Overblog Suivre ce blog
Editer l'article Administration Créer mon blog
13 février 2015 5 13 /02 /février /2015 07:55
photo CyberCercle

photo CyberCercle


12.02.2015 par Le Fauteuil de Colbert
 

Grâce à Nicolas Caproni (@ncaproni), Eric Egea (@eric_egea) et le Cyber cercle (@CyberCercle), la troisième rencontre parlementaire sur la cybersécurité, consacrée à la "marétique", pouvait être suivie depuis Twitter.

 

Le propos qui va suivre n'est qu'une reprise augmentée (de ma seule responsabilité) des tweets (tous disponibles sur @FauteuilColbert, dans le module sur votre droite depuis cette page ou sur Twitter via #RPCybermaritime) de ces trois personnes. Merci à elle de nous permettre de suivre la conférence donnée depuis partout dans le monde.

 

Au passage, nous observons que le réseau social dans ce cas précis permet de décupler un auditoire physique de 100 ou 200 personnes.

 

La cybersécurité des bateaux : des enjeux majeurs

 

La première table ronde était conduite sous la présidence du vice-amiral Coustillière. Il évoquait une prise de conscience du milieu maritime face aux risques inhérent au cyberespace.

 

L'un des enjeux pour les armateurs est la protection des systèmes à terre. En mer, un autre enjeu primordial est la possibilité de faire dévier de sa route un navire via une cyberattaque. Ce qui invite à revenir sur la question de la certification des logiciels dans le monde maritime civil. Contrairement au monde aérien, il n'existe pas encore d'assurance qualité de ces logiciels.

 

Les navires comme les infrastructures à terre fonctionnement sous les systèmes d'exploitation Windows ou Linux. Des OS qui ne sont pas durcis. Les spécialistes du secteur n'ont de cesse de répéter des OS bénéficient de réputation sans commune mesure avec leur niveau de sécurité réel. Et de rappeler que certaines technologies sont fiables, bien qu'anciennes : un télex ne subit pas de cyberattaque !

 

La cybersécurité des navires est ainsi devenu un enjeu qui doit être pris en comtpe dès la conception et la construction du navire. Une mauvaise architecture des logiciels, des réseaux ou une absence de certification peut conduire à des vulnérabilités critiques. Par exemple, les codes open source sont réutilisés sans être audité. Le noeud le plus critique dans la configuration actuelle est l'interconnexion de tous ces systèmes.

 

La table ronde évoquait également le risque de la dépendance des équipages aux systèmes de navigation sophistiqués. Elle conduisait l'auditoire à prendre en considération un nouveau risque où un navire, incapable de fonctionner en mode dégradé, suite à une attaque ou une avarie, ne pourrait plus être manoeuvré. Les moyens mécaniques de secours disparaissent. Une panne informatique peut aujourd'hui bloquer un bateau. L'humain est toujours la cheville ouvrière dans ces situations. Ce dernier peut-il se passer aujourd'hui des systèmes informatiques à bord ? Nos intervenants de répondre que non. 

 

Faits qui ne manqueront pas de relancer le débat dans la dialectique entre les normes militaires et civiles, les secondes s'appliquant de plus en plus souvent à une partie des flottes militaires.

 

Plus que la panne informatique, il est aussi question de la cyberattaque. La Marine nationale, par exemple, utilise des logiciels SCADA, presque identiques à ceux visés par Stuxnet. Rappelons que cette catégorie de logiciels apparaît dans tous les secteurs industriels, aussi bien les installations et équipement des navires militaires et civils que dans toutes les industries. En 1983, un gazoduc soviétique explosait, vraissemblablement, suite à une malfaçon placée au sein d'un logiciel de type SCADA. Stuxnet visait la même logique mais à l'échelle d'une usine d'enrichissement d'uranium. Le degré de complexité est sans commune mesure en une trentaine d'années.

 

La Marine nationale, par la voix du capitaine de corvette Malbec, présentait ses actions en matière de marétique. La Royale émet des certifications cyber avant d'autoriser un navire à naviguer.

Entre parenthèses, la Marine nationale communiquait sur ce point à propos du programme FREMM où la problématique semble avoir été prise en compte dès la conception.

 

La DGA de faire savoir que des simulations de cyberattaques sont menées pour tester les systèmes mais cela n'écarte pas les risques inhérent aux cyberattaques d'opportunités. Considérations qui nous renvoie aux réflexions actuelles sur le nécessaire développement d'une capacité de réponse face à une intrusion dans les systèmes.

 

Enfin, nos intervenants concluaient cette table ronde en affirmant que le niveau le plus pertinent pour lutter contre la cybercriminalité est l'international. Notamment pour unifier et concerter la réponse des armateurs face à ces menaces.

 

La cybersécurité des infrastructures portuaires : une dimension fondamentale de sécurité 

 

Succédant au vice-amiral Coustillière, le directeur général de l'ANSSI, Guillaume Poupard, venait présider la seconde table ronde dédiée aux infrastructures portuaires. Deux ports civils (Marseille et le Havre) et les bases navales par la voie de la Marine présentaient ces questions.

 

Le port de Marseille insistait sur la nécessité d'identifier les systèmes critiques interconnectés puis leur vulnérabilité. Toutefois, le représent du grand port du Levant ne pouvait que revenir sur cette vulnérabilité humaine des systèmes d'informations et de commandement. Une négligence du personnel peut conduire à fragiliser toute l'architecture de sécurité. C'est pourquoi des solutions d'analyse comportementales sont utilisées sur les portes de travail.

 

Le port du Havre mettait en avant l'omniprésence de l'informatique dans les infrastructures portuaires. C'est pourquoi la cybersécurité est intégrée en amont des projets informatiques.

 

 

Deux questions transversales aux ports civils étaient posés. D'un côté, une des personnes qui suivait la conférence remarquait que la question des bornes wifi dans les ports est aussi une source potentielle de vulnérabilités. Elles peuvent potentiellement donner accès aux systèmes d'information du port. Les navigants s'y connectent régulièrement tant avec leurs moyens professionnels que personnels. Pirater les systèmes du port est une porte ouverte aux cyberattaques d'altération et d'infiltration mais aussi de destruction. Ensuite, le PDG de Securymind demandait qui est propriétaire de l'information, ce qui revient à demander qui doit la protéger ? Une matérialisation des cyberattaques pouvant toucher un port est l'exemple récent du port d'Anvers, l'un des premiers ports européens et du monde.

 

Le capitaine de vaisseau de Foucauld commençait son intervention en rappelant que la Royale ne part pas de zéro sur ces questions. L'habitude de la protection du secret initiait une culture de protection et de gestion de l'information qui n'est pas sans rapport avec la marétique. La Marine investit sur la sensibilité et la formation à la cyberdéfense. L'hygiène numérique concerne tous les militaires !

Les enjeux ne sont pas les mêmes entre les ports militaires et civils. Ils sont différents par la nature des activités qui s'y déroulent. Cela se traduit par des flux différents tant en nature qu'en rythme. Dans un port militaire, beaucoup d'opérations de maintenance nécessitent l'emploi des systèmes informatiques, ils constituent dès facto une cible. L'un des principaux enjeux réside dans la nécessaire cartographie des systèmes équipant les ports et les navires. L'attention doit aussi se porter sur l'interface navires/port.

Reprenant le large, l'officier d'avancer que plus jamais de bateaux seront lancés sans dispositif de cybersécurité, peu importe le coût !  Aussi, le CV de Foucaud de s'inquiéter à propos du système AIS qui n'est absolmument pas sécurisé. Le système LRIT peut être un palliatif mais il a un coût. 

 

L'ANSSI s'exprimait au cours de cette table ronde. L'agence ne pouvait pas faire l'économie de la citation de l'article 22 de la loi de programmation militaire qui lui donne de nouvelles responsabilités et prérogatives dans la protection des Opérateurs d'Importance Vitale (OIV). Nouveauté qui aide l'ANSSI à harmoniser les systèmes et les pratiques. Une liste comptabilise 218 opérateurs, son contenu est secret. Peut être quelques infrastructures portuaires ou quelques navires peuvent être concernés. L'ANSSI partageait son expérience, notamment sur des cas où des infrastructures portuaires servaient de relais pour des cyberattaques. Elles étaient victimes mais à titre collatéral. L'autre volet concerne aussi la nécessaire émergence d'un tissu industriel de confiance pour répondre à une partie des vulnérabilités identifiés, notamment au cours des deux tables rondes. La sécurité des systèmes d'informations et de commandement a un coût, les investissements doivent se faire dans cette voie. Et ils doivent être réalisés intelligemment car un logicel de sécurité mal utilisé n'est plus un investissement mais un coût.

Partager cet article

Repost 0

commentaires

Présentation

  • : RP Defense
  • RP Defense
  • : Web review defence industry - Revue du web industrie de défense - company information - news in France, Europe and elsewhere ...
  • Contact

Recherche

Articles Récents

  • Chronique culturelle 9 Janvier
    Hussards du régiment de Bercheny en 1776 09.01.2017 source JFP 9 janvier 1778 : mort du créateur des régiments de Hussards (Luzancy – près de Meaux). Emigré hongrois et excellent capitaine au service de la France, Ladislas Ignace de Bercheny , obtient...
  • Chronique culturelle 04 Jan.
    Insigne général des Troupes de Forteresse de la Ligne Maginot 04.01.2016 source JFP 4 janvier 1894 : signature de l’alliance franco-russe. Préparée par de nombreuses activités bilatérales dans les années précédentes, une convention militaire secrète est...
  • Chronique culturelle 03 Jan.
    Napoléon en Egypte par Jean-Léon Gérome 03.01.2017 source JFP 3 janvier : Sainte Geneviève, patronne de la gendarmerie. Issue de la noblesse gallo-romaine du IVe siècle, elle convainc les habitants de Lutèce de ne pas livrer leur ville à Attila, roi des...
  • Au Levant, contre Daech avec les Forces Spéciales
    photo Thomas Goisque www.thomasgoisque-photo.com Depuis plus de deux ans, les hommes du C.O.S (Commandement des Opérations Spéciales) sont déployés au Levant et mènent, en toute discrétion, des opérations contre l’Etat islamisque.Au nord de l’Irak, ils...
  • Les blessés en Opérations extérieures ne prennent pas de vacances !
    Source CTSA Pendant la période des fêtes de fin d'années, le nombre de donneurs diminue dangereusement. Le site de Clamart du Centre de transfusion sanguine des armées (CTSA) invite fortement les donneurs des communes proches à profiter des vacances de...
  • Interview SDBR de Gaël-Georges Moullec, Historien
    photo SDBR 20.12.2016 par Alain Establier - « SECURITY DEFENSE Business Review » n°162 SDBR: Comment va la Russie aujourd’hui? Gaël-Georges Moullec * : Il n’y a plus d’ascenseur social dans la Russie d’aujourd’hui, ce qui est un problème moins connu,...
  • Chronique culturelle - 16 Déc. 2016
    Regiment de la marine (1757) - Planche extraite des Troupes du roi, infanterie française et étrangère, 1757, tome 1. Musée Armée 16.12.2016 source JFP 16 décembre 1690 : création des compagnies franches de la Marine. Par ordonnance, 82 compagnies franches...
  • Externalisation de la Défense et de la Sécurité en France ? - 15 Décembre
    Le Comité directeur de l'ANAJ-IHEDN a le plaisir de vous inviter à la conférence : Vers une externalisation de la Défense et de la Sécurité en France ? Guillaume FARDE Maître de conférences à Sciences Po Paris, auteur de Externaliser la sécurité et la...
  • Chronique culturelle - 24 Nov.
    24 novembre 1977 : premier vol du Super Etendard de série 24.11.2016 source JFP 24 novembre 885 : début du siège de Paris par les Vikings. Très actifs durant le IXè siècle, les Vikings ont pris l’habitude de remonter les fleuves du Nord de la France pour...
  • Sortie en librairie le 21 novembre du livre LÉGIONNAIRE
    source MAREUIL EDITIONS Pour la première fois, un ancien officier de la Légion et un Légionnaire donnent la parole à 64 de leurs camarades. Pendant 2 ans, Victor Ferreira a rencontré près d’une centaine de Légionnaires à travers le monde en leur posant...

Categories