Vous êtes sur la page 1sur 8
F COMITÉ DE LA SÉCURITÉ MARITIME 95ème session Point 4 de l'ordre du jour MSC

F

COMITÉ DE LA SÉCURITÉ MARITIME 95ème session Point 4 de l'ordre du jour

MSC 95/4/1 5 mars 2015 Original: ANGLAIS

MESURES POUR RENFORCER LA SÛRETÉ MARITIME

Directives du secteur relatives à la cybersécurité à bord des navires

Document présenté par l'ICS, BIMCO, INTERTANKO et INTERCARGO

RÉSUMÉ

Résumé analytique: On trouvera dans le présent document des renseignements sur les travaux en cours visant à élaborer des directives du secteur relatives à la cybersécurité à bord des navires, ainsi qu'une description de ces directives.

Orientations stratégiques:

6.1

Mesures de haut niveau:

6.1.1

Résultats escomptés:

6.1.1.1

Mesures à prendre:

Paragraphe 20

Documents de référence:

MSC 94/4/1

Rappel des faits

1 Dans le document MSC 94/4/1, le Canada et les États-Unis ont recommandé

d'élaborer des directives facultatives sur les pratiques de cybersécurité pour protéger les systèmes virtuels qui facilitent les opérations portuaires et l'exploitation des navires, des installations maritimes et d'autres éléments du système de transport maritime et pour en renforcer la résilience.

2 Pour donner suite à cette recommandation, BIMCO a informé le Comité qu'il travaillait

avec des partenaires sur des recommandations destinées aux propriétaires et aux équipages de navires relatives aux aspects opérationnels de la cybersécurité. Ces travaux étant en cours, BIMCO s'est engagé à rendre compte au MSC 95 des progrès accomplis à ce sujet.

3 Les directives du secteur maritime relatives à la cybersécurité à bord des navires

visent essentiellement, comme leur nom l'indique, à fournir des orientations aux navires. Elles

couvriront, le cas échéant, les questions se rapportant à la cybersécurité des organisations à terre.

MSC 95/4/1

Page 2

4 Les coauteurs du présent document ont la conviction que ces orientations

favoriseront l'adoption de pratiques sûres à bord, qui contribueront à leur tour à protéger les navires et leurs systèmes contre tout dommage. Par exemple, si les officiers d'un navire décèlent une faille dans les réseaux embarqués pouvant entraîner l'infection par un virus du système de visualisation de cartes électroniques et d'information (ECDIS), ils pourront prévenir une telle infection en adoptant des pratiques sûres. En outre, dans le cadre du système de gestion de la sécurité, il faudrait prévoir un plan d'urgence pour que les navires puissent être exploités en toute sécurité, même si l'ECDIS est infecté et son fonctionnement compromis.

5 Il est en outre reconnu que des protagonistes mal intentionnés pourraient recourir à

un navire pour commettre une cyberattaque contre des sociétés à terre, des autorités et autres

parties prenantes, en procédant à un échange de données électroniques depuis le navire même.

Scénarios à risque

6 Les directives du secteur maritime relatives à la cybersécurité à bord des navires ont

pour objet de fournir aux propriétaires de navires, aux armateurs-gérants et aux gens de mer

des méthodes leur permettant d'arrêter des mesures fondées sur les risques en matière de cybersécurité maritime.

7 Les menaces informatiques revêtent de multiples formes. De nos jours, les plus

fréquentes sont notamment les attaques logicielles, le vol de la propriété intellectuelle, le vol de matériel ou de renseignements, le sabotage et l'extorsion de données bancaires. Parmi les attaques logicielles courantes figurent les virus, les vers informatiques, l'hameçonnage et les chevaux de Troie.

8 L'échange de données électroniques entre les navires et les installations à terre s'est

considérablement accru au cours des dix dernières années. L'utilisation de plus en plus répandue de la télésurveillance des systèmes, des diagnostics et de la télémaintenance dans le secteur maritime ira de pair avec l'augmentation constante des échanges de renseignements entre les navires et les autorités, les prestataires de services, les affréteurs et les propriétaires et exploitants de navires.

9 L'intensification des échanges de données électroniques accroît le risque de

cyberattaques tant dans leur diversité que dans leur fréquence et dans l'ingéniosité mise en œuvre. Une cyberattaque peut provenir, par exemple, d'une clé USB qui introduit un logiciel malveillant pour dérober des renseignements sensibles d'ordre commercial, ou encore d'un courriel envoyé à des personnes inconnues, qui contient des renseignements détaillés sur les itinéraires suivis par les navires. Sont également possibles le piratage général du système informatique d'une société à terre et la perturbation potentielle des systèmes installés à bord

des navires. Les possibilités de scénarios à risque sont nombreuses et ne cessent de croître. Les délinquants choisissent la méthode de piratage qui se prête le mieux à leurs délits et l'adaptent bien souvent aux cibles visées.

10 Il se peut que certaines organisations, certains navires et certains systèmes soient

plus exposés que d'autres, en raison du type et du caractère des données qu'ils possèdent. Pourtant, d'une manière générale, l'expérience montre que les délinquants se concentrent sur les points les plus vulnérables des réseaux ciblés et attaquent les systèmes moins bien protégés ou aisément accessibles. C'est pourquoi il est essentiel que les sociétés se préparent à lutter contre des cyberattaques et remédient rapidement aux points faibles détectés au sein de leurs réseaux, aussi bien à terre qu'à bord des navires.

MSC 95/4/1

Page 3

11 Les causes et les circonstances qui aboutissent à compromettre les systèmes de bord

tout au long de leur exploitation sont multiples :

.1

L'absence de contrôle des personnes ayant eu accès aux systèmes de bord; ce qui pourrait se produire lors d'un passage en cale sèche ou lors de la prise en main d'un navire neuf.

.2

Le cas où des travailleurs en place, par exemple des gens de mer ou du personnel d'entretien, ayant directement accès aux systèmes de bord, y transfèrent délibérément ou par inadvertance des logiciels malveillants.

.3

L'accès à distance.

12 Lors du passage en cale sèche, de la livraison d'un navire neuf ou de la reprise de

l'exploitation d'un navire existant, il n'existe aucun moyen de savoir si un logiciel malveillant a été transféré sur les systèmes de bord. Par conséquent, il faudrait partir du principe que tous les systèmes sont non sécurisés au moment de la reprise en charge des navires, et les analyser et les configurer à nouveau avant de pouvoir les juger sécurisés.

13 La cybermenace interne est considérable et ne doit pas être prise à la légère. En

conséquence, les compagnies devraient de toute urgence prendre connaissance de l'intégralité des données et renseignements stockés sur leurs systèmes et connaître l'identité des personnes autorisées à y accéder, ainsi que l'identité des personnes qui y accèdent de fait et leurs motifs. Tout employé, y compris l'employé le mieux intentionné, peut faire preuve de négligence, ne serait-ce qu'en transférant entre deux ordinateurs des données au moyen d'une clé USB sans prendre préalablement les précautions nécessaires. Or les données peuvent faire l'objet d'une manipulation incorrecte et les fichiers d'une suppression injustifiée.

14 Quiconque se laissant duper est susceptible de divulguer des renseignements à

caractère confidentiel ou d'autoriser une quelconque opération bancaire, en réalité frauduleuse. Deux méthodes fréquemment utilisées pour y parvenir sont l'hameçonnage d'une part et l'hameçonnage ciblé d'autre part. Elles consistent à envoyer des courriels pour en inciter les destinataires à ouvrir une pièce jointe ou à cliquer sur des liens. Si la première méthode, plus aléatoire, ne repose sur aucune logique précise, la seconde ne cible généralement que certains collaborateurs d'une même société. Les pirates peuvent balayer les réseaux sociaux, tels les sites LinkedIn ou Facebook, pour usurper l'identité de certains de leurs usagers qui sont connus des destinataires ou jugés dignes de confiance. Sitôt la pièce jointe ouverte ou le lien activé, des logiciels malveillants ou des rançonlogiciels ("ransomware") peuvent infecter l'ordinateur du destinataire victime de la fraude.

15 Un ordinateur non connecté au réseau est un poste de travail sécurisé mais, par là

même, peu fonctionnel, à moins qu'il ne lui soit assigné une tâche très précise et très limitée. C'est pourquoi la plupart des ordinateurs de bord, qu'il s'agisse d'ordinateurs individuels, d'ordinateurs pilotes, voire d'automates programmables, sont connectés à un réseau. La sûreté de l'accès, tant à distance que par les travailleurs en place, aux réseaux internes des navires doit faire l'objet d'une stratégie qui s'inscrive dans un cadre de gestion fondée sur les risques. Ce cadre devra comporter une description de l'architecture des réseaux de bord et prévoir une stratégie relative aux éléments suivants : accès aux données, accès à l'Internet, utilisation des mots de passe, cryptage, utilisation des courriels, accès des prestataires de services, surveillance des systèmes, etc.

MSC 95/4/1

Page 4

16 Les directives destinées aux propriétaires de navires, aux armateurs-gérants et aux

gens de mer et qui portent sur les mesures d'atténuation des risques liés au cyberespace maritime, reposent sur la gestion des risques. Il faudrait noter que les processus opérationnels

pourraient de ce fait subir des modifications, ce qui compliquerait les opérations journalières. C'est cependant le prix à payer pour bénéficier d'une cybersécurité renforcée. L'efficacité des mesures d'atténuation devrait être proportionnelle à l'importance de la menace.

17 Les directives du secteur relatives à la cybersécurité à bord des navires sont

exposées sommairement à l'annexe du présent document.

Futurs travaux

18 L'élaboration des directives destinées du secteur relatives à la cybersécurité à bord

des navires sera poursuivie au cours de l'année 2015, et il est prévu d'en soumettre la version

définitive au MSC 96 aux fins d'examen par le Comité.

19 Les coauteurs du présent document n'ignorent pas que les solutions d'e-navigation

devront être mises en œuvre compte tenu des questions se rapportant à la cybersécurité. Ils souhaitent que ces directives contribuent à prévenir tous doublons et à éviter, à l'avenir, toute

confusion.

Mesures que le Comité est invité à prendre

20 Le Comité est invité à examiner ce qui précède et les renseignements figurant en

annexe au présent document, et à prendre les mesures qu'il jugera appropriées.

***

MSC 95/4/1 Annexe, page 1

ANNEXE

Les directives du secteur relatives à la cybersécurité à bord des navires fourniront des orientations sur les aspects suivants :

1 Sensibilisation et formation de toutes les parties prenantes

.1

Il est essentiel d'expliquer aux propriétaires de navires, aux gens de mer et autres parties prenantes pourquoi ils devraient consacrer du temps et des moyens aux questions se rapportant à la cybersécurité.

.2

L'utilisation par le personnel des courriels, des logiciels et des médias sociaux doit être prise en considération dans les directives, pour que soient conservés en lieu sûr les renseignements sensibles, comme les données sur la cargaison ou les déplacements d'un navire, qui peuvent présenter un intérêt pour les criminels. Aux fins de la cybersécurité et pour que personne ne s'empare de tels renseignements, il est donc indispensable que toutes les personnes concernées possèdent des connaissances suffisantes en la matière.

.3

Le programme d'enseignement et de formation devrait en outre porter sur les logiciels dont dépend la sécurité des navires, par exemple les systèmes de navigation, les systèmes de commande de l'appareil à gouverner, les systèmes de communication et les systèmes relatifs à la cargaison, ainsi que sur les dispositifs permettant de les protéger contre les infections par des logiciels malveillants. Il faut former les personnes concernées à l'exploitation en toute sécurité de ces systèmes en mode manuel.

.4

Le programme d'enseignement et de formation devrait être adapté aux niveaux de compétence visés :

capitaines, officiers et membres de l'équipage;

personnel de l'organisation, y compris le personnel de gestion à terre; et

principales parties prenantes de la chaîne logistique (affréteurs, sociétés de classification et prestataires de services, etc.).

2 Approche globale fondée sur les risques s'inspirant des normes et directives

existantes et complétée par les derniers renseignements pertinents et les meilleures pratiques actuelles

.1 La cybersécurité d'un secteur tel que celui des transports maritimes doit être fondée sur les risques. La gestion des risques s'attache en permanence à identifier les menaces, à les évaluer, à les classer par ordre de priorité et à les combattre, en vue de réduire au minimum, de surveiller et de maîtriser la probabilité que surviennent des incidents regrettables et/ou les conséquences de ces incidents.

MSC 95/4/1 Annexe, page 2

.2

Aux fins de la gestion des risques, les gens de mer et les propriétaires de navires devraient comprendre la probabilité que se produise un incident et les conséquences qui en découleraient. Sachant cela, ils seraient à même de définir un niveau de risque acceptable sur lequel ils s'appuieraient au moment de prendre les mesures nécessaires. Il existe différentes manières de gérer les risques : par atténuation, par transfert, par prévention ou par acceptation des risques. Ces quatre approches sont fondées sur les conséquences que pourraient avoir les risques sur les services essentiels.

.3

Grâce à la gestion des risques, les décisions relatives à la cybersécurité pourront être documentées et classées par ordre de priorité et il sera possible d'appuyer les évaluations des risques récurrents et la validation des processus opérationnels clés pour pouvoir sélectionner et cibler plus facilement les activités essentielles pour la cybersécurité. Le personnel de bord et celui de l'organisation à terre doivent élaborer un cadre de gestion de la cybersécurité fondée sur les risques. Ce cadre devrait tenir compte des multiples normes, directives et pratiques en vigueur pour garantir la résilience des prestataires des infrastructures clés.

.4

Il est possible que certaines organisations fassent appel à un spécialiste pour effectuer un essai d'intrusion et un examen minutieux des protocoles de sûreté, en vue d'évaluer la vulnérabilité des données, d'en identifier l'emplacement et les mouvements et de recenser les processus utilisés et leurs justifications.

3 Prise en compte de l'intégrité, de la confidentialité et de la disponibilité des systèmes

virtuels (systèmes essentiels et auxiliaires de transmission des données opérationnelles)

.1 Garantir l'intégrité des données, c'est en préserver la cohérence, l'exactitude et la légitimité (intégrité des logiciels), aussi bien lors de leur stockage à bord que lors de leur transmission d'un navire à l'autre. Il faut prendre des mesures pour garantir qu'aucune donnée ne peut être modifiée ou interceptée.

4 Élaboration d'orientations précises sur la gestion des renseignements essentiels, en vue de préserver la capacité opérationnelle des systèmes virtuels

.1

Les renseignements essentiels devraient être protégés et rester confidentiels. Pour garantir la confidentialité des renseignements sensibles, il faut prendre des mesures pour empêcher tout accès ou consultation non autorisé.

.2

L'accès à ces renseignements doit être limité aux personnes autorisées. Pour ce faire, ces renseignements doivent être classés en catégories correspondant au risque de dommages qui pourraient survenir si des criminels accédaient aux systèmes sur lesquels sont stockées ces données. La rigueur des mesures d'atténuation à prendre devrait être en rapport avec ces catégories. Il est indispensable de pouvoir accéder aux systèmes de bord; c'est pourquoi le matériel électronique devrait être entretenu et, lorsque les circonstances l'exigent, rapidement réparé. De plus, il faudrait tenir à jour les systèmes d'exploitation et leurs programmes, en veillant à régler tout problème d'incompatibilité logicielle.

MSC 95/4/1 Annexe, page 3

5 Moyens d'intégrer des éléments relevant de la sûreté tant matérielle que logicielle, en vue de garantir la sécurité et la continuité des opérations

.1 La concrétisation de mesures de sûreté passe par l'application de procédures de gestion du matériel et des réseaux internes de manière à en garantir le fonctionnement dans un environnement contrôlé. Il faudrait aussi vérifier les versions des logiciels pour en éviter toute modification incorrecte ou suppression accidentelle. Il peut être également nécessaire d'installer des dispositifs capables de détecter toute modification des données stockées dans le système.

6 Importance d'identifier et de réduire l'utilisation d'interfaces tierces qui pourraient compromettre la cybersécurité

.1

Au sein du secteur maritime, différentes parties prenantes sont autorisées à accéder aux systèmes de bord. Les fournisseurs et les sous-traitants constituent une menace en ceci que, souvent, ils possèdent des connaissances approfondies des activités du navire et ont accès aux systèmes d'information essentiels. Par ailleurs, ils pourraient involontairement infecter les systèmes du navire en y connectant leurs propres systèmes.

.2

Il est indispensable de procéder à une restauration des données à la suite d'une défaillance. Les scénarios les plus défavorables devraient être prévus dans le processus de planification des systèmes de bord. Il est possible d'avoir recours à des dispositifs de protection (pare-feu, serveurs de substitution, etc.) pour prévenir les actes de piratage et les temps d'indisponibilité.

7 Prise en compte des systèmes de surveillance de la cybersécurité et de la gestion des réseaux

.1

La surveillance et la gestion des systèmes sont essentielles parce qu'elles permettent aux spécialistes des technologies de l'information, de concert avec le personnel à terre et à bord du navire, de connaître l'état du ou des réseaux. En cas de défaillance d'un système, il devient alors plus aisé de mettre en évidence la portée exacte du problème et le moment auquel il est survenu, ce qui facilite aussi la restauration des données.

.2

La gestion des réseaux tient aussi compte de la redondance nécessaire pour récupérer les données perdues, selon la fréquence à laquelle est créée une copie de sauvegarde des données du serveur et la période de conservation des données.

8 Élaboration de plans d'urgence

.1 Des plans d'urgence devraient toujours être disponibles en cas d'incident lié à la sûreté. Il est incontestable que nul n'est à l'abri d'une attaque. Or, en l'absence d'un plan d'urgence, certaines décisions prises pourraient altérer par inadvertance les éléments de preuve et compliquer considérablement la restauration des données au moment où l'on tente de régler les problèmes. Les plans d'urgence devraient être constamment actualisés et mis à l'essai.

MSC 95/4/1 Annexe, page 4

.2

Dans le cas où un problème lié à la sûreté des renseignements est décelé, il faut commencer par répondre aux questions suivantes :

À quel moment est survenue l'infraction à la sûreté ? Cette infraction a-t-elle encore lieu ?

L'origine de cette infraction est-elle interne ou externe ?

Comment est survenue l'infraction et pourquoi ? Par exemple, un protagoniste mal intentionné a-t-il abusé des droits d'accès au réseau pour en dérober des données en vue de les revendre ? Ou un employé a-t-il divulgué accidentellement par courriel des renseignements sensibles ?

Quels sont les éléments compromis : propriété intellectuelle, données personnelles, fonctionnement des réseaux, etc. ?

Comment éviter à l'avenir une telle infraction ?

.3

Pour éviter une infection du réseau par des logiciels malveillants ou une destruction d'éléments de preuve, l'organisation et son service informatique devraient se garder de régler seuls, sans l'aide de spécialistes, le problème dont ils suspectent la survenance. Les enquêteurs professionnels spécialisés dans la cybercriminalité possèdent les compétences nécessaires pour interroger les personnes ayant eu accès aux renseignements protégés et retracer leurs faits et gestes. De même, pour ne manquer aucun élément de preuve numérique, l'organisation peut faire appel à des experts en informatique judiciaire et en restauration des données. Ceux-ci pourront en outre prêter leur concours tout au long de l'enquête ou du litige.

.4

Le temps est un facteur clé lorsqu'une infraction est détectée ou suspectée. C'est pourquoi, pour accélérer l'intervention il faut s'attacher à établir un rapport avec tout incident semblable ayant eu lieu avant une cyberattaque proprement dite.

.5

Si l'incident lié à la sûreté met en cause des systèmes essentiels pour la sécurité des navires, notamment les systèmes de navigation, les systèmes de commande de l'appareil à gouverner, les systèmes de communication et les systèmes relatifs à la cargaison, le plan d'urgence doit expliquer comment exploiter ces systèmes en mode manuel.

9 Examen et évaluation continus des systèmes virtuels pour en garantir la fiabilité en toutes circonstances

.1 Il faudrait examiner et évaluer les dispositifs de cybersécurité du point de vue de leur fiabilité pour s'assurer qu'ils peuvent faire face au niveau actuel des menaces qui pèsent sur la cybersécurité. Parce que de nouvelles menaces font constamment leur apparition, le service informatique ou des spécialistes devront peut-être élaborer de nouvelles mesures de protection et de nouvelles procédures.