FIC : le monde maritime modélise ses risques

La démonstration est impressionnante. Un assaillant imaginaire réussit, à l’issue de ses efforts d’ingénierie sociale, à leurrer un administrateur, à le conduire à ouvrir une pièce jointe. Selon le courriel, il s’agit d’informations de sécurité urgentes spécifiques à son environnement informatique.

La cible n’est manifestement pas assez méfiante. Mais n’est-ce pas le cas de nombreuses victimes de cyberattaques ? Peut-être la pression l’a-t-elle aidé à baisser sa garde… Quoiqu’il en soit, elle va jusqu’à suivre les instructions de la pièce jointe, un document Word : activer les macros, pour déterminer si son automate est affecté par une nouvelle vulnérabilité. Patatras. Dans les instants qui suivent, la machine est compromise, avec élévation de privilèges. Quelques instants de plus, le contrôleur de domaine Active Directory est compromis – l’exploitation de la vulnérabilité Zerologon n’y est pas étrangère –, puis l’ensemble des postes de l’environnement. Tous se retrouvent bloqués par un rançongiciel. La partie est finie ? Pas encore.

Mais il y a pire. Dans les minutes qui suivent, le pare-feu censé isoler l’environnement opérationnel (OT) du système d’information (IT) est franchi via la supervision. Cinq transformateurs sont attaqués et mis à l’arrêt, avant que ne suive une sous-station.

Tout cela s’est en fait déroulé dans la solution de cyber-range de Diateam. Les postes de travail sous Windows 10, le serveur Exchange, et même les transformateurs sont virtuels. Seule la sous-station correspond en fait à un automate physique, bien réel.

Cette simulation a été construite dans le cadre du projet européen Cyber-MAR. Celui-ci, qui associe notamment Naval Group, l’université de Plymouth, Seability, Air, ou encore Atos, vise notamment à sensibiliser toute la filière maritime.

Certes, le scénario n’intègre pas, par exemple, l’exploitation de vulnérabilités sévères affectant des systèmes directement exposés sur Internet ni la vétusté potentiellement de l’environnement. Mais la plateforme de Diateam permet d’ajuster le scénario à loisir, notamment pour tenir compte de nouvelles menaces ou de nouveaux vecteurs d’attaque.

Mais l’essentiel réside dans la capacité à faire la démonstration de la potentialité d’un scénario d’incident majeur. Car la simulation doit aider à identifier les risques informatiques pour le monde maritime, et à construire des modèles analytiques permettant d’en quantifier l’impact économique. Le port de Valence, en Espagne, a accepté de se prêter au jeu, en serveur de base à l’élaboration d’une infrastructure mixte IT/OT réaliste.

Deux autres simulations sont d’ailleurs prévues. L’une qui portera sur la compromission de la passerelle d’un navire avec propagation jusqu’à des systèmes opérationnels embarqués critiques, comme la propulsion. L’autre se concentrera sur le mouvement des conteneurs au sein d’un terminal.

L’intérêt du monde maritime pour sa cybersécurité n’est pas nouveau. Déjà, en 2015, plusieurs organisations armatoriales mondiales s’étaient réunies pour présenter des projets visant à protéger le transport maritime contre d’éventuelles cyberattaques. Plus tard, l’épisode NotPetya a souligné l’importance du sujet en frappant lourdement A.P. Moller-Maersk. L’an dernier, CMA-CGM a elle-même été victime du ransomware Ragner-Locker. Cet été, Transnet, qui opère les principaux ports d’Afrique du Sud a lui également été frappé par une cyberattaque.

Dans l’Hexagone, le traitement du sujet a connu une forte accélération fin 2020, avec la création de l’association France Cyber Maritime, dont le projet était depuis longtemps en gestation. Cette association travaille notamment à la mise en œuvre d’un CERT spécifique au secteur, mais également à fédérer et structurer une offre de cybersécurité dédiée au monde maritime, ou encore à la formation. 

France Cyber Maritime a reçu le soutien de nombreux organismes et associations : le Gican (Groupement des industries de constructions et activité navales), Naval Group, Thales ainsi que des écoles d’ingénieurs de Brest et sa région, et des PME spécialisées en cybersécurité (YesWeHack, Sekoia, etc.). 

Une belle brochette de futurs adhérents qui faisait dire, en janvier dernier, à Guillaume Prigent, administrateur de l’association : « nous avons l’une des meilleures agences au monde en cybersécurité avec l’Anssi, un secteur maritime très dynamique, des grands acteurs, des structures comme le Gican : pourquoi n’essaierait-on pas de développer ce savoir-faire de cybersécurité pour le monde maritime, et aussi de voir comment on peut adapter des solutions françaises du monde IT classique à ce secteur ? »