Organisé par le CyberCercle, sous le patronage de deux députés qui ont bien connu les télex, ces jeunes journées parlementaires étaient structurées en deux parties: l’humain au cœur du processus organisationnel, et comment mieux intégrer la cybersécurité dans les process métiers. Philippe Vitel (député du Var) et Gilbert Le Bris (député du Finistère) ont joué les animateurs.
Pour introduire le sujet et marquer les esprits, le vice-amiral Arnaud Coustillière, officier général cyberdéfense à l’État-major des Armées, n’a pas son pareil. Comme en juin dernier, les « mafias d’origine russophones » ont été explicitement désignées comme un danger. « La tendance n’est plus à l’extraction des données mais au sabotage », a affirmé Arnaud Coustillière. En 2011, une première alerte sur le manque total de préparation du milieu maritime a sonné. Depuis, des progrès ont été réalisés, mais la vraie question que chaque organisation doit se poser est: quel est notre degré de préparation avant la première vraie catastrophe? Après l’attaque contre TV5 Monde, « imaginez un méthanier transformé en bombe flottante. Un pétrolier dont les vannes sont ouvertes volontairement au large des côtes. Faire perdre 10 heures à 15 heures à un porte-conteneurs. […] Au xviiie siècle, les pirates s’attaquaient aux cargaisons. Nous sommes dans la même situation[…]. Je vous encourage à vous coordonner au sein de l’OMI pour promouvoir une sûreté numérique. »
Les membres du Cluster maritime français ou d’Armateurs de France « ne sont pas toujours, et pas tous, enthousiastes » à travailler sur la cybersécurité, a noté Bénédicte Pilliet, créatrice et animatrice du CyberCercle.
80 % de bêtise ou d’ignorance
Concernant l’informatique dite de gestion, celle qui ne produit que du virtuel (traitement de texte, comptabilité, suivi de marchandises), 80 % des attaques proviennent de comportements humains inappropriés, a rappelé le contre-amiral Dominique Riban, d.g. adjoint de l’Anssi. Le solde a pour origine des failles dans le matériel, exploitables principalement par des hackers bien formés pour ne pas dire « étatiques », était-il précisé. L’exemple typique est le branchement d’une clé USB, de provenance incertaine, sur l’ordinateur de bureau. « Amusez-vous à déposer devant la porte d’un industriel des clés USB. Vous pouvez être certain que dans 10 % des cas, ces clés seront branchées rapidement sur les ordinateurs », a expliqué Dominique Riban. « Cela suffit pour infecter un réseau. Pour aller vite, pour plein de bonnes raisons, on raccorde des systèmes les uns aux autres. Avec tous les risques que cela comporte. Il faut donc former les gens, dès la maternelle, aux règles basiques d’hygiène » (numérique). Message similaire pour le vice-amiral Anne Cullerre, sous-chef d’État-major opérations aéronavales, pour qui le cyberespace est une création humaine. « L’être humain est le maillon faible de la sûreté numérique, il doit en devenir le maillon fort. Du haut en bas de la pyramide. » Ce parallélisme avec le facteur humain dans les accidents (maritimes ou non) ne semble pas être partagé par tous.
Pour Éric Banel, délégué général d’Armateurs de France, la prise de contrôle d’un navire n’est pas le premier risque, contrairement à la fragilité des systèmes portuaires auxquels le navire peut être relié. Cela dit, Armateurs de France conduit une étude sur l’évaluation des risques selon la taille de l’entreprise et le type de navigation, a expliqué son délégué général. Il s’agit de déterminer les navires susceptibles d’être des cibles. Les navires à passagers présentent un certain potentiel en la matière. La prise de conscience existe dans les directions générales, mais il faut la faire descendre à tous les niveaux, a estimé Éric Banel: « La bonne réponse est encore lointaine ».
Elle a cependant été, au moins partiellement, apportée par la publication en janvier du Guide de la cybersûreté à bord des navires, rédigé par le Bimco, la Clia, la Chambre maritime internationale, Intercargo et Intertanko. Difficile de faire plus international.
Répétition et crainte
Le Grand port maritime de Marseille (GPMM) a adopté une stratégie en deux parties en ce qui concerne son personnel, a expliqué Paul Franquart, responsable de la sécurité des systèmes d’information. Tous les agents du port suivent une formation de deux heures sur les règles basiques d’hygiène numérique. Les mots sont expliqués ainsi que les sanctions en cas de non-respect. Les descriptions de quelques méthodes d’attaque sont précisées ainsi que les bonnes pratiques. Les informaticiens de tous les services suivent une formation complémentaire, qui est pour l’instant passive. À terme, dès que le budget le permettra, les techniciens de la cellule d’alerte SSI suivront également une formation aux outils d’attaque afin de mieux les comprendre et donc d’y faire face.
Le contrôle des fournisseurs du GPMM, tiers indispensables, est plus délicat à mettre en œuvre. Il passe par la certification, quand elle existe, et par la mise en place de procédures visant à responsabiliser les intervenants. Dans ce dernier cas, il n’y a aucune intervention extérieure sans accord préalable du responsable concerné au GPMM. Enfin, les équipes du port supervisent en temps réel des interventions extérieures, lesquelles sont enregistrées à toutes fins utiles.
Le comportement des « VIP » n’est cependant pas toujours compatible avec la sûreté informatique, a constaté Paul Franquart, dans le domaine médical comme dans les conseils généraux. Un sentiment partagé par le d.g. adjoint de l’Anssi. Les « grands patrons » ne sont pas assez formés à la cybersécurité.
La lassitude est également un facteur défavorable à la sûreté informatique, a ajouté le représentant du port de Marseille. Il faut donc répéter, répéter et répéter encore, et faire un peu peur. En effet, le système marseillais permet de « qualifier » les comportements à risque et de distinguer entre la simple curiosité, la mauvaise manipulation, l’action délibérée ou la malveillance. Ce qui permet à la DRH d’agir en conséquence.
« Je voudrais mettre en garde contre le principe d’interdiction appliqué aux usagers. Dans le facteur humain, l’expérience prouve que les interdictions pures et dures ne fonctionnent pas. Il y aura toujours, à un moment ou à un autre, quelqu’un qui va dévier. Il faut donc prévoir une solution de secours, de repli, pour éviter les bêtises », a rappelé le d.g. adjoint de l’Anssi.
D’ici peu, tous les ports considérés comme des opérateurs d’importance vitale vont être obligés d’informer l’Anssi de tous les « incidents affectant le fonctionnement ou la sécurité des systèmes d’information » qui « risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation ». Rappelons que selon le responsable des systèmes informatiques du Grand port maritime du Havre, les attaques sont fréquentes, et de temps à autres astucieuses.
Cela dit, le seul exemple identifié d’accident portuaire significatif reste l’infiltration du Cargo Community System de la place d’Anvers d’où « disparaissaient » des conteneurs chargés de drogue. La façon dont les remorques chargées sortaient du terminal n’a jamais été précisée. Pour former les utilisateurs à une bonne hygiène numérique, la tendance est aux « serious games », sorte de jeux vidéo d’une trentaine de minutes qui poussent leurs participants à réfléchir aux règles de bon sens.
Par ailleurs, il y a moins de deux semaines a été réalisée une première « sensibilisation » aux cyberrisques des étudiants de l’ENSM de Marseille, a rappelé Patrick Hébrard, titulaire de la chaire de cyberdéfense des systèmes navals à l’École navale. Dans les prochains moins, les étudiants du site de Nantes devraient également y passer. Il est également question d’intégrer un volet cyber dans le stage embarqué des élèves officiers. Ils établiront la cartographie des systèmes et feront une analyse de risques afin de formuler quelques recommandations destinées à l’exploitant, a poursuivi Patrick Hébard.
La gestion du facteur humain étant semble-t-il bien intégrée dans la Marine nationale, celle-ci s’attache à faire en sorte que son personnel soit constamment entraîné à faire face au cyberrisque. La certification à l’aptitude au commandement de certains de ses officiers en dépend, a rappelé Anne Cullerre.
Le Scada: la préhistoire
Concernant les systèmes de contrôle et d’acquisition de données (Scada, Supervisory Control and Data Acquisition)
Représentant la Délégation générale de l’armement, Jean-Pierre Lebee, responsable métier SSI, a donné plus de volume au problème des Scadas: il est souvent difficile d’avoir une cartographie complète de ces automatismes qui sont souvent des sous-systèmes « critiques ». Il n’est donc pas toujours possible de les arrêter facilement. Et le risque de non-démarrage ne peut pas être exclu. Par ailleurs, il faut bien évaluer l’intérêt d’un renforcement du Scada aux cyberrisques, qui pourrait perturber son bon fonctionnement.
Le Scada est le « vrai problème de sécurité portuaire », a confirmé Paul Franquart. Le code ISPS serait-il à réécrire?
Prochainement, les autorités portuaires seront obligées d’utiliser, pour des usages critiques, des Scadas homologués.
Lors des probables 3e rencontres parlementaires sur le sujet, quelques minutes pourraient être consacrées à réfléchir aux éventuelles différences de nature entre un hacker des années 2000 et un lanceur d’alerte qui vend ou propose des fichiers informatiques appartenant à son employeur (une grande banque par exemple) à des États démocratiques qui s’en servent pour traquer les évasions fiscales.
Autre sujet d’interrogation: comment peut-on sérieusement parler de défense de la souveraineté nationale lorsque les principaux systèmes d’exploitation sont d’origine américaine et constamment modifiés?
* Logiciels destinés au contrôle de processus et à la collecte de données en temps réel auprès de sites distants, en vue de contrôler des équipements et des conditions d’exploitation.