels (OT). D’un point de vue cyber, la surface d’attaque des ports augmente. Ainsi, la prise de contrôle à distance de ces senseurs et des systèmes de contrôle informatiques (auparavant manuels) des machineries portuaires (grues, portiques navals, passerelles, etc.) est aujourd’hui de l’ordre du possible. Cette vulnérabilité est renforcée depuis la crise du Covid, car comme le rappelle Olivier Jacq : « une part importante des solutions exploitées par les ports sont maintenues à distance par des prestataires ». De fait, sous la pression des contraintes sanitaires, les organismes portuaires ont souvent « généralisé dans l’urgence des accès à distance aux réseaux IT et OT et forcément accru la surface d’attaque de leurs systèmes pendant la crise ». Autre caractéristique des ports qui explique leur large surface d’attaque : ils se sont transformés en de véritables plateformes numériques dites “one to many”. « De nombreux acteurs se connectent à leurs SI au travers des Port Community Systems (PCS) ou encore des Cargo Community Systems (CCS) », précise le directeur technique et scientifique de France Cyber Maritime. « Les SI des ports sont donc extrêmement sensibles aux supply chain attacks, car il suffit potentiellement qu’un sous-traitant ayant des accès ne respecte pas bien les règles pour ouvrir une faille non anticipée », explique-t-il.
Des vecteurs de risque généraux à prendre en compte
En plus des vecteurs de risques propres à leur activité, les ports sont confrontés à des problématiques aggravantes communes à tous les secteurs économiques comme le souligne un rapport de l’IAPH.
Ils sont d’abord nombreux à accorder une faible priorisation des enjeux de cybersécurité au profit des enjeux business. En effet, la maintenance ou l’application de mise à jour de sécurité impose très souvent un ralentissement, voire un arrêt complet, des processus business. La priorité des organisations portuaires reste d’assurer leur mission première. Elles sont donc encore nombreuses à ne pas prioriser les mises à jour essentielles à leur cybersécurité. L’écosystème logiciel des ports est extrêmement complexe et repose souvent sur des technologies tierces obsolètes ou pour lesquelles les compétences humaines manquent au sein de l’organisation. De fait, les cyber-criminels ne cessent d’exploiter des vulnérabilités logicielles. Le port de Houston a ainsi récemment résisté à une attaque exploitant une faille critique d’une solution de password management.
La priorité des organisations portuaires reste d’assurer leur mission première. Elles sont donc encore nombreuses à ne pas prioriser les mises à jour essentielles à leur cybersécurité
Par ailleurs, l’accélération de la transformation numérique des ports s’accompagne inévitablement d’une hausse de la demande en profils qualifiés pour opérer ces nouvelles technologies. Mais en matière de cybersécurité, une enquête conjointe de l’ESG et de l’ISSA révèle que 57% des organisations mondiales souffrent d’une pénurie de main-d’œuvre qualifiée dans ce domaine. Et le secteur portuaire ne fait pas exception… malgré les récents appels du pied de la Marine Nationale.
Cyberattaques portuaires : un bilan économique salé
Le résultat ? D’après les éléments du M-CERT, le nombre de cyberattaques ciblant les ports ne cesserait d’augmenter. En 2018, 7 incidents publics sur les grands ports internationaux étaient dénombrés, contre 26 en 2021. Et ce comptage ne concernerait que les incidents publiquement référencés : le chiffre pourrait être bien plus important. Pour suivre de manière fiable et exhaustive ces incidents, le référencement du M-CERT est public et librement disponible sur leur espace GitLab.
Mais combien coûte une cyberattaque dans un port ? La réponse n’est pas simple, tant l’estimation des dommages financiers de ces attaques est délicate. D’autant que toutes n’ont pas le même impact, et que chaque port a une importance économique différente. Après la découverte de l’infiltration de son réseau informatique, en 2013, par un cartel de la drogue, le port d’Anvers a dû investir près de 200 000 euros dans un nouveau système (incluant notamment une nouvelle solution de gestion des mots de passe). Un dommage relativement peu élevé en comparaison de ceux infligés à l’armateur danois Maersk en 2017. Ce dernier est alors la victime du virus NotPetya. Par l’intermédiaire de son réseau, 12 terminaux portuaires qu’il opère à travers le monde sont atteints et mis à l’arrêt. Le groupe doit investir dans un remplacement de son infrastructure informatique (soit près de 4 000 serveurs, 45 000 PC et 2 500 applications qui sont réinstallés). Officiellement, Maersk accuse des pertes à hauteur de 300 millions de dollars.
Des pirates opportunistes et motivés par le gain… mais pas que
Si les cyberattaques forcent les autorités portuaires et acteurs du transport maritime à investir dans leur protection, elles sont largement plus profitables pour les cyber-criminels. D’après l’ANSSI, la principale motivation de ces “pirates 2.0” reste la promesse de gains financiers. Olivier Jacq le confirme : « le pirate choisit généralement sa cible par opportunisme. Il attaque là où la faille se trouve, et là où les bénéfices peuvent être les plus rapides, qu’importe que ce soit un grand ou un petit port, un hôpital ou une école ».
Après l’argent, c’est l’espionnage stratégique ou industriel qui motiverait les cybercriminels. Pour y faire face, le guide de l’ENISA décrit ainsi plusieurs typologies d’attaque visant à maintenir des capacités d’observation sur les SI des ports. Un espionnage qui peut concerner des informations comme les données d’aiguillage des conteneurs de transport, à l’image de l’exemple du port d’Anvers dont il était question plus tôt dans ce papier. Entre 2011 et 2013, le port est alors victime de trafiquants de drogue qui détournent le système d’aiguillage afin d’acheminer de la drogue en Europe.
Enfin, l’apparition de tensions géopolitiques exposeraient de plus en plus les ports à des cyberattaques visant à purement saboter leurs opérations ou l’image des autorités portuaires responsables. À titre d’exemple, la rivalité entre l’Iran et Israël serait la cause de l’interruption complète des systèmes du port de Shahid Rajaee en Iran.
Des obligations légales à l’échelle nationale et internationale
Face à la hausse de ces cyber-menaces hétérogènes, les autorités portuaires passent à l’action – souvent dans la lignée d’obligations légales. En France, l’article 22 de la Loi de programmation militaire (LPM) impose aux opérateurs d’importance vitale (OIV) – dont font partie les grands ports maritimes – le renforcement de la sécurité des systèmes d’information critiques qu’ils exploitent (dénommés SIIV pour l’occasion, pour systèmes d’information d’importance vitale). À l’échelle européenne, la directive NIS (qui s’inspire de la LPM) identifie également un certain nombre d’opérateurs de services essentiels (OSE), « tenus de prendre des mesures de sécurité appropriées et de notifier les cyber-incidents graves à l’autorité nationale compétente ». Ces mesures comprennent la prévention des risques, la sécurisation des réseaux et des systèmes d’information, ainsi que la gestion des incidents et de leurs conséquences. En complément, l’ENISA propose une feuille de route détaillée en quatre phases pour intégrer la cybersécurité à l’ADN numérique des ports.
Phase 1 : identifications des actifs et services cyber-connectés
Il est recommandé à toutes les autorités portuaires de débuter leur réflexion en matière de cybersécurité par une identification et une cartographie précise des systèmes IT et OT dont elles dépendent ainsi que des services qu’ils supportent. Du fait de la très forte interconnexion des systèmes portuaires avec ceux d’autres acteurs de la chaîne de valeur du transport maritime fluvial, il est important que cette cartographie comprenne aussi les systèmes de tous les acteurs partenaires.
Phase 2 : analyse des risques cybersécurité
Une fois la cartographie des systèmes et services IT/OT effectuée, la réalisation d’une analyse de risque cybersécurité devient plus réaliste. L’autorité portuaire doit alors être en mesure de développer une méthodologie fiable afin d’identifier et d’évaluer les cyber-risques inhérents à l’exploitation de ses systèmes et services.
Phase 3 : définition des mesures de sécurité et solutions à adopter
Cette phase se focalise essentiellement sur l’identification et la priorisation des mesures de sécurité et solutions à implémenter pour réduire les risques à des niveaux acceptables. Les phases 1 et 2 sont donc essentielles pour allouer correctement les ressources financières, humaines, et techniques et appliquer les mesures prioritaires selon le contexte particulier de chaque port.
Dans son guide, l’Agence européenne relève 23 mesures de sécurité phares pour les organisations portuaires. Parmi elles, il est possible d’en souligner plusieurs dont :
- l’implémentation d’une stratégie de protection « pour surveiller les terminaux des ports et renforcer leur sécurité en mettant en œuvre des outils et des mécanismes de sécurité tels que l'antivirus, le chiffrement, la gestion des terminaux mobiles (« MDM ») et le renforcement (hardening) ». Un point essentiel surtout dans le cadre d’une organisation de travail hybride où le télétravail se développent ;
- la définition d’une architecture basée sur la segmentation réseau pour limiter la propagation des attaques au sein des systèmes portuaires et éviter un accès direct à des systèmes portuaires très critiques tels que les Vessel Traffic Management Information System (VTMIS) et des systèmes de sécurité ;
- la mise en place un programme de sensibilisation à la sécurité informatique pour l'ensemble des personnels de l'écosystème portuaire, en se concentrant d'abord sur les principales menaces. Puis renforcer cette acculturation par des formations spécifiques et obligatoires sur la cybersécurité pour certaines populations-clés traitant quotidiennement avec les IT et OT (administrateurs système, chefs de projet, développeurs, agents de sécurité, maîtres de port, etc.) ;
- la mise en œuvre des mécanismes d'authentification multifactorielle pour les comptes accédant aux applications critiques et aux données (données personnelles, données opérationnelles sensibles telles que des informations détaillées sur les navires, les marchandises dangereuses et le fret).
Phase 4 : évaluation de la maturité en cybersécurité
Enfin, cette feuille de route doit impérativement inclure une auto-évaluation de la maturité des autorités portuaires en matière de cybersécurité. Elles peuvent ainsi réévaluer, à chaque mise à jour des systèmes IT et OT, leurs forces et faiblesses spécifiques et procéder en cycle afin d’identifier de nouvelles mesures de sécurité à déployer à l’avenir.
Cybermarétique : quand l’union fait la force
Mais la directive NIS propose également un cadre international de collaboration entre services publics et privés de tous les pays membres de l’Union européenne. Dans ce cadre, les Computer Security Incident Response Team (C-SIRT ou CERT) jouent un rôle central de tiers de confiance. Exemple phare, le Maritime Computer Emergency Response Team (M-CERT), initiative française dédiée au secteur maritime et portuaire franco-européen. En collaboration avec d’autres organismes similaires de rang international, il a pour rôle de centraliser toutes les informations de sécurité transmises par ses adhérents, et d’en assurer un partage anonyme améliorant les capacités de réponse de chacun en matière de cybersécurité. « Pour ce faire, il est nécessaire d’être en capacité de surveiller son SI pour détecter les attaques, mais surtout d’en identifier les caractéristiques afin de les communiquer à des organismes compétents tels que notre M-CERT », conclut Olivier Jacq.
Et ce type d’initiatives, visant à coordonner les efforts d’acteurs publics et privés autour de problématiques communes, dépasse de loin les frontières européennes. De nombreux pays se dotent ainsi de cadres de coopération entre acteurs privés et publics unis par des problématiques de cybersécurité communes. Aux États-Unis, le plan de sécurité des installations (imposé par le Maritime Transportation Security Act) coordonne par exemple les réponses conjointes du FBI, des garde-côtes et des autorités portuaires. Cela a récemment permis une circulation très rapide des informations techniques et stratégiques à l’issue de la cyberattaque du port de Houston. Dans un océan de cyber-menaces, il semblerait bien que l’union fasse la force.