RAPPORT D’ANALYSE DE RISQUES CYBER DES SECTEURS MARITIMES ET PORTUAIRES

LE SECTEUR MARITIME ET PORTUAIRE FACE AU RISQUE CYBER

BESSÉ, acteur majeur du conseil et du courtage en assurance, spécialisé en risques d’entreprises et en assurances de personnes, a dévoilé le rapport de synthèse de sa dernière étude réalisée pour le secteur maritime français.

Le domaine maritime et portuaire est particulièrement exposé aux attaques cyber du fait de l’importance des flux financiers qu’il génère et de l’essor du pilotage numérique et interconnecté des navires. 

Face à ces menaces élevées, BESSÉ est partie prenante du Conseil Cyber du Monde Maritime (C2M2) et de France Cyber Maritime dont l’objectif est d’accroître la résilience du monde maritime et portuaire, et de contribuer à la création d’une filière française d’excellence en cyber sécurité dans ce domaine.

La dernière étude réalisée dans ce cadre par les équipes de Didier DAOULAS, Directeur du comité « analyse des risques » et Ingénieur département Maritime de BESSÉ, avait pour but d’identifier les risques cyber les plus significatifs pour le secteur et de proposer des recommandations pour les réduire.

Basée sur une analyse précise et méthodologique intégrant l’état de la menace, les sources de risques connus et l’avis des compagnies maritimes et des ports consultés, elle dégage quelques grandes conclusions : les deux pays les plus impactés par des incidents de cyber sécurité maritime sont les États-Unis (28,22% ) et la France (10,4%) ; le secteur logistique et supply chain est le plus touché (37%) devant les armateurs (34%) et les ports (29%) ; le nombre d’événements a évolué à la hausse de manière importante au cours des 4 dernières années. Cette hausse s’expliquant notamment par une augmentation de la surface d’attaque, de l’exposition de vulnérabilités, mais aussi de leur exploitation, notamment dans le cas d’attaques par rançongiciels ; enfin, les codes malveillants/rançongiciels sont les plus fréquents, devant les intrusions réseaux.

Le rapport présente également : la sélection de 9 événements les plus redoutés et leurs impacts ; 11 scénarios d’attaques (par Ransomware ou sabotage des systèmes OT, d’alimentation, de surveillance du trafic …) ; des recommandations générales dans le domaine de la gouvernance, de la protection, de la défense et de la résilience. Parmi lesquelles : la réglementation, l’intégration de la cyber sécurité dans la conception des systèmes (security by design), l’incitation à la classification cyber (BV NR659, DNV-GL RP 4096…) pour les nouveaux navires sous pavillon national, la sensibilisation des acteurs et des employés du secteur, la prise en compte de la cyber sécurité dans les relations de sous-traitance, le renforcement du rôle du M-CERT : encourager l’adhésion, la notification des incidents et le partage d’informations cyber, la réflexion sur l’opportunité de créer un SOC mutualisé pour les opérateurs du secteur.

Comme l’ensemble du monde, le secteur maritime et portuaire est entré dans l’ère du numérique : les systèmes et sous-systèmes des navires et des ports sont de plus en plus pilotés numériquement et interconnectés même lorsque les navires sont en pleine mer. Cette évolution, indispensable car gage d’efficacité, a exposé le monde maritime et portuaire à un risque qui ne le concernait jusqu’alors qu’assez peu : le risque cyber.

Le domaine maritime et portuaire est particulièrement exposé aux attaquants cyber du fait de l’importance des flux financiers qu’il génère

Face à ces menaces élevées, le secteur maritime et portuaire s’est organisé, en créant notamment le Conseil Cyber du Monde Maritime (C2M2), dont les travaux ont suivi deux orientations. La première est l’analyse détaillée des risques et des scénarios d’attaques possibles, objet de ce rapport. Cette identification des vulnérabilités permet de prioriser les actions à mener. La seconde est l’adoption d’une stratégie cyber du monde maritime, identifiant lesdites actions. Elle s’est concrétisée par la création de l’association France Cyber Maritime, dont la vocation est d’étendre au domaine cyber le principe de solidarité des gens de mer qui fait la force du monde maritime.

Le risque cyber ne disparaîtra pas. Mais avec les efforts de tous, ce risque sera maîtrisé, comme le monde maritime et portuaire a toujours su le faire pour les nombreux autres risques auxquels il est exposé.

Denis ROBIN, Secrétaire général de la Mer

Retrouvez le document de décembre 2021 du Comité analyse des risques du Conseil de Cybersécurité du Monde Maritime (C2M2) en pièce-jointe.