Contacté en début d'année pour participer à un dossier "cybersécurité maritime" pour Le Marin, mon interview n'est jamais parue pour des raisons diverses. Trois ans après un article, qui fut sans doute l'un des tous premiers sur le sujet en France, il semblerait qu'une certaine attention (1) soit enfin portée sur ce domaine d'intérêt stratégique. Il m'est paru important de publier aujourd'hui cet entretien qui serait sinon resté dans les limbes de ma messagerie.
L'année dernière, de nombreuses failles ont été découvertes dans les systèmes GPS, AIS et MMSI notamment. Pensez-vous que la sécurité du transport maritime a été sous estimée ?
Je pense que les faiblesses portant sur la cybersécurité du transport maritime ne sont pas spécifiques à ce secteur.
De trop nombreux autres secteurs brillent par une faible sinon l'absence
de prise en compte sérieuse des enjeux et des problématiques liés à la
protection et à la défense des systèmes d'information. Autrement dit, la
cybersécurité a été, jusqu'à présent, globalement
ignorée sinon traitée au mieux comme un "mal nécessaire".
Malheureusement, cacher les poussières sous le tapis ne peut
qu'augmenter sensiblement l'accumulation de poussière et la gravité des
"allergies" qui vont avec !
Quel est, selon vous, la (ou les) menace informatique la plus préoccupante aujourd'hui pour le transport maritime ?
Il n'y a sans doute pas une seule menace mais plutôt une typologie de
menaces. Qui ne sont d'ailleurs pas toutes spécifiques au domaine
maritime et portuaire. Du point de vue purement technique, les menaces
pesant sur l'AIS et/ou en lien avec la perturbation
du GPS sont intéressantes. On peut d'ailleurs y voir des analogies avec
le secteur du transport aérien si l'on pense au protocole de
communication ADS-B qui permet à un avion d'envoyer, comme pour un
navire, des données contextuelles en temps réel (coordonnées,
vitesse, altitude, etc.).
Le rapport de l'ENISA, en 2011, pose les bases d'une ligne de conduite pour une politique de cybersécurité maritime européenne, sinon mondiale. Où en sommes-nous en 2014 ? Y a-t-il eu, à votre connaissance, des avancées en ce sens ?
Il m'étonnerait que les pouvoirs publics, notamment en France, n'aient
pas pris la mesure des légitimes inquiétudes que le rapport de l'ENISA
souligne. Concernant la France, la création de l'agence nationale de la
sécurité des systèmes d'information (ANSSI)
en 2009 s'accompagne depuis deux années d'une sérieuse montée en
puissance de ses effectifs et de ses capacités. Les articles de la loi
de programmation militaire (LPM) pour la période 2014/2019 viennent, de
plus, renforcer cette dynamique et devraient permettre,
dans les prochaines années, des avancées significatives pour l'ensemble
des secteurs d'importance vitale.
Pour autant, et à ma connaissance, je n'ai pas noté, jusqu'à présent, d'avancée majeure au niveau international. Au niveau européen, c'est un peu différent puisque consécutif aux attentats du 11 septembre 2001, il existe un programmes dédié portant sur les infrastructures critiques (PEPIC) duquel découle la directive européenne 2008/114/EC. De plus, un projet de directive spécifique à la cybersécurité, appelé "NIS", est en cours de discussion entre les États-membres depuis plusieurs mois.
Pour autant, et à ma connaissance, je n'ai pas noté, jusqu'à présent, d'avancée majeure au niveau international. Au niveau européen, c'est un peu différent puisque consécutif aux attentats du 11 septembre 2001, il existe un programmes dédié portant sur les infrastructures critiques (PEPIC) duquel découle la directive européenne 2008/114/EC. De plus, un projet de directive spécifique à la cybersécurité, appelé "NIS", est en cours de discussion entre les États-membres depuis plusieurs mois.
En France, un livre bleu sur la marétique a été publié en 2013. Pensez-vous qu'il est à la hauteur des enjeux actuels ?
Le livre bleu de la marétique (2) n'a malheureusement fait qu'effleurer deux
grands sujets. D'une part celui concernant la protection des données,
le terme "cybersécurité" n'apparaissant pas une seule fois dans ce
document. D'autre part, et c'est une prise de
conscience bien réelle, les systèmes industriels sont là aussi évoqués
mais il n'est nulle part question des vulnérabilités potentielles
embarquées par de nombreuses installations industrielles.
Des fragilités qui sont le fait d'une plus grande interaction avec l'informatique "classique" soit la "logique IP et COTS". Autrement dit le croisement du protocole Internet avec l'intégration logicielle de "composants sur étagère" augmente les vulnérabilités potentielles à toutes sortes d'attaques informatiques. De plus, l'ouverture plus ou moins directe des systèmes industriels au cyberespace aggrave ce que l'on appelle la "surface d'exposition" aux cyberattaques. Cette évolution est une véritable hérésie car ces systèmes ont, jusqu'à présent, été conçus, développés et mis en œuvre sans qu'il n'ait été tenu compte des malveillances informatiques. Des malveillances qui pourraient directement avoir un impact sur le fonctionnement d'une économie qui est de plus en plus dépendante aux automates sous toutes les formes (véhicules individuels et collectifs, climatisation, distributeurs de billets, etc.).
Des fragilités qui sont le fait d'une plus grande interaction avec l'informatique "classique" soit la "logique IP et COTS". Autrement dit le croisement du protocole Internet avec l'intégration logicielle de "composants sur étagère" augmente les vulnérabilités potentielles à toutes sortes d'attaques informatiques. De plus, l'ouverture plus ou moins directe des systèmes industriels au cyberespace aggrave ce que l'on appelle la "surface d'exposition" aux cyberattaques. Cette évolution est une véritable hérésie car ces systèmes ont, jusqu'à présent, été conçus, développés et mis en œuvre sans qu'il n'ait été tenu compte des malveillances informatiques. Des malveillances qui pourraient directement avoir un impact sur le fonctionnement d'une économie qui est de plus en plus dépendante aux automates sous toutes les formes (véhicules individuels et collectifs, climatisation, distributeurs de billets, etc.).
Le rapport de l'ENISA préconise d'intégrer le risque de cyberattaques dans les clauses d'assurance maritime, afin de contraindre les armateurs à prendre en compte cette menace. Qu'en pensez-vous ?
C'est une possibilité supplémentaire offerte aux acteurs du transport
maritime qui possède cependant deux inconvénients potentiels. Le
premier, majeur, serait de déresponsabiliser les décideurs en
transférant les risques vers un support qui offre un "vrai-faux"
sentiment de sécurité. Le second, lié au premier, serait de diluer une
partie du budget consacré à la cybersécurité au détriment d'une
organisation donc de moyens et de projets qui concourent au
développement de l'entreprise. Car la "bonne" gouvernance d'une
entité, qu'elle soit privée ou publique, ne peut faire l'économie d'une
gestion avisée des risques y compris technologiques et informationnels.
Pensez-vous qu'il est préférable d'apporter une réponse au cas par cas (navire par navire), ou plutôt d'avoir une démarche plus globale pour aborder cette menace ?
Tous les spécialistes considèrent, à juste titre, que la cybersécurité
est un domaine entièrement transversal aux autres métiers de
l'entreprise quel que soit son domaine d'activité. De plus, les système
d'information possèdent une dimension systémique forte
avec un niveau de maîtrise extrêmement variable, sauf à tenir une
cartographie en temps réel et parfaitement à jour. Les réponses,
puisqu'elles sont nécessairement plurielles, ne peuvent donc faire du
cas par cas, cela étant économiquement et opérationnellement
peu soutenables. En revanche, les systèmes et sous-systèmes identifiés
comme critiques pour l'entreprise peuvent, eux, faire l'objet d'une
véritable démarche adaptée et quasiment "sur-mesure". Finalement, si la
démarche est globale, une partie de celle-ci
doit aussi s'attacher au spécifique et le traiter comme tel.
Quelque chose à rajouter sur la question ?
Il n'est jamais trop tard pour commencer à s'attaquer, sans peurs ni tabous, aux enjeux stratégiques en lien avec la cybersécurité.
Si les discours de nombreux décideurs montrent ces derniers mois une
certaine prise de conscience des risques liés aux technologies de
l'information, la prochaine étape ne peut être qu'une inflexion positive
en matière d'actes, encore trop peu corrélés avec
les discours. Cette inflexion, qui viendra souligner une véritable
maturité dans le traitement des nouveaux risques induits par le domaine
cyber, sera alors de considérer que la cybersécurité est un
investissement avant d'être un coût. Mais un investissement
de long-terme avec un retour difficilement quantifiable.
Finalement, la cybersécurité souffre du même paradoxe que le risque incendie : est-il préférable d'acheter un extincteur avant qu'un hypothétique incendie ait lieu ou vaut-il mieux attendre que l'incendie ait eu lieu pour acheter, trop tardivement, un extincteur ? Le jour où le risque cyber sera traité sur le même plan que le risque incendie, c'est à dire en l'anticipant, un grand pas sera franchi.
(1) Lire l'article d'il y a un an "Livre bleu de la marétique et cybersécurité maritime"
Finalement, la cybersécurité souffre du même paradoxe que le risque incendie : est-il préférable d'acheter un extincteur avant qu'un hypothétique incendie ait lieu ou vaut-il mieux attendre que l'incendie ait eu lieu pour acheter, trop tardivement, un extincteur ? Le jour où le risque cyber sera traité sur le même plan que le risque incendie, c'est à dire en l'anticipant, un grand pas sera franchi.
(1) http://www.defense-et-strategie.fr/index.php?option=com_content&view=article&id=563:cybercercle-du-12-septembre-2014-toulon-cybersecurite-et-milieu-maritime&catid=114:le-cybercercle&Itemid=367, http://www.franceinter.fr/emission-le-zoom-de-la-redaction-les-cyber-attaques-dans-le-transport-maritime et http://www.lemarin.fr/sites/default/files/cargo2014_8_cybersecurite_et_maretique_2.pdf
Aucun commentaire:
Enregistrer un commentaire