Cybersecurité Cours OK

Université de Lomé
Institut des Métiers de la Mer (I2M)

Semestre 4 :------------------
Sécurité Sureté Maritime
INFORMATIQUE APPLIQUEE A LA
SECURITE & A LA SURETE
MARITIME 2
CYBERSECURITE MARITIME
Chargé de cours
N’Faye FELIBIGOU
Expert Fonctionnel 0
Gestion Portuaire et Logistique
SOMMAIRE
PARTIE 1 : CYBERSECURITE PORTUAIRE ET INSTALLATIONS

PORTUAIRES
1- APPREHENDER LE PAYSAGE PORTUAIRE
2. 1.1-Cadre réglementaire
3. 1.2- Infrastructures et services portuaires
4. 1.3-Principaux acteurs portuaires
5. 1.4-Modèle de référence
2- IDENTIFIER LES ACTIFS PORTUAIRES
3- CARTOGRAPHIER LES CYBERMENACES ET LES ENJEUX DE

CYBERSÉCURITÉ
6. 3.1- Diversité des cybermenaces

7. 3.2-Enjeux de cybersécurité
8. 3.3-Scénarios types de cyberattaque
9. 3.4-Analyse du niveau de maîtrise – « Méthode EBIOS »
4. IDENTIFIER LES MESURES DE CYBERSÉCURITÉ ADAPTÉES
10. 4.1- Politiques et gouvernance

11. 4.2- Pratiques et processus organisationnels
12. 4.3- Pratiques et mesures techniques
5. PLANIFIER LA MISE EN ŒUVRE DE SES ACTIONS
6. GÉRER LES CYBERINCIDENTS AVÉRÉS
13. 6.1- Anticiper la survenue des cyberincidents

14. 6.2- Réagir de manière adaptée aux cyberincidents
CONCLUSION
1
INFORMATIQUE APPLIQUEE A LA SECURITE & A LA SURETE MARITIME 2 CYBERSECURITE MARITIME
PARTIE 2 : CYBERSECURITE DU NAVIRE
1- LE NAVIRE DANS LE CYBER ESPACE
15. 1.1- La numérisation du monde maritime

16. 1.2- Vulnérabilités spécifiques du navire
2- ENQUETE SUR LA CYBER SECURITE DU NAVIRE
17. 2.1 - Nature de l’enquête

18. 2.2- Analyse de l’enquête
3- OUTILS DE PROTECTION
19. 3.1- Les outils technologiques

20. 3.2- Les outils de gestion système
4- LA NECESSITE D'ELEVER LE NIVEAU DE PROTECTION DU NAVIRE
21. 4.1- Sacraliser le système industriel du navire

22. 4.2- Recommandations afin d'élever le niveau de cybersécurité du navire
23. 4.3-Mettre en œuvre les recommandations
24. 4.5- Quel avenir pour la cybersécurité du navire
5-ANNEXES
ANNEXE N°1 - Vulnérabilités du navire
ANNEXE N°2 - Format de l'enquête
ANNEXE N°3 - Fiches guide (R1 à R7)
3
PARTIE 3 : BONNES PRATIQUES SECURITAIRES
1- SUR LE NAVIRE
25. 1.1- Bien choisir ses mots de passe
26. 1.2- Utiliser sa messagerie avec vigilance
27. 1.3- Séparer les usages personnels et professionnels
28. 1.4- Être prudent sur internet
29. 1.5- Sauvegarder régulièrement ses données
30. 1.6-Maîtrisez les logiciels installés sur vos équipements informatiques

31. 1.7- Sigles
32.
33. 2- RECOMMANDATIONS AUX COMPAGNIES
34.
35. 1- Ssensibiliser les personnels
36. 2- Prévoir des sauvegardes régulières
37. 3- Bien connaître ses utilisateurs et ses prestataires
38. 4- Mettre régulièrement à jour ses logiciels
39. 5- Sécuriser l’accès Wi-Fi du navire
40. 6- Mettre en place un cloisonnement du réseau
41.
42. 3- VOCABULAIRE
4
PARTIE 1 :
CYBERSECURITE PORTUAIRE ET INSTALLATIONS
PORTUAIRES
5
dans le cas d’une installation portuaire, les

aspects suivants : sécurité physique, intégrité
structurelle, systèmes de protection du
personnel, procédures, systèmes de radio et de
1. APPREHENDER télécommunication, y compris les systèmes et
réseaux informatiques et les infrastructures de
transport pertinentes. Le plan de sûreté doit
LE PAYSAGE aborder l’accès à l’installation portuaire, les
zones réglementées au sein de l’installation
PORTUAIRE portuaire, la manutention de la cargaison, la
livraison des provisions de bord et le contrôle
de la sécurité de l’installation portuaire.
Le Code ISPS a été repris au niveau européen par

1.1 Cadre réglementaire
le règlement (CE) 725/2004 du 31 mars 2004 qui
se concentre sur l'amélioration de la sûreté des
La cybersécurité des ports s’inscrit dans un
navires et des installations portuaires et par la
cadre réglementaire international, européen et
directive 2005/65/CE du 26 octobre 2005 qui
national qui reste récent et met en lumière les
s’attache à l'amélioration de la sûreté des ports.
trois dimensions contemporaines des ports qui
regroupement à la fois des infrastructures, des Est ainsi repris le principe de l’établissement par
services et des données. les Etats membres d’évaluations de sûreté des ports
et des installations portuaires et, par les autorités
1.1.1 Cadre réglementaire de la « sûreté portuaires et les exploitants d’installations
des infrastructures portuaires » portuaires, de plans de sûreté dont la mise en œuvre
est contrôlée par les Etats membres.
Le Code ISPS - Code international pour la
sécurité des navires et des installations 1.1.2 Cadre réglementaire de
portuaires (International Ship and Port Facility la « sécurité
Security Code), ajouté à la Convention sur la des services portuaires »
sauvegarde de la vie humaine en mer (SOLAS)
en décembre 2002, reconnaît le rôle des Deux types de réglementations s’appliquent à la
installations portuaires dans la sûreté portuaire sécurité des services portuaires, selon qu’ils
et maritime et définit les exigences et relèvent d’opérateurs d’importance vitale (OIV) ou
recommandations que les installations d’opérateurs de services essentiels (OSE).
portuaires doivent suivre.
1.1.2.1 Cadre réglementaire applicable
Il a été défini pour traiter la sûreté des ports, aux opérateurs d’importance vitale
mais les exigences peuvent également être liées Le « sous-secteur » du transport maritime et fluvial
à la cybersécurité des ports dans une certaine est ainsi rattaché au secteur du transport qui est l'un
mesure (exigences de contrôle d'accès et des douze secteurs d'importance vitale retenus
d'authentification). dans le cadre du dispositif interministériel de
sécurité des activités d'importance vitale (SAIV),
Il oblige à établir une évaluation de sûreté des inscrit dans le code de la défense.
ports et installations portuaires pour identifier
les principaux points vulnérables, les menaces L’article 22 de la loi n° 2013-1168 du 18 décembre
et contre-mesures possibles et un plan de sûreté 2013 relative à la programmation militaire pour les
pour identifier, pour chacun des différents années 2014 à 2019, mise en application par le
niveaux de sûreté, les procédures à suivre, les décret n° 2015-351 du 27 mars 2015 relatif à la
mesures à mettre en place et les actions à sécurité des systèmes d’information des opérateurs
entreprendre. d’importance vitale, impose aux acteurs identifiés
comme opérateurs d'importance vitale (OIV), le
L’évaluation de sûreté doit notamment aborder, renforcement de la sécurité des systèmes
6
d’information critiques qu’ils exploitent. l'Organisation maritime internationale, en vue

Pratiquement, l'arrêté du 11 août 2016 fixe les de fournir aux opérateurs maritimes
règles de sécurité et les modalités de déclaration individuels une approche cohérente ».
des systèmes d'information d'importance vitale et Les opérateurs de services essentiels identifiés
des incidents de sécurité relatives au sous-secteur dans l'écosystème du transport par eau (en dehors
d'activités d'importance vitale « Transports du sous écosystème fluvial) sont les suivants :
maritime et fluvial ». Les OIV du secteur
maritime doivent identifier leurs Systèmes • les entreprises de transport maritime et côtier de
d'information d'importance vitale (SIIV), leur passagers et de marchandises, telles que définies
appliquer les mesures de sécurité de l'arrêté pour le transport maritime à l'annexe I du
sectoriel dans les délais prévus par ce même règlement (CE) 725/2004 ;
arrêté et déclarer à l'ANSSI de façon immédiate • les organismes de gestion des ports, y
les incidents SSI affectant de manière compris leurs installations portuaires (définies
significative leurs SIIV. comme « un endroit où l'interface navire/port a
lieu ; cela comprend des zones telles que les
1.1.2.2 Cadre réglementaire aux opérateurs de mouillages, les postes d'amarrage et les
services essentiels approches depuis la mer, selon le cas » dans le
règlement (CE) 725/2004) et les entités exploitant
Le « sous-secteur » du transport par voie des infrastructures et équipements contenus dans
d'eau est rattaché au secteur du transport qui les ports ;
est l'un des sept secteurs de la directive SRI /
NIS et l'un des 15 secteurs de sa transposition • les exploitants de services de trafic
française. maritime (définis comme « service conçu pour
améliorer la sécurité et l'efficacité du trafic
La directive (UE) 2016/1148 du 6 juillet 2016 maritime et pour protéger l'environnement, qui a
concernant des mesures destinées à assurer un la capacité d'interagir avec le trafic et de répondre
niveau élevé commun de sécurité des réseaux aux situations de trafic qui se développent dans la
et des systèmes d’information dans l’Union, zone des STM » dans la Directive 2002/59 /CE).
dite Directive SRI ou NIS, crée un cadre
réglementaire pour renforcer la cybersécurité La directive SRI / NIS a été transposée en France
des opérateurs de services qui sont essentiels via la loi n° 2018-133 du 26 février 2018 portant
(OSE) au fonctionnement de l'économie et de diverses dispositions d'adaptation au droit de
la société. l'Union européenne dans le domaine de la sécurité
qui fixe le cadre général, le décret n° 2018-384 du
Elle vise ainsi à harmoniser les capacités 23 mai 2018 relatif à la sécurité des réseaux et
nationales de cybersécurité ainsi qu’à systèmes d’information des opérateurs de
renforcer la collaboration transfrontalière et la services essentiels et des fournisseurs de service
surveillance des secteurs critiques à travers numérique qui fixe les modalités de désignation
l'UE. Ses considérants 10 et 11 sont des OSE et la liste des services essentiels, et par
spécifiques au secteur maritime : « Les l'arrêté du 14 septembre 2018 qui fixe les règles
exigences de sécurité pour les entreprises, les de sécurité et les délais mentionnés à l’article 10
navires, les installations portuaires, les ports du décret n° 2018-384 du 23 mai 2018.
et les services de trafic maritime en vertu des
La directive SRI / NIS s'applique aux grands ports
actes juridiques de l'Union couvrent toutes les
maritimes français et concerne, par ailleurs, les
opérations, y compris les systèmes de radio et
compagnies maritimes. Sur le modèle de la loi de
de télécommunication, les systèmes et
programmation militaire, la directive SRI / NIS
réseaux informatiques » et « lors de
impose aux OSE d'identifier leurs systèmes
l'identification des opérateurs « de services
d'information essentiels (SIE), de leur appliquer
essentiels » dans le secteur des transports par
les mesures de sécurité dans les délais prévus et
eau, les États membres devraient tenir compte
de déclarer à l'ANSSI les incidents SSI affectant
des codes et lignes directrices internationaux
de manière significative leurs SIE.
existants et futurs élaborés en particulier par
Il convient enfin de rappeler qu’en 2019, le
7
règlement sur la cybersécurité de l'UE La cybersécurité, en particulier pour les navires,

renforce la position de l'ENISA dans les n'est abordée directement au niveau international
questions de cybersécurité pour les États que depuis 2017 grâce à des directives et
membres de l'UE et définit un cadre de recommandations à l'écosystème maritime
certification de cybersécurité à l'échelle de mondial.
l'UE pour les produits, services et processus
TIC. Ce cadre fournira un ensemble complet L’Organisation Maritime Internationale (OMI),
de règles, d'exigences techniques, de normes via son Comité de facilitation (FAL) et son
et de procédures afin d'attester que les Comité de la sécurité maritime (MSC) ont défini
produits et services TIC peuvent être fiables les lignes directrices de l'OMI sur la gestion des
sur la base des exigences de l'UE. cyberrisques maritimes dans une circulaire MSC-
FAL.1/Circ. 3 du 5 juillet 2017. Y est reconnu
1.1.3 Cadre réglementaire de la « l'urgence de sensibiliser aux menaces et aux
protection des données portuaires » vulnérabilités liées aux cyberrisques et de fournir
des recommandations de haut niveau sur la
Les conventions SOLAS (« sauvegarde de la gestion des cyberrisques maritimes contre les
vie humaine en mer ») et FAL (« facilitation cybermenaces et vulnérabilités actuelles et
du trafic maritime international ») définissent émergentes, y compris les principaux domaines
huit formulaires normalisés à utiliser pour qui soutiennent une gestion efficace des
échanger des informations au sein de cyberrisques (identifier, protéger, détecter,
l'écosystème maritime, en particulier entre le répondre et récupérer).
port et des tiers :
Ces directives font la distinction entre les
• Formulaire FAL n° 1 « déclaration générale » systèmes informatiques (utilisation des données
comme informations) et les systèmes industriels
• Formulaire FAL n° 2 « déclaration de la (utilisation des données pour contrôler ou
cargaison » surveiller les processus physiques). Elles
reconnaissent que toutes les organisations de
• Formulaire FAL n° 3 « déclaration des l'industrie du transport maritime sont différentes
provisions de bord » et doivent se référer aux exigences des
gouvernements membres et des administrations
• Formulaire FAL n° 4 « déclaration des effets de pavillon ainsi qu’aux normes et meilleures
et marchandises de l’équipage » pratiques internationales ou industrielles
pertinentes (par exemple, NIST Framework,
• Formulaire FAL n° 5 « liste de l’équipage » ISO/IEC 27001) afin d’assurer la sécurité la plus
pertinente.
• Formulaire FAL n° 6 « liste des passagers »
La directive 2010/65/UE du 20 octobre 2010
concernant les formalités déclaratives applicables
• Formulaire FAL n° 7 « marchandises
aux navires à l’entrée et/ou à la sortie des ports
dangereuses »
des États membres (remplacée par le règlement
2019/1239 du 20 juin 2019 qui ne rentrera en
• Déclaration maritime de santé
vigueur qu’en 2025) exige que les ports des États
membres acceptent des formulaires standardisés
L'échange électronique des informations requises (formulaires FAL) afin de faciliter le trafic. Cette
est obligatoire depuis le 9 avril 2019, notamment directive introduit également les systèmes
à l'aide de systèmes de « guichet unique » SafeSeaNet établis au niveau national et au
déployés par les pouvoirs publics. Cette niveau de l'Union européenne pour faciliter
standardisation des échanges de données a un fort l'échange sécurisé de données entre les autorités
impact sur les écosystèmes informatiques maritimes des États membres et les systèmes
portuaires et pose de nouveaux défis de sécurité d'autres autorités (par exemple, les systèmes
informatique. douaniers).
8
Sous l’impulsion du ministère chargé des etc.), d'infrastructures de distribution (routes

ports, un projet de simplification et de internes, voies ferrées, passerelles, etc.), de
digitalisation de la transmission des bâtiments et de terminaux gérés et maintenu par
formalités applicables aux navires a été mené l'administration portuaire. Les installations
au cours des dernières années : le « guichet portuaires sont généralement louées par l'autorité
unique maritime et portuaire » (GUMP). portuaire à des exploitants de terminaux privés
chargés de gérer et d'entretenir la superstructure
Ce guichet a été progressivement mis en place (comme les grues, les silos, les clôtures
depuis 2010, conformément aux prescriptions spécifiques, les installations de contrôle, les
de la directive (UE) 2010/65. La France a, terminaux de passagers) pour effectuer les
pour sa part, décidé de mettre en place un opérations spécifiques des installations
système d’information centralisé reposant sur portuaires.
les différents systèmes d’informations
portuaires (SIP). La solution déployée permet En outre, diverses autorités résident dans les
ainsi la saisie et la transmission de données installations portuaires pour fournir des services,
dématérialisées fournies par les déclarants des contrôles et des inspections liés aux
dans les SIP vers les systèmes d’information opérations des navires et des ports (voir 3.3).
des administrations françaises et
européennes. Un port maritime peut s'adresser à quatre grandes
catégories d'activités auxquelles les
Le secteur portuaire, comme tous les secteurs infrastructures et les services sont adaptés :
économiques, est enfin directement concerné
par les exigences pour la protection des • activités liées au fret maritime (conteneur,
données personnelles fixées par le règlement cargaison générale, vrac liquide ou sec, etc.) avec
(UE) 2016/679 du 27 avril 2016 relatif à une infrastructure et des services dédiés pour
protection des personnes physiques à l'égard accueillir les cargos et gérer les opérations
du traitement des données personnelles et à la connexes (par exemple, déchargement et
libre circulation de ces données, dit chargement, stockage, inspection douanière,
Règlement général sur la protection des contrôles sanitaires, etc.) ;
données (RGPD). Des exigences pleinement • activités liées au transport de passagers
intégrées dans les dispositions de la loi n° 78- (ferries et navires de croisière) et de véhicules
17 du 6 janvier 1978 relative à l'informatique, avec des infrastructures et des services dédiés
aux fichiers et aux libertés, modifiée par loi pour accueillir les passagers et les véhicules à
n° 2018-493 du 20 juin 2018 relative à la bord des navires et les opérations liées aux
protection des données personnelles. gestionnaires (par exemple, passerelles pour
passagers, parking, restaurants et bars,
Infrastructures et services portuaires contrôle aux frontières, etc.). Cela comprend
l'activité RoRo (Roll-on / roll-off ship) car la
Les infrastructures et services portuaires cargaison est sur des camions ;
présentent une grande diversité d'un port à l'autre
: au fil des années, les ports maritimes ont adapté
• activités liées à la réparation des navires ;
leurs infrastructures et services aux spécificités
géographiques et territoriales locales, aux
• activités liées à la pêche avec des
activités liées à la l'emplacement du port (bassins
infrastructures et des services dédiés pour
de pêche existants autour, un emplacement idéal
accueillir les bateaux de pêche et gérer les
pour le tourisme, un emplacement au carrefour de
opérations connexes (par exemple,
différents pays et continents, etc.) et aux
déchargement / chargement du poisson,
différents défis auxquels les ports doivent faire
inspection du poisson, stockage réfrigéré du
face.
poisson, etc.).
L'infrastructure globale d'un port est composée
Afin de soutenir ces différentes activités, le
d'infrastructures marines (brise-lames, dragage,
port fournit les principaux services,
écluses, bassins, jetées, quais, jetées d'amarrage,
9
représentés sur la figure 2 et détaillés dans le

tableau 1. Ces services sont regroupés en sept
catégories, qui ont été définies sur la base des
recherches documentaires et des informations
fournies par les experts qui ont contribué à ce
guide
10
. Figure 1: Infrastructures et services portuaires
11
Tableau 1 : Services portuaires détaillés
Catégorie de service Description du service

Lorsqu'un navire arrive et quitte un port, différents services sont fournis : attribution des postes d'amarrage, pilotage
Services d'accostage
maritime, fournitures de navires telles que le ravitaillement en carburant ou l'approvisionnement alimentaire,
des navires
remorquage, amarrage, gestion
de la sécurité et de la sûreté des navires, gestion de l'eau en vrac, services à l'équipage , réparation de navires, etc.
Services de Lorsqu'un navire est amarré dans un port, différents services sont fournis pour charger et décharger du fret, des
chargement et de poissons, des passagers et des véhicules : opérations de grues de quai et de bandes transporteuses, pompage, suivi du
déchargement fret, passerelles de
de navires passagers mise en place, contrôles d'accès à l'embarquement, sûreté et sécurité, surveillance des opérations, etc.
Lorsque le fret ou les poissons sont sur les quais, des services de stockage temporaire sont fournis avant leur distribution
et leur transfert, selon la nature du fret : déplacement, stockage et empilement de conteneurs ; exploitation et
stockage de bandes transporteuses de solides en vrac ; convoyeurs à grains et silos ; pompage de liquides en vrac et
Services de
remplissage de réservoirs ; stockage de marchandises générales ; stockage réfrigéré de marchandises ; etc.
stockage et de séjour
temporaires
De manière similaire, les services de séjour sont fournis pour les véhicules et les passagers : parking, salons passagers,
installations de manutention des bagages, restaurants et bars, centres commerciaux, etc.
Pour assurer la connectivité avec l'arrière-pays, des services de distribution et de transfert sont fournis : services
Services de
portuaires intérieurs, gares et gares de triage, contrôles des passagers et des bagages, plates-formes de transport
distribution et de
intermodal, contrôle des
transfert conteneurs, entrée et sortie du port, etc.
Pour soutenir les services décrits ci-dessus, l'autorité portuaire ou d'autres sociétés privées fournissent le service suivant
: suivi du fret, contrôle du trafic maritime, gestion des terres et des infrastructures, gestion des biens immobiliers et
Services d'assistance
des installations, gestion des opérations terminales, gestion de l'accostage et du pilotage, gestion des marchandises
dangereuses, maintenance, gestion des
opérations portuaires, administration portuaire, etc.
Pour protéger les infrastructures, les services et les personnes qui travaillent et traversent le port, des services de
Services de
sûreté et de sécurité sont équipés pour prévenir les accidents ou les activités malveillantes telles que le terrorisme :
sécurité et de
caméras et surveillance
sûreté
radar, contrôles d'accès, alarmes, signaux, détections, etc.
Des services régaliens peuvent être situées dans les installations portuaires pour fournir divers services, notamment
Services régaliens des contrôles et inspections : douanes, police, garde-côtes, pompiers, contrôle par l'État du port, sécurité civile,
sauvetage en mer, santé, sécurité
12
de la navigation, prévention de la pollution, hygiène et contrôles vétérinaires, contrôles des captures de poissons,
etc.
13
1.2 Principaux acteurs portuaires 1.3 Modèle de référence

Le panorama des principaux acteurs portuaires impliqués dans les opérations et les La complexité et la diversité de l'écosystème portuaire (divers modèles opérationnels et
processus portuaires est complexe et est accentué par les différences considérables de économiques, gouvernance différente, grande typologie des acteurs impliqués,
gouvernance et de fonctionnement qui peuvent exister entre les ports. Cependant, un responsabilités partagées entre les acteurs, etc.) et l'unicité de chaque port se reflètent
aperçu peut être établi pour différencier les catégories de parties prenantes par macro- dans une approche très diversifiée de l'information et de l'exploitation gestion des
rôles. systèmes technologiques (IT / OT). En effet, d’un port à un autre, les systèmes
informatiques et industriels ne sont pas les mêmes, ne sont pas exploités et gérés par
les mêmes types de parties prenantes et ne sont pas mis en œuvre de la même manière.
Figure 2: Aperçu des acteurs portuaires
Ce guide fournit un modèle de référence basé sur celui établi par l’ENISA. Ses objectifs
sont de répertorier les principaux systèmes portuaires, les flux de données et les
interactions avec les systèmes externes.
Cependant, ce modèle doit être nuancé et adapté, car il ne peut pas correspondre
pleinement aux spécificités de chaque port. Par exemple, la fonctionnalité du système
de communauté portuaire diffère entre les ports, en fonction de leurs activités et services
spécifiques ainsi que de leurs autorités de supervision.
14
Figure 3: Modèle de référence des systèmes portuaires
15
1.3.1 Description des systèmes 1.3.2 Description des flux de données

Le modèle de référence représente les systèmes portuaires (bloc au milieu) et les Les systèmes portuaires interagissent avec une large gamme de systèmes via des
systèmes tiers interagissant avec eux. interconnexions de machine à machine ou manuelles (avec des informations
échangées via des interfaces Web, par appels téléphoniques, e- mails, papier ou fax).
Les systèmes des tiers sont regroupés en quatre catégories principales :
Une grande quantité de données est échangée entre le port et les différents
intervenants, qui est classée en cinq catégories selon ce modèle de référence :
▪ les systèmes utilisés par les acteurs maritimes (compagnies maritimes,
agent maritime, capitaine et équipage des navires, etc.) ;
▪ les déclarations obligatoires (informations que les compagnies
maritimes ou autres parties prenantes doivent signaler à l'autorité
▪ les systèmes utilisés par d'autres acteurs du transport pour partager des
portuaire ou à d'autres autorités, en ce qui concerne les législations
informations sur le fret ou les passagers et permettre le transbordement
internationales, européennes et nationales) ;
(entreprises de transport par voie navigable, sociétés de voirie, sociétés
ferroviaires, etc.) ;
▪ le contrôle et l'autorisation accordés par les autorités aux acteurs
commerciaux (par exemple autorisation d'accès au port,
▪ les systèmes utilisés par les autorités aux niveaux local, national et
autorisation de déchargement des marchandises) ;
européen ;
▪ les données opérationnelles liées aux services et processus
▪ les systèmes utilisés pour la surveillance par satellite et maritime.
portuaires (par exemple, les besoins de ravitaillement des navires,
Concernant les systèmes portuaires, ils sont regroupés en deux grandes catégories : la programmation des opérations de fret) ;
▪ les systèmes d’échanges de données de la communauté portuaire pour ▪ les données financières (par exemple, facturation du port à son
les services liés aux navires, au fret, notamment utilisés comme point client, paiement) ;
central pour l'échange de données avec les compagnies maritimes
(exemple des PCS, qui composent le guichet unique maritime et ▪ les données de navigation (par exemple, la position GPS d'un navire
portuaire) ; dans la zone portuaire, les données AIS).
▪ les systèmes d'information de gestion portuaire, qui comprennent les

systèmes de contrôle du trafic maritime, les systèmes d'entreprise
(courriels, ERP, etc.), les systèmes de sécurité et de sûreté ainsi que les
systèmes de gestion des opérations des terminaux, souvent détenus par
des entreprises privées.
16
Pour identifier les cybermenaces associées à l'écosystème portuaire, il est essentiel de

partir de l'identification et de la répartition des actifs du port. La figure 5 (source ENISA)
donne un aperçu des principales catégories d'actifs que l'on peut trouver dans un port
et détaille les actifs de chaque catégorie : cette taxonomie ne doit pas être considérée
comme exhaustive ; elle vise à représenter les principaux atouts et ne reflète pas la
diversité et les spécificités des différents ports. Le tableau 3 décrit chaque actif
représenté dans la taxonomie des actifs.
Dix catégories d'actifs ont été identifiés au niveau européen : l'infrastructure fixe,
l'infrastructure mobile, les systèmes et réseaux industriels, les appareils terminaux
industriels associés, les systèmes informatiques, les composants réseaux et
communications, les systèmes de sûreté et de sécurité, les informations et données, et
les personnes.
2. IDENTIFIER
LES ACTIFS PORTUAIRES
17
Figure 5 : Classement
18
Tableau 2 : Description des actifs du port
Sous-catégories Description
Infrastructures fixes
Actifs liés à la navigation entre le bord de mer et la zone portuaire pour garantir que les navires peuvent entrer et
Connectivité maritime sortir du port : brise-lames, écluses de mer, bouées, balises lumineuses, marquage des voies navigables, marée,
surveillance du vent et
des courants, surveillance radar des cours d'eau.
Actifs liés à l'amarrage des navires dans le port (quais, quais, jetées, jetées), l'éclairage, le contrôle d'accès
Infrastructure portuaire (portails, systèmes de lecture de plaques, détecteurs) et le transport à l'intérieur des zones portuaires (routes,
chemins de fer, voies navigables,
chemins piétonniers).
Bâtiments portuaires hébergeant les différents bureaux liés aux services portuaires (bureau du maître de port,
Bâtiments
bureau de douane, etc.) et centres de données hébergeant tous les systèmes informatiques et OT.
Actifs liés à la fourniture d'énergie pour l'écosystème portuaire (bâtiments, navires, etc.) : réseau électrique (à
Energie
haute tension
pour les grands ports), soutage et stations de livraison d'eau douce, canalisation, carburant, essence, etc.
Systèmes de Déchets gérés par le port mais également déchets des navires (déchets solides tels que plastique, papier, verre,
traitement des déchets alimentaires et liquides tels que eaux de cale, boues et eaux usées).
déchets
Atouts de connectivité de l'arrière-pays dont dispose le port, en tant qu'interface entre la mer et les systèmes de
Connectivité de l’hinterland transport de l'arrière-pays, tels que les gares et les systèmes de chargement et d'expédition du matériel roulant,
les infrastructures
routières, les stations intermodales, les canaux et les infrastructures portuaires reliant les voies navigables
intérieures.
Infrastructures dédiées à la sûreté et à la sécurité : tour de contrôle, salle d'opération, centre de sécurité,
Sûreté et sécurité
installations de
premiers secours (lutte contre l'incendie, pollution, confinement, voies d'évacuation, installations médicales,
etc.).
19
Infrastructures mobiles
Navires dédiés à la fourniture des services spécifiques sur l'eau aux navires : bateaux-pilotes, remorqueurs, aide à
Navires de service
l'embarcation et à l'amarrage, navires de ravitaillement, navires de sécurité, navires d'inspection et de sécurité.
portuaires
Véhicules du port dédiés pour fournir des services intérieurs: lutte contre les incendies, ambulance, unités mobiles
Véhicules spéciaux
de
contrôle du fret, etc.
Barrières flottantes physiques utilisées par le port pour protéger d'autres navires et zones portuaires critiques,
Barrières flottantes
pour contenir
physiques
les pollutions et d'autres usages, le port peut utiliser.
20
Systèmes et réseaux industriels
Systèmes permettant de gérer l'accès au port et l'accostage des navires (ponts, écluses, portes, etc.), l'infrastructure
portuaire (bâtiments, etc.), les opérations terminales (grues, stockage, etc.) et composés des composants suivants
Systèmes de contrôle : automates et analyseurs (contrôleurs logiques programmables « PLC », unité terminale distante « RTU »), bases
industriel (ICS) de données (Historian, MES (Système d'Exécution de la Fabrication), etc.), systèmes de supervision (système de
contrôle distribué « DCS », contrôle de supervision et acquisition de données « SCADA »), interface homme-machine
« IHM » / postes de travail (consoles de
programmation, poste de travail d'ingénierie), systèmes de maintenance et Systèmes instrumentés de sécurité (SIS)
Réseaux et Actifs gérés par le port pour assurer les communications entre les composants ICS : commutateurs (gérés et non
composants de gérés), points d'accès sans fil, protocoles, systèmes d'alimentation (eau, électricité, etc.)
communications ICS
Dispositifs OT END
Dispositifs terminaux de l'ICS liés à l'aménagement spécifique de l'installation portuaire : clôture spécifique et
liés à un aménagement
contrôle d'accès, équipement de sûreté et de sécurité spécifique, équipement de première intervention, salle
spécifique de l'installation
opérationnelle
portuaire
spécifique, etc.
Dispositifs terminaux de l'ICS liés à l'accostage des navires portuaires : le bateau, les systèmes de gestion des
liés à l'accostage des navires
postes
d'amarrage, les équipements spécifiques d'inspection et de contrôle, etc.
Dispositifs terminaux OT utilisés pour charger et décharger les navires : équipements et systèmes de manutention
spécifiques au terminal (grues, rampes pour passagers, pipelines, tapis, convoyeurs, etc.), suivi du fret spécifique
liés au chargement
aux terminaux systèmes (codes à barres, compteurs de liquide, identification par radiofréquence « RFID », scellés,
et au déchargement des
balances, etc.), scanners de badges ou de billets, systèmes de lecture de plaques, détecteurs de défauts dans les
navires
systèmes de chargement / déchargement
automatisés (fuites, chocs, bourrage, etc.)
Dispositifs terminaux OT utilisés une fois la cargaison ou les conteneurs hors du navire, et temporairement stockés
dans les zones portuaires : systèmes de transport interne (chariot enjambeur, cour, camion, châssis, etc.), systèmes
liés au stockage temporaire d'équipement de stockage (rayonnages à palettes, tankage, etc.), des magasins réfrigérés et non refroidis, des silos,
des réservoirs, des interrupteurs (gérés et non gérés) pour les tuyaux et les bandes transporteuses, des points
d'accès sans fil pour les scellés
«intelligents» et les dispositifs d'auto-localisation des conteneurs, etc.
21
Dispositifs terminaux utilisés pour contrôler le fret, les conteneurs, les véhicules ou les passagers et les inspecter,
liés à la connectivité
puis les transporter vers d'autres systèmes de transport : systèmes de contrôle et d'inspection (scanners, systèmes
avec l’hinterland, le
d'inspection, rayons X), gare ferroviaire, gares de triage des wagons, plates-formes de transport multimodal pour
fret,
les personnes (passagers, travailleurs, etc.), installations portuaires intérieures, équipements de contrôle des
les conteneurs, les
portes portuaires (lecture de plaques,
véhicules ou les badges, lecture de codes- barres, détecteurs)
passagers
22
Systèmes informatiques
Système, généralement détenu et géré par l'autorité portuaire ou les parties prenantes du port, de plus en plus
organisé, comme un système de guichet unique pour partager les informations sur les opérations portuaires liées
aux navires entre toutes les parties prenantes du port (date d'arrivée ou de départ du navire données par les
Port Community System
compagnies maritimes, déclarations obligatoires telles que la liste de l'équipage, les déclarations de marchandises
(PCS)
dangereuses, les réservations de services de navire, etc.). Ils visent à faciliter la gestion des escales des navires au
moyen de la digitalisation des formalités
administratives.
Système, généralement détenu et géré par les parties prenantes du port qui sont généralement des sociétés privées
en charge des opérations du terminal portuaire, permettant de partager des informations sur les opérations
Cargo Community System
portuaires liées aux marchandises, à la cargaison et aux conteneurs entre tous les acteurs impliqués (contenu de
(CCS)
la cargaison, localisation d'un
conteneur, heure de son transfert, déclarations en douane, etc.).
Systèmes composés de différentes applications, systèmes, postes de travail et serveurs, communs à toutes les
entreprises : finances, ressources humaines (RH), systèmes de communication et de réseaux, systèmes d'e-mailing,
systèmes de vente et de marketing (ERP), etc. Systèmes de gestion des opérations de terminaux Les systèmes de
Systèmes d'entreprise gestion des opérations de terminaux, généralement détenus, utilisés et entretenus par des opérateurs de terminaux
portuaires privés, sont principalement composés de différents systèmes: des systèmes d'exploitation d'entreprise pour planifier
et gérer la logistique et les opérations (ERP, CRM, etc.), les systèmes industriels spécifiques aux opérations des
terminaux (grues, etc.), les systèmes
d'exploitation des terminaux (TOS) utilisés pour optimiser les systèmes de logistique, de transbordement et de
stockage.
Suivi du trafic maritime (VTS) Systèmes de surveillance du trafic maritime (pour le VTS), intégrant le cas échéant par extension (VTMIS) d’autres
/ Système d’Information de informations et fonctionnalités pour augmenter l'efficacité des opérations portuaires (allocation des ressources,
Gestion etc.).
du Trafic des Navires
(VTMIS)
Systèmes de gestion Systèmes utilisés par les autorités portuaires pour gérer et assurer la sécurité des processus d'amarrage:
des postes avertissements et alertes, données météorologiques, flux de caméras vidéo, gestion de l'attribution des postes
d'amarrage d'amarrage, etc.
23
Appareils IT END
Postes de travail Différents postes de travail sont utilisés dans les ports : systèmes informatiques dédiés aux systèmes industriels, à
des terminaux informatiques la maintenance, aux postes mobiles et fixes, etc.
Différents appareils mobiles sont utilisés dans les ports : smartphones, tablettes, radios terrestres à ressources
Appareils mobiles
partagées
« TETRA », appareils spécifiques utilisés pour la logistique (numérisation, etc.) etc.
24
Réseaux et composants de communication
Systèmes radio (identification par radiofréquence « RFID », VHF, etc.) utilisés pour de nombreux processus
Radio
portuaires :
communication avec les navires, opérations de sûreté et de sécurité, gestion logistique, etc.
Protocoles Protocoles utilisés pour échanger des informations : EDI, API, protocoles d'authentification , etc.
Serveurs utilisés dans les ports pour différentes finalités : serveurs Web, serveurs d'applications, serveurs proxy,
serveurs de messagerie, serveurs virtuels, imprimantes, etc. Réseaux Différents réseaux sont installés dans les ports
Serveurs
: radios VHF (Internet, WiMAX / WIFI, Satellite, réseaux ad-hoc, VLAN / LAN, etc. Ils peuvent être gérés par
différentes parties prenantes à différents
niveaux.
Commutateurs, routeurs, Composants utilisés pour transmettre des paquets de différentes manières entre différents réseaux.
concentrateurs
Systèmes de protection du réseau, pare-feu, IPS / IDS, infrastructure à clé publique « PKI » / authentification
Sécurité du réseau multifacteur
« MFA », antivirus, information sur la sécurité et gestion des événements « SIEM » et d'autres solutions de
sécurité sont
installés dans les zones portuaires.
Cloud Solutions cloud pour héberger certaines données, par exemple des e-mails et partager des fichiers.
Informations et données
Déclarations obligatoires pour qu'un navire pénètre dans la zone portuaire, conformément aux réglementations
Déclarations obligatoires internationales, européennes, nationales et locales. Par exemple, obligatoire par la Convention FAL : passagers et
équipage,
navire, fret, contrôle aux frontières, déchets, sécurité, santé, informations sur les voyages sont requis.
Comme toute entreprise, les ports fournissent des services aux entreprises (compagnies maritimes, etc.) et
Données
réservent différents services à leurs prestataires (prestataires ICT par exemple) : financiers et commerciaux sont
commerciales et
des échanges (transfert
financières d'argent, facturation, etc.).
Grâce aux données satellitaires et de navigation (AIS, SafeSeaNet, etc.), les différentes parties prenantes
Données de navigation
partagent les données de navigation avec le port (position GPS, informations sur les routes maritimes, etc.).
Les autorités portuaires et d'autres autorités nationales contrôlent et délivrent l'autorisation de mouvement des
Contrôle et autorisation
navires et
25
des cargaisons.
Afin de planifier et de gérer tous les services (services maritimes, services logistiques, etc.), des données
Données opérationnelles
opérationnelles sont partagées entre les acteurs portuaires.
26
Systèmes de sûreté et de sécurité
Portails automatiques, systèmes de clôtures intelligentes, systèmes de badges, systèmes de surveillance et de

Systèmes de contrôle d’accès
comptage des
accès.
Vidéoprotection, systèmes de gestion des incidents, systèmes de centre de première intervention, IDS (systèmes de
Systèmes de détection
détection
d'intrusion), des systèmes de détection des comportements anormaux.
Systèmes de Systèmes de surveillance radar et électro-optique, les systèmes de surveillance de la circulation des trains et des
surveillance du camions.
trafic
Systèmes de Personnel de surveillance et de gardiennage, équipes cynotechniques, patrouilles véhiculées, détecteurs
surveillance et (incendies, fuites de gaz, nucléaire, etc.), scanners à rayons X.
d’inspection
Systèmes d'identification Systèmes biométriques, terminaux portables de contrôle d'identité, reconnaissance faciale.
et d'authentification
Systèmes d’alerte Sirènes et haut-parleurs.
Systèmes d’évacuation Guidage de sortie, points de rassemblement, écrans de guidage, portes de secours.
Systèmes
de communication d’urgence
Personnes
Personnel de l’autorité Personnels permanents ou temporaires, statuaires ou contractuels, employés par l’autorité portuaire.
portuaire
Personnels des sociétés opérant en permanence dans les ports emploient des personnes, en tant que personnel
Personnel commercial
permanent statuaire (opérateurs de terminaux, prestataires de services permanents, etc.).
Personnels employés par les autorités portuaires et les entreprises privées, opère dans différents systèmes pour
Personnel informatique / OT
mettre en
place de nouvelles solutions et les maintenir (RSSI, CIO, administrations, etc.).
Personnels externes des installations portuaires, autre personnel de service (tiers), personnel temporairement
Personnel externe
autorisé (entrepreneurs, chauffeurs de taxi, etc.).
27
Lorsqu'un navire arrive dans un port, les membres de l'équipage et leur capitaine peuvent utiliser les différentes
Équipages de navires
installations
du port (restaurant, bar, etc.).
Passagers Passagers qui traversent les zones portuaires pour monter dans les navires de croisière et les ferries.
Grand public Généralement, certaines zones portuaires sont ouvertes au public (tourisme, recherche, etc.).
28
3.1 Diversité des cybermenaces

Les ports sont confrontés à de nombreuses cybermenaces et enjeux de cybersécurité,
certains d'entre eux sont assez génériques dans n'importe quel environnement
informatique et OT, tandis que d'autres sont assez spécifiques aux écosystèmes
portuaires.
En l’espèce une cyber-attaque va porter atteinte selon les cas à la disponibilité, à la

confidentialité ou à l’intégrité des données :
• disponibilité : propriété d'être accessible et utilisable à la demande

par une entité autorisée (ex. : le brouillage, d’un GPS par exemple, le
rançonnement ou le déni de service sont deux types d’attaques qui
visent à rendre indisponibles les données à des fins d’extorsion dans le
3. CARTOGRAPHIER cas des logiciels de rançonnement) ;
• confidentialité : propriété d’une information qui n’est ni disponible, ni

LES CYBERMENACES divulguée aux personnes, entités ou processus non autorisés (ex. : la
perte de confidentialité peut se produire à chaque fois qu’une
intrusion se produit dans un système traitant ou stockant des
ET LES ENJEUX informations de nature confidentielle, comme des données

commerciales ou des secrets industriels) ;
• intégrité : garantie que le système et l’information traitée ne sont

DE CYBERSÉCURITÉ modifiés que par une action volontaire et légitime (de nombreux types
d’attaque ont pour résultat la corruption, c’est-à-dire la perte
d’intégrité, des données ; le leurrage du GPS est un exemple de perte
d’intégrité des données - des données erronées sont traitées par le
système).
Le tableau 3 identifie l'impact possible des incidents de cybersécurité pour un port.
29
Tableau 3 – Impacts possibles pour un port (source : ENISA)

Impacts Description
L'arrêt des opérations portuaires est un impact très redouté par l'écosystème portuaire : s'il dure plus de quelques heures, il
Arrêt des
peut nuire fortement aux opérations commerciales (perte d'argent), à la livraison de biens essentiels pour une nation, en
opérations,
particulier pour les îles
paralysie portuaire
(nourriture, carburant, etc.) et posent des problèmes de sûreté et de sécurité (file d'attente de plusieurs bateaux à l'entrée
du port).
Les ports doivent faire face à des défis de sécurité et de sûreté élevés, car de nombreuses personnes travaillant dans les
Blessures ou décès
zones portuaires peuvent effectuer des travaux dangereux (manipulation de grues, de marchandises dangereuses, etc.) et
humains,
parce que les ports doivent
enlèvement
également gérer facilement un flux de passagers assez important à prévoir (ferries, grands bateaux de croisière, etc.).
Les systèmes portuaires peuvent contenir des informations critiques, qu'il s'agisse d'informations personnelles (données
Vol de données d'équipage ou de passagers), d'informations commerciales critiques (emplacement et contenu des conteneurs, savoir-faire
sensibles et concurrentiel) ou d'informations de sécurité nationale (le port étant un atout essentiel pour un nation) : le vol de ces
critiques informations peut avoir des
conséquences désastreuses.
Les attaquants peuvent parcourir les listes de marchandises et de conteneurs pour identifier les marchandises les plus
Vol de
marchandises précieuses pour les marchés noirs (à voler dans le port ou à cibler pour de futures attaques de piraterie lorsque le navire est
en mer).
L'écosystème marin est l'un des plus grands terrains de jeu du crime organisé : les ports sont souvent utilisés pour le trafic
Trafic illégal
illégal et
criminel (drogues, armes, marchandises interdites, personnes les plus recherchées, etc.).
Pertes et coûts Un port peut perdre beaucoup d'argent en raison de l'arrêt des opérations ou du budget de réparation, en cas de dommages
financiers sur ses systèmes et infrastructures
Comme toute grande entreprise, les systèmes financiers des ports peuvent être compromis pour leur voler de l'argent. En
effet, en particulier pour les plus grands ports, les revenus portuaires sont importants : par exemple, les chiffres d’affaires
Fraude et vol de l’ensemble HAROPA (grands ports maritimes du HAVRE et de ROUEN et port autonome de PARIS) et du grand port maritime
d'argent de MARSEILLE étaient respectivement en 2019 de 377,3 et 169,5 millions d’Euros. De plus, les ports étant la frontière entre
deux États ou continents, les
entreprises frauduleuses peuvent falsifier leurs déclarations en douane (fraude à la taxe sur la valeur ajoutée).
En raison de la grande complexité des systèmes et des infrastructures portuaires, dont certains sont critiques (par exemple,
Dommages aux les systèmes industriels qui gèrent de grandes quantités de marchandises dangereuses), des dommages ou pire, la destruction
systèmes ou de ces systèmes et infrastructures a des conséquences désastreuses pour le port opérations et sûreté et sécurité, y compris
pire, les personnes. Les pétroliers (en particulier les produits raffinés et le gaz) sont très vulnérables aux incendies et aux explosions
destruction ; le stockage local des produits
inflammables et des produits chimiques est peut-être également massif.
32
Réputation ternie, Aujourd'hui, les ports sont dans un écosystème international extrêmement compétitif : le moindre incident ou problème sur
perte de ses activités et opérations peut nuire à sa réputation et perdre des clients qui pourraient diriger leur trafic vers les ports
compétitivité voisins.
Le port étant l'interface directe entre l'arrière-pays et la mer, une catastrophe environnementale dans les zones portuaires
Catastrophe
peut avoir des conséquences désastreuses sur les populations, la faune et la flore et les infrastructures humaines, à très
environnementale
longue distance (marée noire,
explosion de gaz, pollution des océans), naufrages, etc.).
33
Enfin, les principales menaces auxquelles les écosystèmes portuaires peuvent être
exposés sont décrites dans la figure 6 (source ENISA) et détaillées dans le tableau 4.
Figure 6 : Description détaillée des menaces
34
Tableau 4 : Description des menaces
Espionnage
Mode
opératoire Sous-catégorie Description & objectifs poursuivis
(exemple)
Détournement Relayer et modifier éventuellement la communication entre deux parties qui croient qu'elles communiquent
Attaque de session directement entre elles.
de Exploiter les vulnérabilités des systèmes pour obtenir les mêmes droits d'accès que les clients ciblés
l’homme Piratage d’une
(cookies
du milieu session
d'authentification par exemple).
(« Man-in- Interception Intercepter la communication entre le port et les différentes parties prenantes (radio, échanges entre
the-middle ») des émissions navires et port,
& etc.).
Interceptions Interception Ecouter les communications ou analyser les systèmes pour intercepter des données sensibles à des fins
de données d'espionnage
sensibles d'entreprise, d'espionnage d'État ou de criminalité et d'espionnage piraté.
Reconnaissanc
Scanner le réseau passivement jusqu’à trouver une porte d'entrée qui permette à l’attaquant de révéler des
e du réseau
- informations sur le réseau du port interne (ports ouverts, protocoles utilisés, etc.). Avec cette connaissance,
et
l'attaquant opère pour comprendre les systèmes ciblés.
manipulation
du trafic
Défaillances et
Exploiter les vulnérabilités - liées à des dysfonctionnements ou des défaillances - comme une porte d’entrée
Attaque dysfonctionnements
vers différents systèmes (navigation, communication et autres systèmes) d'autres acteurs portuaires
par point des systèmes des
(navires, autres acteurs du transport, etc.) liés à des systèmes portuaires.
d'eau autres
parties prenantes
Déstabilisation, atteinte à l’image ou neutralisation
Mode
Sous-catégorie Description & objectifs poursuivis
opératoire
(exemple)
34
Altérer l’apparence d’un site Internet et démontrer de la part de l’attaquant qu’il a pu prendre le contrôle
Injection de
du serveur, et donc, accéder potentiellement à des données sensibles (personnelles, bancaires,
code HTML, Défiguration
commerciales, etc.) : ce qui porte directement atteinte à l’image et à la crédibilité du propriétaire du site
SQL,
auprès de ses utilisateurs, clients, usagers,
Javascript partenaires, actionnaires, etc.
35
Cibler différents systèmes : RGPS, réseau, applications, IoT, etc… Les objectifs d'une telle attaque sont
Déni de d'entraîner une indisponibilité du système et une interruption de la production. La plupart des attaques DoS
-
service sont causées par plusieurs sources en même temps (par exemple, un grand nombre de demandes envoyées
(DoS) par différents systèmes en
même temps) envoyées au système cible, également appelé déni de service distribué (DDoS).
Obtenir un accès non autorisé aux ressources d'une organisation (c’est-à-dire périphériques, etc.) à travers
Force brute - de nombreuses tentatives pour deviner la clé ou le mot de passe correct. Si les systèmes de port
permettent l'utilisation
de mots de passe simples ou par défaut, ils peuvent être particulièrement vulnérables à ce type d'attaques.
Cybercriminalité
Mode
opératoire
(exemple)
Utiliser une interaction humaine pour obtenir ou compromettre des informations sur l'organisation et les
processus portuaires : en posant des questions, en se faisant passer pour une autre personne, l'attaquant
- peut rassembler les informations dont il a besoin pour infiltrer les systèmes portuaires. L'attaquant peut
demander plusieurs sources, en s'appuyant sur les informations qu'il peut obtenir de la première source pour
ajouter à sa crédibilité ou en envoyant
des liens malveillants.
Ingénierie Utiliser des mels ou des sites Web malveillants pour solliciter des informations personnelles en se faisant
sociale passer pour une organisation digne de confiance. Les attaques par phishing sont les attaques d'ingénierie
Hameçonnage
sociale les plus courantes. D'autres formes existent : attaque par vishing (via la communication vocale),
(phishing)
attaque par smishing
(exploitation de SMS, texte, messages contenant un lien malveillant, etc.).
Utiliser délibérément l’identité d’une personne impliquée dans l'écosystème portuaire, par exemple en
volant des informations d'identification, pour obtenir un gain financier, des informations critiques, un accès
Usurpation d'identité
non autorisé à un système, etc. La fraude du « faux président », en utilisant l'identité de personnes puissantes
dans l'écosystème, peut
avoir un impact sérieux.
36
Logiciels - Faire pénétrer des logiciels malveillants dans les systèmes portuaires qui peut conduire à des actions
malveillan indésirables et non autorisées, exploitant pour certaines d'entre elles des vulnérabilités pour élever les
ts privilèges qui peuvent endommager les systèmes IT / OT du port, l'infrastructure, l'intégrité des données et
(Malware) les opérations. Il existe différents types de logiciels malveillants créés à des fins différentes : rançongiciels,
virus, chevaux de Troie, logiciels espions,
attaques par injection ou application Web, etc.
37
Cibler spécifiquement le port, de manière sophistiquée et malveillante, pour infiltrer ses systèmes à des fins
différentes. Par exemple, la menace persistante avancée (APT) est une attaque furtive, diffuse et continue
Attaques ciblées
sur une longue période de temps conçue pour intégrer du code malveillant dans des systèmes ciblés qui
effectuent des tâches
spécifiques sans être remarqué.
Dérober, par différents moyens, des données sensibles (données personnelles, données de suivi de fret,
Abus et vol de
données données opérationnelles, etc.) et / ou abuser des certificats utilisés dans les opérations portuaires
(certificats de navire, etc.).
Manipulation Manipuler des données (données financières, données de navigation, données de fret, opérations, etc.) dans
des données les
systèmes pour atteindre ses objectifs.
Signaux de
Manipuler des systèmes de géolocalisation et de navigation pour modifier la trajectoire d'un navire,
géolocalisation
- provoquer des accidents par exemple. Des attaques récentes utilisant l'usurpation GPS et la falsification AIS
usurpation /
montrent que cette menace est importante et doit être prise en compte, en particulier dans le contexte
brouillage
maritime.
38
Tableau 4 bis : Autres menaces pouvant être prise en compte
Attaques physiques
Contourner les systèmes de contrôle d'accès pour pénétrer dans les zones portuaires, accéder à un navire ou à d'autres
Accès non autorisé véhicules ou dispositifs terminaux OT (grues, etc.). De plus, des véhicules et des navires non autorisés peuvent également
entrer dans les zones
portuaires.
Fraude Tromper intentionnellement la victime en violant le droit civil à différentes fins.
Chercher à obtenir par violence, menace de violences ou contrainte soit une signature, un engagement ou une
Extorsion
renonciation, soit la ré -
vélation d'un secret, soit la remise de fonds, de valeurs ou d'un bien quelconque.
Adopter un comportement malhonnête ou illégal visant des personnes puissantes dans un écosystème (par exemple dans
Corruption
l’écosystème
portuaire) aux fins d’obtenir de leur part un quelconque avantage.
Hacktivisme Utiliser la technologie pour promouvoir un programme politique ou un changement social.
Voler des appareils mobiles (téléphone portable, radios, etc.), du matériel fixe, des sauvegardes, des documents imprimés
Vol
(liste des marchandises, navires, etc.), du fret (marchandises, fret, conteneur, etc.).
Détériorer ou détruire volontairement des actifs portuaires sans raison particulière, tels que les systèmes informatiques et
Vandalisme
OT
portuaires, les navires ou autres véhicules, et le fret (marchandises, fret, conteneur, etc.).
Détériorer ou détruire délibérément les systèmes et infrastructures portuaires afin d'affaiblir l'écosystème portuaire
(principalement à des fins militaires, politiques ou idéologiques). Le sabotage peut être externe (de personnes qui ne sont
Sabotage
pas directement impliquées dans les opérations portuaires) ou interne (de personnes directement impliquées dans les
opérations portuaires, comme des employés
irrités, etc.).
Terrorisme Utiliser la violence intentionnelle, généralement contre des civils, à des fins politiques, idéologiques et religieuses
Piraterie, criminalité Développer des organisations illégales et non autorisées qui enfreignent la loi pour maintenir un pouvoir et des activités
illégale, illégales (trafic
mafia de drogue, vol de marchandises, etc.).
39
Dommages involontaires
Utilisation L’utilisation d’une source non fiable pour les systèmes de port (mise à jour défectueuse, logiciel malveillant, etc.) peut
d'une source non fiable entraîner un dysfonctionnement ou une propagation des systèmes. L'attaque NotPetya en est un parfait exemple.
Même avec de bonnes intentions, si les administrateurs des systèmes portuaires ne sont pas suffisamment formés et
Administration erronée
informés des impacts de telles erreurs, une administration erronée peut avoir un impact important sur les systèmes
des systèmes IT / OT
portuaires et, si elles sont
critiques, directement sur le port opérations.
Résultat Afin de tester le niveau de sécurité des systèmes portuaires, le port peut ordonner des tests de pénétration qui, s'ils ne
des tests de pénétration sont pas
effectués correctement, pourraient endommager les systèmes.
Par erreur, les employés ou autres parties prenantes accédant aux systèmes portuaires peuvent supprimer des informations
Suppression de données
critiques
qui pourraient avoir un impact sur les opérations portuaires (par exemple, les informations de fret ou de navigation).
Les systèmes portuaires sont gérés et maintenus par différents prestataires de services : si leurs accès ne sont pas
Défaillance de sécurité
correctement contrôlés, les failles de sécurité de la tierce partie peuvent affecter directement les systèmes portuaires (en
tierce
cas de maintenance par
exemple).
Les employés peuvent partager, par erreur ou par ignorance, des données sensibles si la solution de sensibilisation et de
Fuite d'informations
protection des données est insuffisante.
40
Défaillances et dysfonctionnements
Défaillances ou Une défaillance ou un dysfonctionnement des systèmes informatiques ou OT ou des appareils terminaux peut parfois se
dysfonctionnements des produire, en particulier si la maintenance et la conformité aux manuels et instructions pendant l'exploitation ne sont pas
systèmes ou des assurées, ou si la bonne le
dispositifs fonctionnement n'est pas mesuré et contrôlé régulièrement.
Exploitation des Les systèmes et les appareils peuvent présenter des vulnérabilités qui pourraient être exploitées par des pirates, en
vulnérabilités des particulier si les systèmes ou les appareils ne sont pas corrigés à temps ou régulièrement surveillés alors que des mesures
systèmes correctives sont mises en
ou des appareils place entre-temps.
Défaillances et Les systèmes (navigation, communication et autres systèmes) d'autres acteurs portuaires (navires, autres acteurs du
dysfonctionnements transport, etc.) peuvent présenter des dysfonctionnements ou des défaillances pouvant entraîner un ralentissement voire
des systèmes des un arrêt des opérations portuaires. De plus, si ces systèmes sont liés à des systèmes portuaires, un attaquant peut exploiter
autres les vulnérabilités de ces systèmes
parties prenantes comme une porte d'entrée vers des systèmes portuaires.
Principaux systèmes Le port dépend de différents systèmes d'approvisionnement (électricité, carburant, etc.) qui sont essentiels pour assurer
d'approvisionnement les opérations portuaires : en cas de panne ou d'interruption de ces systèmes, les opérations portuaires seront ralenties
voire arrêtées.
Échec ou interruption Le port dépend de nombreux fournisseurs de services, et certains d'entre eux peuvent être critiques pour les opérations
des fournisseurs de portuaires.
services Une défaillance ou une interruption de ces fournisseurs de services peut avoir un impact important sur les opérations
portuaires.
Pannes
Les pannes sur l'alimentation principale peuvent avoir des impacts importants sur les opérations portuaires : l'arrêt de
Pannes principales
l'alimentation en carburant conduit à bloquer les navires dans le port, les pannes sur les réseaux électriques impactent les
d'alimentation
systèmes IT et OT (ex. :
aucune communication possible entre les acteurs portuaires, le stockage frigorifique ne peut plus conserver les produits
surgelés).
41
Les réseaux portuaires sont essentiels pour les opérations portuaires et la communication entre les différents acteurs
Panne de réseau (autorité portuaire, opérateurs de terminaux, navires, autres autorités, etc.) : les défaillances des réseaux portuaires
peuvent affectent
fortement leurs opérations.
Un incident peut se produire à un moment où les employés du port ne sont pas présents et peut avoir des conséquences
Absence de personnel
importantes sur les systèmes et les infrastructures portuaires, en particulier dans le cas d'une automatisation croissante
des processus portuaires.
42
3.2 Enjeux de cybersécurité

Cela rend difficile le contrôle global de la cybersécurité au niveau du port avec un
niveau hétérogène de contrôles au sein du port.
Les principaux enjeux auxquels les ports sont actuellement confrontés pour mettre en • Besoin de trouver un juste équilibre entre l'efficacité commerciale et
œuvre les mesures de cybersécurité sont les suivants : la cybersécurité, notamment en garantissant la continuité des services
tout en préservant la sécurité des TI et des OT, comme la déconnexion
• manque de culture numérique dans l'écosystème portuaire, dans lesquels des systèmes critiques et la mise à jour des systèmes sans aucun
certaines parties concernées sont encore conservatrices. En effet, de impact commercial.
nouvelles tendances telles que la numérisation et les initiatives IoT
entrent en collision avec la nature conservatrice de l'industrie maritime, • Héritage de certains systèmes et pratiques : en particulier en ce qui
mais sont de plus en plus appliquées. Dans ce contexte, les besoins de concerne les systèmes de gestion des données de navigation et les
cybersécurité et les meilleures pratiques de ces initiatives ne sont souvent systèmes OT qui peuvent être très anciens et vulnérables et pour
pas considérées comme prioritaires par les parties prenantes qui se lesquels des mesures de cybersécurité supplémentaires doivent être
penchent d'abord sur l'adoption des technologies ; appliquées.
• manque de sensibilisation et de formation concernant la cybersécurité : • Absence d'exigences réglementaires en matière de cybersécurité : la
l'écosystème des ports appréhende en premier lieu les enjeux de sécurité directive SRI / NSI est une première base pour mettre en œuvre des
et de sûreté « physiques », alors que les systèmes d’information et de mesures de cybersécurité, mais ne concerne que certains des acteurs
communication sous-tendent de nouveaux défis en matière de du secteur maritime. Cela n'est pas encore suffisant pour garantir un
cybersécurité que les acteurs portuaires n'anticipent et ne maîtrisent niveau de cybersécurité adéquat sur l'ensemble de l'écosystème
souvent pas pleinement ; portuaire et pour permettre le dégagement de budgets suffisants pour
répondre aux exigences.
• manque de temps et de budget alloué à la cybersécurité : en raison d'une
mauvaise sensibilisation, en particulier de la direction en ce qui concerne • Difficulté à se tenir au courant des dernières menaces, notamment au
les défis de la cybersécurité. vu de la diversité des acteurs opérant dans les ports, des processus,
des systèmes mis en place et utilisés et de la croissance rapide des
Complexité de l'écosystème portuaire du fait du nombre et de la diversité des acteurs
impliqués dans les opérations portuaires : les acteurs au sein d'un port peuvent être innovations dans l'écosystème portuaire (solution proposée :
nombreux (jusqu'à plusieurs centaines pour les plus grands ports). s’abonner à la veille ANSSI).
Cet écosystème est construit à partir d'entreprises de différentes tailles, avec différents
niveaux de capacités de cybersécurité. • Complexité technique des systèmes informatiques et industriels du
port : les parties prenantes du port utilisent différents systèmes qui
sont développés, gérés et entretenus par différentes équipes ou
entités. Par exemple, ils peuvent être développés soit par des équipes
informatiques portuaires, soit par des tiers ou par des prestataires
43
informatiques. De plus, ils peuvent être basés sur différentes technologies. • Nouveaux cyber-risques résultant de la transformation numérique des
Enfin, les équipes gérant la sécurité des systèmes IT et OT peuvent également
être différentes. Par conséquent, la cartographie de tous les systèmes ports : les ports lancent actuellement plusieurs projets de digitalisation
portuaires est difficile à définir et à maintenir dans le temps. des processus portuaires, notamment avec l'émergence du concept
SmartPort, les cyber-risques devraient être pris en compte dans les
• Convergence et interconnexion informatique et industriels : les phases initiales de ces projets.
systèmes industriels, généralement plus vulnérables que les systèmes
informatiques, sont généralement protégés car ils sont séparés des
systèmes et réseaux informatiques. Mais, de plus en plus, les systèmes
3.3 Scénarios types de cyberattaques
et réseaux informatiques et industriels deviennent de plus en plus
Sur la base de la description des actifs et des menaces répertoriées dans les sections
dépendants et interconnectés, exposant les systèmes industriels à des 2.1 et 3.1, plusieurs scénarios types de cyberattaques ont été définis en corrélation avec
risques plus élevés. les sources de menaces et les possibles impacts sur les actifs portuaires, énumérés et
détaillés dans la section 3.1. Chaque scénario est associé à une liste de mesures de
sécurité, détaillée plus loin dans le chapitre 4, qui atténuera le risque que ce scénario
• Défis de la chaîne d'approvisionnement. Un certain nombre de défis se produise. Les mesures de sécurité sont formalisées sous la forme, pour prendre un
liés à la cybersécurité sont associés à la chaîne d'approvisionnement : exemple, de « TP-01 : segmentation du réseau », avec « TP » comme groupe de
manque de certifications de cybersécurité pour les produits et services mesures (dans ce cas « Pratiques techniques »), le numéro associé (dans ce cas « 01
») et le nom de la mesure (dans ce cas « Segmentation du réseau »).
portuaires, risques de sécurité liés à l'accès à distance des fournisseurs
aux réseaux / systèmes portuaires, longs cycles de correction pour
certains types de systèmes (par exemple ICS), hétérogénéité et Scénario A - Compromission de données critiques pour voler
nombre élevé de fournisseurs, difficulté de changer les services des des marchandises de grande valeur ou autoriser le trafic
fournisseurs. Les entrepreneurs n'ont pas beaucoup de contrôle sur le illégal par le biais d'une attaque ciblée
niveau de cybersécurité de leurs fournisseurs et, par conséquent, sur
les cyberrisques qu'ils impliquent (attaques de la chaîne Ce scénario est une attaque sophistiquée et ciblée contre les systèmes portuaires
d'approvisionnement). (menace persistante avancée) : les attaquants doivent avoir une connaissance
approfondie des systèmes et réseaux portuaires (ingénierie sociale, analyse du réseau),
• Fortes interdépendances entre les systèmes et services portuaires et des processus portuaires et de l'infrastructure portuaire (intrusion physique) pour
effectuer des cargaisons et vol de conteneurs. Un exemple d'une telle attaque s'est
les services externes d'autres secteurs (par exemple l'énergie) qui produite dans l'un des terminaux portuaires d'Anvers en Belgique.
introduisent des risques de cybersécurité d'interdépendance.
44
Impacts
Vols de marchandises Trafics illégaux Réputation ternie
Actifs Acteurs
touchés impliqués
Systèmes communautaires de fret Opérateurs de terminaux
(CCS) Réseaux Police
Courriel Compagnies de transport maritime et de fret maritime
Personnes Expéditeurs et destinataires
Détails de l’attaque
D'une part, les attaquants identifient et récupèrent les données d'authentification (informations d'identification) pour accéder à des systèmes utiles :
• les attaquants rassemblent des informations sur les systèmes portuaires par le biais de l'ingénierie sociale ;
• ensuite, ils identifient les systèmes ciblés utilisés pour la gestion des cargaisons et des conteneurs et l'identité des personnes qui les utilisent
;
• une fois les systèmes et leurs opérateurs / utilisateurs identifiés, les attaquants lancent des attaques de phishing pour récupérer les
informations d'identification pour accéder à ces systèmes.
D'autre part, les attaquants installent des composants pour accéder à distance au réseau portuaire et contourner la sécurité du réseau :
• les attaquants scannent les réseaux portuaires pour trouver des vulnérabilités afin de les exploiter et recueillir des informations ;
• ils installent, si nécessaire, par intrusion physique, des composants pour accéder à distance aux réseaux portuaires (point d'accès sans fil) ;
• pour assurer un accès constant et s'adapter à chaque réseau et infrastructure changements à long terme, ils espionnent les réseaux.
Les attaquants ont désormais accès au suivi du fret systèmes et autres systèmes portuaires pertinents et ils peuvent accéder aux informations
critiques sur les conteneurs qu'ils veulent voler (localisation, contenu, code de ramassage, etc.) de l'extérieur des installations portuaires.
Les attaquants peuvent alors voler la cargaison avant la date de retrait officielle.
Principales mesures de
cybersécurité
OP-10 : programme de sensibilisation à la sécurité. TP-01 : segmentation du réseau.
OP-16 : création d'un centre d'opérations de cybersécurité (SOC). TP-02 : analyses régulières du réseau.
TP-08 : authentification multifacteur.
45
Figure 7 : Compromis de données critiques pour voler des marchandises de grande valeur ou
autoriser un scénario de trafic illégal
46
Scénario B - Propagation d'un ransomware entraînant un

arrêt total des opérations portuaires Figure 8 : Propagation de ransware conduisant à
un arrêt total des opérations portuaires
Ce scénario peut être une attaque ciblée ou non ciblée (comme dommages collatéraux
d'une attaque ciblée sur d'autres sociétés par la propagation du rançongiciel) : les
pirates peuvent développer un rançongiciel exploitant différentes vulnérabilités pour le
diffuser dans les réseaux portuaires et chiffrer les différents systèmes périphériques
(postes de travail, serveurs, etc.), entraînant la destruction des systèmes infectés et la
perte potentielle de sauvegardes (au sein de serveurs pouvant être chiffrés). Un
exemple d'attaque malveillante destructrice de type ransomware a été l'incident à
grande échelle affectant les opérations de Maersk.
47
Impacts
Réputation ternie Perte et coûts financiers Dommages aux systèmes ou, pire, destruction
Actifs Acteurs
touchés impliqués
Arrêt des opérations portuaires, paralysie portuaire Actifs concernés Tous acteurs du port
Parties prenantes impliquées
Systèmes
informatiques
Systèmes et réseaux
OT Terminaux OT
Personnes
Informations et données
Le port met à jour l'un de ses serveurs avec une mise à jour compromise (ransomware) - d'autres moyens peuvent être utilisés pour introduire un
ransomware sur les systèmes portuaires, par exemple l'ingénierie sociale (phishing ou USB-drop par exemple) ou une mauvaise ségrégation du réseau
(large exposition à Internet).
Le ransomware se propage dans le réseau du port, en utilisant des vulnérabilités non corrigées et un manque de segmentation du réseau. Il est exécuté
sur les systèmes et appareils du port et dérobe les informations d'identification stockées. Il exécute un mécanisme d'élévation des privilèges, en
utilisant une mauvaise séparation des comptes hautement privilégiés. Il se propage dans d'autres parties du réseau du port par le même mécanisme.
Il infecte les systèmes et les appareils cryptés ne peuvent plus être utilisés.
Une rançon est requise alors que tous les systèmes et appareils sont en panne.
cybersécurité
OP-01 : Stratégie de protection des points d'extrémité. TP-01 : Segmentation du réseau
OP-05 : Définir un processus de gestion des vulnérabilités. TP-13 : Gestion des comptes privilèges (« PAM »).
OP-16 : Création d'un centre d'opérations de cybersécurité (SOC). TP-15 : Gestion anti-malware et anti-virus.
TP-23 : Processus de gestion des mises à jour.
PS-15 : Assurer la cyber résilience du port systèmes. TP-24 : Source de vérification des mises à jour.
PS-17 : définir une organisation de gestion de crise.
48
Scénario C - Compromission du système de communauté Figure 9 : Scénario de compromission du

portuaire pour manipulation ou vol de données système de la communauté portuaire
pour la manipulation ou le vol de scénario de données
Ce scénario est une attaque ciblée contre les systèmes utilisés pour les échanges entre
toutes les parties prenantes (généralement les systèmes communautaires portuaires).
Les objectifs sont de falsifier les informations sur les services portuaires pour perturber
les opérations ou modifier certaines opérations dans les systèmes (impliquant une perte
financière pour le port). Ce scénario est réaliste car ces systèmes sont exposés à toutes
les parties prenantes du port de différentes manières (généralement en utilisant
différents réseaux et systèmes, via un accès VPN ou via Internet, la plupart du temps via
des interconnexions de machine à machine). En effet, ces systèmes sont de plus en
plus automatiquement interconnectés avec des systèmes externes (via API, échanges
EDI, etc.) : les systèmes de tiers deviennent ainsi une surface d'attaque supplémentaire
pour atteindre les systèmes portuaires.
Étant donné que ces systèmes sont différents d'un port à l'autre, il peut y avoir plusieurs
façons de configurer cette attaque: par exemple, si les systèmes de communauté de
port sont exposés via une application Web, l'attaquant peut exploiter les vulnérabilités
courantes des applications Web ; s'il s'agit d'une application développée en interne par
des développeurs employés par le port et si des règles de développement de sécurité
standard ne sont pas appliquées, des vulnérabilités spécifiques peuvent être exploitées,
etc.
49
Impacts
Accident
Perte financière Perturbation des opérations portuaires
(lié à la gestion des marchandises
dangereuses)
Actifs Acteurs
touchés impliqués
Systèmes communautaires portuaires (PCS) Autorité portuaire
Systèmes financiers · ERP Opérateurs de terminaux portuaires
Selon l'architecture du PCS et l'exposition du réseau: o Si le PCS est exposé à des tiers via une interface Web dédiée, l'attaquant peut exploiter les
vulnérabilités courantes des applications Web pour avoir accès au PCS (injection SQL « langage de requête structuré », attaque par force brute,
exploitation de mauvaise ségrégation des droits d'accès, etc.).
• Si le PCS est automatiquement connecté à des systèmes externes via des protocoles d'échange de données tels que des protocoles API ou EDI,
l'attaquant peut organiser une attaque de type intermédiaire en interceptant les échanges de données et en les modifiant dans le cas où les
échanges de données ne sont pas suffisamment sécurisés.
• Si un accès direct au PCS lui-même hors du réseau portuaire est possible, l'attaquant peut exploiter des mesures de sécurité de réseau faibles
pour avoir un accès direct à ce système et utiliser des informations d'identification qu'il a pu avoir volées via l'ingénierie sociale.
Une fois que l'attaquant a un accès non autorisé au PCS avec suffisamment de droits d'accès, il peut manipuler les données directement sur le PCS
(modification des opérations portuaires, vol de données critiques, suppression de données sur certaines opérations, etc.).
La perte de l'intégrité des données PCS a de nombreuses conséquences: chaos dans les opérations portuaires, perte financière potentielle pour le
port qui perd des informations sur les opérations l'empêchant de facturer les opérations effectuées ou même accident si des marchandises dangereuses
liées aux données sont manipulées ou rendues indisponibles
cybersécurité
PS-09 : méthodologie du projet, y compris les évaluations de sécurité TP-01 : segmentation du réseau.
et les points de contrôle. TP-05 : stratégie de gestion des identités et des accès (« IAM »).
TP-08 : authentification multifacteur.
OP-11 : contrôle strict des accès des tiers. TP-19 : mécanismes sécurisés pour les échanges de machine à machine.
OP-16 : création d'un centre d'opérations de cybersécurité (SOC). TP-25 : systèmes de corrélation et d'analyse des journaux.
OP-17 : analyses régulières du réseau.
OP-18 : sécurité du périmètre avec politique de filtrage.
50
OP-19 : effectuer des audits de cybersécurité réguliers.
51
Scénario D - Compromission de systèmes industriels créant

un accident majeur dans les zones portuaires
Ce scénario est spécifique au monde OT et aux spécificités ICS et est considéré comme Un port contient différents réseaux, systèmes et dispositifs terminaux industriels utilisés
réaliste même si aucune attaque de ce type dans les ports n'est connue du public. En pour différents services et opérations et détenus, gérés et entretenus par différentes
effet, des attaques similaires se produisent dans d'autres secteurs critiques, en parties prenantes: grues pour le chargement et le déchargement des navires dans les
particulier dans le secteur de l'énergie. Ce type d'attaque n'a pas besoin d'être terminaux portuaires, ponts à l'entrée du port pour y faire entrer les navires, les
généralement sophistiqué pour avoir un impact et les principaux risques restent la systèmes dans les entrepôts réfrigérés pour garder les aliments fragiles à une
connexion avec les réseaux et systèmes externes, en particulier Internet. Les température sûre, les capteurs et les systèmes utilisés pour transporter, stocker et
spécificités de ces attaques sont le lien étroit entre le monde physique et logique: surveiller les marchandises dangereuses, etc.
l'attaque commence généralement dans le monde logique (à partir de la composante
informatique) et a des impacts dans le monde physique (dommages aux systèmes
industriels et aux appareils finaux, sûreté et sécurité, incidents, etc.).
52
Figure 10 : Scénario de compromission du système OT créant un accident majeur dans le scénario des zones portuaires
53
Impacts
Arrêt des opérations portuaires, paralysie Dommages aux systèmes, ou pire, Blessures ou décès humains
portuaire destruction
Pertes et coûts financiers Réputation ternie et perte de compétitivité Catastrophe environnementale
Actifs Acteurs
touchés impliqués
Systèmes et réseaux OT Autorité portuaire
Fin OT appareils Opérateurs de terminaux portuaires
Infrastructure mobile Fournisseurs de services
Infrastructure fixe Chaîne de livraison
Personnes
Un ordinateur portable de maintenance accédant aux systèmes de contrôle OT est compromis avec un code malveillant (via une clé USB ou un
courrier électronique compromis, téléchargement de logiciels malveillants à partir d'Internet, etc.).
Le code malveillant se propage sur les réseaux OT, puis l'OT systèmes lorsque l'ordinateur portable s'y connecte.
Si les systèmes de contrôle industriel (ICS) sont sophistiqués (IoT, serveur distant, etc.), les attaquants peuvent déployer des mécanismes pour
commander l'ICS à distance.
Sinon, le code ICS est modifié pour exécuter des commandes prédéfinies contenues dans le code
malveillant. Les dispositifs terminaux OT, tels que les grues ou les ponts, se déplacent de manière
irrégulière ou inattendue.
Cela peut provoquer un incident de sécurité et de sûreté entraînant des dommages ou la destruction de l'infrastructure portuaire, des blessures ou la
mort, etc.
cybersécurité
OP-01 : définir une stratégie de protection des points finaux. TP-11 : politique d'installation et de configuration.
OP-09 : développer des cours de formation spécifiques et obligatoires TP-14 : réseau d'administration dédié.
sur la
cybersécurité pour certaines populations clés.
54
OP-12 : définir clairement tous les aspects pertinents du partenariat TP-25 : systèmes de corrélation et d'analyse des journaux.
avec des
tiers, inclure des mesures de sécurité.
OP -16 : créer un centre d'opérations de cybersécurité TP-30 : segmentation du réseau entre l'informatique et Systèmes OT.
OP-21 et OP-22 : protéger physiquement les systèmes informatiques et TP-29 et TP-31 : prise en compte des systèmes OT et IoT dans toutes
OT. les mesures de sécurité et mettre en place des mesures de sécurité
spécifiques.
55
3.4 Analyse du niveau de maîtrise –

« Méthode EBIOS »
EBIOS Risk Manager (EBIOS RM) est la méthode d’appréciation et de traitement des
risques numériques publiée par l’ANSSI avec le soutien du Club EBIOS.
Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et
est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques
comme en matière de sécurité du numérique. EBIOS RM permet d’apprécier les risques
numériques et d’identifier les mesures de sécurité à mettre en œuvre pour les maîtriser.
Elle permet aussi de valider le niveau de risque acceptable et de s’inscrire à plus long
terme dans une démarche d’amélioration continue.
Enfin, cette méthode permet de faire émerger les ressources et arguments utiles à la
communication et à la prise de décision au sein de l’organisation et vis-à-vis de ses
partenaires.
Vous trouverez toutes les informations utiles à l’adresse suivante : EBIOS

Risk Manager
56
L'élaboration de mesures de cybersécurité pour les ports constitue l'un des points
centraux de ce guide. L'objectif est de fournir des lignes directrices et des
recommandations aux acteurs de l'écosystème portuaire pour les aider à prévenir,
notamment via la réalisation d’auto-diagnostics, ou à répondre correctement aux
cyberattaques potentielles sur les systèmes portuaires.
Pour définir la catégorisation de ces mesures, le guide s'est appuyé sur les scénarios
types de cyberattaque identifiés dans la partie 3.3 ainsi que sur les mesures de sécurité
des politiques et normes énumérées à la section 1.1 et les cadres communs pour la
cybersécurité comme le Document de référence sur les mesures de sécurité pour les
opérateurs de services essentiels, ISO 27001 ou NIST.
Enfin, une liste de 22 domaines de sécurité a été définie pour classer toutes les mesures
de sécurité en relation avec les ports. Pour organiser les domaines de manière logique,
ils ont été classés en trois groupes principaux :
• politiques et gouvernance
4. IDENTIFIER LES MESURES •
•
pratiques et processus organisationnels
pratiques et mesures techniques
DE CYBERSÉCURITÉ Il existe 42 règles d’hygiène de l’ANSSI qui constituent une liste de règles les plus
simples et les plus élémentaires mais essentielles pour assurer la sécurité de tout
système d’information.
ADAPTÉES Elles sont à mettre en parallèle avec les 23 règles de sécurité imposées aux systèmes
d’information essentiels des opérateurs de services essentiels sont d’un niveau
d’exigence nettement plus élevé.
Étant donné qu’une partie du public cible de ce guide est éligible aux dispositions de la
directive SRI / NIS en tant qu'opérateurs de services essentiels, les mesures suivantes
ont été élaborées pour correspondre aux mesures proposées dans le document de
référence sur les mesures de sécurité pour les opérateurs de services essentiels.
57
Néanmoins, quelques exceptions existent, notamment la sécurité du cloud, la sécurité PS Rédiger et mettre en œuvre une politique de sécurité des systèmes
machine à machine et la sécurité des systèmes de contrôle OT et industriels, ce qui 01 d'information (ISSP) qui décrit tous les moyens et procédures organisationnels
indique qu'une approche plus sectorielle peut être pertinente pour répondre aux et techniques, y compris les sujets liés à l'environnement OT. Cet ISSP doit être
spécificités du secteur portuaire approuvé par la haute direction du port afin de garantir l'approbation de haut
niveau de la politique. Les éléments clés de l'ISSP peuvent être intégrés dans
Le code couleur utilisé ci-après est donc proposé à titre indicatif pour aider le lecteur à le plan de sûreté de l'installation portuaire requis par le code ISPS.
se situer entre ces deux niveaux d’exigence.
Appliquer la gouvernance de la sécurité des environnements IT et OT via l'ISSP
VERT : mesure ayant correspondance parmi les 42 règles du guide d’hygiène PS en décrivant les rôles et les responsabilités de chaque partie prenante
informatique de l’ANSSI et parmi les 23 règles du texte de transposition de la 02 (exploitant, opérateurs de terminaux, prestataires, etc.).
Directive NIS.
ORANGE : mesure non formulée de manière explicite dans les 42 règles guide
d’hygiène informatique de l’ANSSI, mais parmi les 23 règles du texte de Partager cet ISSP avec toutes les parties prenantes impliquées dans les
PS opérations portuaires ou, si plus pertinent, une version allégée sous-tendant les
transposition de la Directive NIS. responsabilités de chaque partie envers la cybersécurité au niveau du port.
BLEU : mesure ayant correspondance parmi les 42 règles guide d’hygiène
03
Examiner annuellement la PSSI en tenant compte des résultats des tests de
informatique de l’ANSSI mais non parmi les 23 règles du texte de PS cybersécurité et de l'analyse des risques pour lutter contre les nouvelles
ROUGE : mesure non formulée de manière explicite dans les 42 règles du menaces et les nouveaux risques
transposition de la Directive NIS. 04
guide d’hygiène informatique de l’ANSSI ni parmi les 23 règles du texte de
transposition de la Directive NIS. 4.1.2 Gestion des risques et des menaces
4.1 Politiques et gouvernance
Mesures de cybersécurité pour identifier et gérer en permanence les risques et
Il est essentiel que les ports définissent les politiques et la gouvernance en matière d'IT
menaces liés à l'écosystème portuaire.
et d'OT, en appliquant les meilleures pratiques de cybersécurité, en particulier pour la
plupart des actifs critiques, avec une approche basée sur les risques.
Adopter une approche fondée sur les risques pour élaborer la stratégie de
cybersécurité des ports et mettre en place un processus d'amélioration continue
4.1.1 Politique et organisation de la sécurité pour s'assurer que les risques identifiés sont maîtrisés et que les nouveaux
risques sont correctement identifiés en temps opportun. Veiller à ce que les
Mesures de cybersécurité pour mettre en œuvre et maintenir à jour une politique de cyber-risques identifiés soient pris en compte dans les plans de sûreté et de
sécurité du système d'information (PSSI). PS sécurité pour aligner la cybersécurité sur la sécurité et la sûreté physique (en
05 particulier, grâce à l'évaluation de sûreté des installations portuaires requise par
le code ISPS).
58
Effectuer et mettre à jour régulièrement l'analyse des risques pour identifier les PS Résoudre les problèmes liés à la confidentialité sur la base des réglementations
risques et les menaces liés à l'écosystème portuaire. En particulier, une analyse locales et internationales applicables, telles que le règlement général sur la
des risques doit être menée pour les nouveaux projets (initiatives SmartPort 10
PS protection des données (RGPD).
telles que Big Data, IoT, blockchain, etc.).
06
Lancer un projet de classification des données pour identifier les données
Mettre en place des indicateurs de sécurité et des méthodes d'évaluation pour critiques pour les opérations portuaires ainsi que les données personnelles et
PS évaluer la conformité des systèmes et processus portuaires à l'ISSP et la pour les protéger en conséquence et pour cartographier les flux de données,
performance de la gestion des risques, en impliquant plusieurs parties PS en particulier pour les données personnelles et les données opérationnelles
07 prenantes le cas échéant. 11 relatives aux navires, aux marchandises dangereuses et au fret.
Mettre en place un processus de renseignement sur les menaces pour surveiller 4.1.4 Inventaire et gestion des actifs
en permanence les vulnérabilités, identifier les nouveaux risques et menaces
et déployer des actions pour les atténuer.
PS Mesures de cybersécurité concernant la cartographie des écosystèmes, y compris les
Cette mesure peut être améliorée en développant des initiatives collaboratives actifs des ports et les actifs de tiers interagissant avec les actifs du port.
08 privées-publiques de partage d'informations sur les renseignements sur les
menaces au niveau européen. Utiliser des outils centralisés pour l'inventaire et la gestion des actifs et assurez-
PS vous de les maintenir à jour (applications, plates-formes logicielles, réseaux,
4.1.3 Sécurité et confidentialité dès la 12
composants réseau, serveurs, périphériques physiques, systèmes industriels,
composants d'administration, etc.).
conception
Définir une politique concernant les périphériques et logiciels autorisés pour
PS garantir que seuls des composants fiables sont introduits dans le réseau de
Mesures de cybersécurité qui doivent être appliquées dès les premières étapes du
13 ports.
développement des systèmes et pendant le cycle de vie du développement afin
d'augmenter par conception les niveaux de sécurité de toutes les solutions et
Utiliser des outils centralisés pour surveiller les différents actifs en les adaptant
applications, pour protéger les données critiques et garantir la confidentialité des
PS en fonction des spécificités et des risques associés (par exemple surveillance
données personnelles.
passive pour les systèmes industriels) et détecter les actifs non autorisés.
14
Développer une méthodologie de projet comprenant des évaluations et des
points de contrôle de sécurité, y compris pour les projets agiles (analyse des
risques, examen de la sécurité de l'architecture, tests de sécurité, approbation
PS de la sécurité, etc.) pour les projets nouveaux et existants, compte tenu de la
criticité et de l'exposition du système. Plus précisément, inclure fortement les
09 problèmes de cybersécurité dans les projets SmartPort, de la conception à la
mise en œuvre.
59
4.1.5 Cyber-résilience 4.2.1 Protection des terminaux et gestion du cycle de vie

Mesures de cybersécurité mises en place pour assurer, en cas d'incident, ou pire, de Mesures de cybersécurité liées à la protection des terminaux informatiques tels que les
catastrophe, la continuité des opérations portuaires et récupérer les données. ordinateurs portables, les ordinateurs de bureau, les tablettes, les téléphones portables.
Assurer la cyber-résilience des systèmes portuaires en définissant des objectifs Définir une stratégie de protection des terminaux pour surveiller les terminaux
et des directives stratégiques concernant la continuité des activités et la gestion des ports et renforcer leur sécurité en mettant en œuvre des outils et des
PS de la récupération et mettre en place les services et processus clés associés mécanismes de sécurité tels que l'antivirus, le cryptage, la gestion des
(plan de continuité de l’activité / plan de reprise de l’activité ; en anglais, « OP
15 Disaster Recovery Plan »).
terminaux mobiles (« MDM ») et le renforcement (désactivation des services
01 inutiles, notamment en sécurisant Ports USB dans tous les systèmes de ports).
Définir des paramètres importants pour la continuité des activités du port, tels Implémenter des listes blanches d'appareils et de logiciels et révisez la liste au
qu'un objectif de temps de récupération (« RTO »), un objectif de point de OP moins une fois par an ou en cas de changement majeur du système.
PS récupération (« RPO »), une interruption maximale tolérable (« MTO ») et un 02
objectif de continuité des activités minimales (« MBCO »). Définir un processus de gestion du changement pour introduire tout nouveau
16 OP dispositif dans les systèmes portuaires (tests d'acceptation, étapes de
Définir une organisation de gestion de crise en formalisant une politique 03 validation, etc.).
PS spécifique et en mettant en place le processus de gestion de crise associé,
17 incluant toutes les parties prenantes du port. S'assurer que tous les employés et sous-traitants retournent leurs terminaux à
OP la fin du contrat et définir les processus d'élimination sécurisée des terminaux.
Assurer l'efficacité des procédures de récupération en organisant des exercices 04
de formation annuels, en s'assurant que toutes les parties prenantes critiques
du port (autorités locales, autorités portuaires, opérateurs de terminaux, 4.2.2 Gestion des vulnérabilités
PS prestataires de services, etc.) sont impliquées autant que possible et formaliser
18 les rapports post- exercice. Mesures de cybersécurité pour garantir que les systèmes sont à jour et protégés contre
les vulnérabilités.
4.2 Pratiques et processus
Définir un processus de gestion des vulnérabilités pour identifier les
organisationnels OP vulnérabilités des actifs, il peut être basé sur des outils automatiques et
manuels tels que les analyses de vulnérabilité.
05
Les ports doivent définir les pratiques et processus pertinents concernant la gestion
informatique et OT, à suivre par tous les employés du port ou plus spécifiquement par
les équipes IT et OT dans leurs opérations quotidiennes au sein de l'écosystème
portuaire.
60
Définir des processus de renseignement pour la cybersécurité afin d'être au

courant des vulnérabilités nouvellement révélées et de prendre des mesures
4.2.4 Gestion de la chaîne d'approvisionnement
OP compensatoires rapides (séparation du réseau, désactivation des services,
06 etc.). Mesures de cybersécurité pour comprendre et sécuriser la relation avec des tiers et
garantir un accès légitime aux systèmes portuaires.
Etablir une collaboration étroite entre les départements OT et IT, en veillant à
ce que leur collaboration avec les propriétaires de systèmes, les autorités N’accorder l'accès qu'à la demande, dans une fenêtre de temps spécifiée, dans
OP décisionnelles et les autres parties prenantes soit efficace et garantisse un OP
un but spécifique et de la manière la moins privilégiée.
07 niveau de cybersécurité homogène pour l'IT et l'OT. 11
Définir clairement tous les aspects pertinents du partenariat avec des tiers, y
4.2.3 Sécurité des ressources humaines OP compris la sécurité, dans les accords et contrats appropriés, en particulier pour
les systèmes critiques fournis par des tiers (PCS, CCS, systèmes de sécurité,
Mesures de cybersécurité pour assurer une bonne maîtrise des opérations IT et OT et 12 etc.).
une sensibilisation de tous les collaborateurs.
4.2.5 Détection et réponse aux incidents
Assurer des références professionnelles et des audits des casiers judiciaires du
OP personnel clé pour la gestion informatique et OT (administrateurs système, Mesures de cybersécurité pour définir les processus de détection et de réponse aux
développeurs, etc.) et du personnel clé nommé dans des rôles de sécurité (DSI incidents de sécurité survenant dans l'écosystème portuaire.
08 ou DPO).
Identifier les risques et menaces à tous les niveaux du port pour définir les
Développer des cours de formation spécifiques et obligatoires sur la catégories d'incidents et les impacts potentiels en utilisant les résultats de
OP cybersécurité pour certaines populations clés traitant quotidiennement avec les OP l'analyse des risques, du renseignement sur les menaces, de l'historique des
IT et OT (administrateurs système, chefs de projet, développeurs, agents de incidents précédents, des discussions avec d'autres ports, etc.
09 sécurité, maître de port, etc.). 13
Définir une politique et des procédures pour la détection et la réaction aux
Mettre en place un programme de sensibilisation à la sécurité pour adresser incidents, y compris la description des rôles et responsabilités de chaque partie
OP l'ensemble de l'écosystème portuaire, en se concentrant d'abord sur les OP prenante au niveau du port ou de l'État (le cas échéant), ainsi que la méthode
10 principales menaces (par exemple l'ingénierie sociale). de coordination et la communiquer à toutes les parties concernées.
14
Améliorer et maintenir ces procédures à jour en les testant grâce à des
OP exercices de formation et en identifiant les nouveaux événements redoutés.
15
56
Envisager la mise en place d'un centre d'opérations de cybersécurité (SOC)

comprenant des environnements informatiques et OT pour prendre en charge
4.2.7 Protection physique IT et OT
la sécurité et les cyberincidents. Les SOC des différentes parties prenantes
OP doivent collaborer (ou peuvent être mutualisés) pour assurer la détection et la Mesures de cybersécurité pour empêcher tout accès physique non autorisé aux
16 réaction des incidents au niveau du port. systèmes informatiques et OT.
Définir les procédures d'alerte et identifier les bons contacts pour chaque partie S'assurer que les systèmes informatiques et OT hébergés dans le port sont
prenante du port en fonction de la criticité de l'incident (RSSI, direction et OP protégés conformément aux meilleures pratiques établies en matière de
OP conseil d'administration du port, autorités nationales, équipe de réponse aux sécurité (détection d'incendie, climatisation, etc.) et de sécurité (contrôle
incidents de sécurité informatique 21 d'accès, vidéosurveillance, etc.).
17 « CSIRT », etc.).
OP Garder la traçabilité de toutes les opérations de maintenance effectuées sur les
OP Mettre en œuvre des procédures de notification des incidents et d'amélioration systèmes physiques IT et OT.
continue. 22
18
4.2.6 Contrôle et audit 4.3 Pratiques et mesures techniques
Mesures de cybersécurité pour contrôler la conformité de l'IT et de l'OT à la politique de Les ports doivent appliquer plusieurs mesures techniques afin de prévenir les cyber-
sécurité des systèmes d’information et aux meilleures pratiques de sécurité. attaques sur les systèmes informatiques ou industriels des ports, détecter et réagir à
toute attaque et être résilients en cas d'impact majeur d'une cyberattaque.
Effectuer régulièrement des audits de cybersécurité (tests de pénétration,
équipe rouge, etc.) pour vérifier l'application et l'efficacité des mesures de
OP
sécurité et évaluer le niveau de sécurité des systèmes portuaires.
4.3.1 Sécurité du réseau
19
Effectuer des révisions périodiques des règles de réseau, des privilèges de Mesures de cybersécurité pour éviter tout accès non autorisé aux systèmes portuaires,
OP atténuer la propagation des incidents de sécurité informatique au sein des systèmes ou
contrôle d'accès et des configurations d'actifs.
20 sous-systèmes et protéger les systèmes contre les accès non autorisés.
Définir une architecture de segmentation de réseau pour limiter la propagation

TP des attaques au sein des systèmes portuaires et éviter un accès direct depuis
Internet à des systèmes portuaires très critiques tels que VTS / VTMIS et des
01 systèmes de sécurité.
57
Effectuer des analyses de réseau régulières pour détecter les réseaux non TP Mettre en œuvre des mécanismes d'authentification multifactorielle pour les
autorisés et malveillants (WIFI par exemple) ainsi que les terminaux utilisant comptes accédant aux applications critiques (en particulier pour PCS, CCS,
TP des ponts entre deux zones séparées (avec des interfaces dans deux zones 08 TOS, VTS / VTMIS) et aux données (données personnelles, données
02 réseau par exemple). opérationnelles sensibles telles que des informations détaillées sur les navires,
les marchandises dangereuses et le fret), et en cas d'environnements pauvres
Définir la sécurité périmétrique, avec des règles de filtrage. ou non protégés (accès externe via Internet par exemple, accès tiers à partir
TP d'autres réseaux d'entreprise, etc.).
03
Considérer l'accès physique dans le cycle de vie de l'accès (installations
4.3.2 Contrôle d'accès TP portuaires, zone portuaire, bâtiments, etc.) et définir des mesures spécifiques
09 pour l'accès à distance.
Mesures de cybersécurité pour garantir un accès légitime aux systèmes portuaires.
Effectuer régulièrement des révisions des comptes et des droits d'accès pour
Mettre en place des outils centralisés pour gérer les identités et les droits s'assurer que les accès sont toujours légitimes, en particulier pour les comptes
d'accès aux systèmes portuaires. Si différents outils sont mis en place, en TP qui ont accès à des données sensibles (données personnelles, données
raison de la diversité des acteurs portuaires (Autorités Portuaires, opérateurs opérationnelles sensibles, informations sur les marchandises dangereuses,
TP de terminaux, collectivités locales, tiers, etc.) et de leurs systèmes, un 10 etc.).
04 approvisionnement automatique ou manuel peut être défini.
4.3.3 Administration et gestion de la configuration
Définir une stratégie de gestion des identités et des accès (« IAM ») et ses
processus associés pour gérer le cycle de vie des identités et de leurs droits
d'accès (désactivation automatique des comptes, examen régulier, principe du Mesures de cybersécurité pour assurer une administration sécurisée des actifs
informatiques et industriels.
TP moindre privilège et séparation des tâches, directives relatives aux mots de
passe, etc.). Cette stratégie doit être, autant que possible, construite en
05 commun avec les acteurs de l'écosystème portuaire. Définir la politique et les règles d'installation et de configuration et établir des
TP bases de sécurité pour installer uniquement les services et fonctionnalités
Interdire autant que possible l'utilisation de comptes génériques, en imposant nécessaires et autoriser l'équipement essentiel pour la sécurité et le
des comptes uniques et individuels dans tous les systèmes portuaires, en 11 fonctionnement des systèmes portuaires.
TP
particulier pour les systèmes sensibles (PCS, CCS, TOS, VTS / VTMIS,
06 systèmes de sécurité). Configurer des comptes spécifiques uniquement utilisés par les administrateurs
TP pour effectuer les opérations d'administration (installation, configuration,
Appliquer, dans la mesure du possible, les politiques et règles de complexité 12 maintenance, supervision, etc.).
TP
des mots de passe pour les systèmes.
07
58
Définir le processus de gestion des comptes privilèges (« PAM »), les exigences TP Essayer d'inclure, autant que possible, des solutions de l’informatique en nuage
TP de sécurité sur ces comptes et les règles pour gérer leur cycle de vie. Faites 18 (« cloud ») dans les mécanismes de détection et de réponse.
particulièrement respecter ce processus pour les tiers qui supervisent les
13 opérations d'administration.
4.3.6 Sécurité de machine à machine
Mettre en place, autant que possible, des réseaux d'administration dédiés pour
créer des zones sûres, en priorité pour les systèmes critiques (notamment pour Mesures de cybersécurité pour sécuriser les échanges de machine à machine.
TP
les VTS / VTMIS, les systèmes radio, les systèmes de sécurité, etc.).
14 Implémenter des mécanismes pour sécuriser les échanges de machine à
machine (y compris les messages EDI et les API principalement utilisés avec
4.3.4 Gestion des menaces des parties prenantes externes, telles que les compagnies maritimes) et assurer
l'authentification mutuelle, l'intégrité et la confidentialité avec les systèmes
Mesures de cybersécurité pour protéger tous les systèmes contre les logiciels TP portuaires tels que le cryptage, l'ICP ou certificats numériques, contrôles
malveillants ou les virus. d'intégrité, signature numérique, horodatage, en particulier lorsque les
19 échanges se font sur Internet.
S’assurer que l'anti-malware, l'anti-spam et l'antivirus sont installés et à jour sur
TP tous les systèmes de port, y compris les ordinateurs de bureau et les serveurs. Utiliser des protocoles de communication qui incluent une fonctionnalité pour
15 TP détecter si tout ou partie d'un message est une répétition non autorisée d'un
4.3.5 Sécurité de l’informatique en nuage (« cloud ») 20 message précédent.
Mesures de cybersécurité pour protéger l'environnement de l’informatique en nuage (« 4.3.7 Protection des données
cloud ») dans les ports.
Mesures de cybersécurité pour protéger les données au repos, en transit ou utilisées
L’informatique en nuage (« cloud ») fait l’objet d’un référentiel spécifique ANSSI dans les systèmes portuaires.
(Secnumcloud).
Mettre en œuvre des procédures et mécanismes de cryptographie pour
Définir une méthode d'évaluation de la sécurité de l’informatique en nuage (« protéger la confidentialité, l'authenticité et / ou l'intégrité des données dans les
TP cloud ») pour évaluer l'impact et les risques du choix de solutions cloud en TP systèmes portuaires (au repos, en transit ou en cours d'utilisation). Cette
tenant compte des lois et réglementations applicables. mesure sera mise en œuvre en fonction de la classification des données
16 21 effectuée.
TP Inclure autant que possible les aspects de sécurité et de disponibilité dans les
accords avec les fournisseurs de sécurité de l’informatique en nuage (« cloud Anonymiser et sécuriser toutes les données personnelles directes ou indirectes
17 »).
TP
traitées au sein de l'entreprise, par ex. grâce au contrôle d'accès et au
22 chiffrement basés sur les rôles, après avoir pris en compte toutes les exigences
légales pertinentes.
59
TP Mettre en place des systèmes de corrélation et d'analyse des journaux pour

4.3.8 Gestion des mises à jour
28 détecter les événements et contribuer à la détection des incidents de
cybersécurité.
Mesures de cybersécurité pour assurer la mise à jour des systèmes.
4.3.10 Sécurité des systèmes de contrôle industriels
Définir un processus de gestion des mises à jour pour s'assurer que les actifs
informatiques et industriels du port sont à jour et, si cela n'est pas possible,
appliquer des mesures compensatoires (séparation du réseau, durcissement
TP des comptes, etc.), en particulier pour les systèmes hérités (systèmes
Mesures de cybersécurité spécifiques aux systèmes industriels.
23 industriels sans mise à jour possible, applications obsolètes mais critiques,
Les règles de l’arrêté du 14 septembre 2018 ne mentionnent pas explicitement les
etc.).
systèmes de contrôle industriels (« ICS »). Elles s’appliquent à tout type
d’environnement (OT comme IT) et les éventuelles difficultés de
Vérifier l'authenticité et l'intégrité des logiciels/micrologiciels des terminaux et mise en œuvre des mesures sur les systèmes OT sont couvertes par les exceptions
TP assurez un contrôle strict de la mise à jour. introduites dans certaines règles sous une formulation du type :
24 « lorsque… ne peut pas / ne permet pas … » et l’opérateur doit alors décrire les
mesures complémentaires.
Vérifier la source de la mise à jour et exécutez les procédures de mise à jour
TP automatique uniquement si elles sont basées sur l'analyse des risques.
Les règles d’hygiène ne font pas non plus de focus sur l’OT, mais des guides ANSSI
25 spécifiques OT existent.
4.3.9 Détection et surveillance
Prendre en compte les systèmes industriels dans toutes les mesures de
sécurité définies dans ce rapport pour sécuriser autant que possible les
Mesures de cybersécurité pour assurer la santé des actifs informatiques et OT et systèmes et réseaux de contrôle industriels. Si celles-ci ne peuvent être
détecter toute cyberattaque. TP appliquées, définir et mettre en œuvre des mesures compensatoires
29 (ségrégation du réseau, durcissement des comptes, etc.).
Surveiller la disponibilité des systèmes et appareils portuaires en temps réel,
lorsque cela est techniquement possible, en se concentrant d'abord sur les TP Assurer la segmentation du réseau entre les systèmes informatiques et
systèmes et appareils critiques tels que les postes de travail d'administration, industriels.
TP les systèmes radio et les appareils terminaux, les VTS / VTMIS, les systèmes 30
26 radar ou la sécurité systèmes et terminaux industriels, etc.
Penser à mettre en place des mesures de sécurité spécifiques lors de la mise
TP
en œuvre de l'IoT.
TP Configurer un système de journalisation pour enregistrer les événements liés, 31
au moins, à l'authentification des utilisateurs, à la gestion des comptes et des
27 droits d'accès, aux modifications des règles de sécurité et au fonctionnement
des systèmes portuaires.
60
4.3.11 Sauvegarde et restauration
Mesures de cybersécurité pour assurer la récupération des systèmes en cas d'incident,

liées aux processus de résilience définis.
Configurer des sauvegardes et s’assurer qu'elles sont régulièrement

TP maintenues et testées, en particulier pour la plupart des systèmes centraux et
32 critiques, comme Active Directory, PCS, CCS, TOS, etc.
61
Ce guide vous propose un exemple de chronologie simplifiée de mise en œuvre des

nombreuses actions à réaliser pour améliorer la sécurité d’un SI. Face à l’importance de
cette tâche, nous vous proposons ce fil conducteur qui vous permettra d’améliorer
progressivement votre niveau de maturité en matière de cybersécurité. Cette progression
est basée sur les 6 niveaux de maturité définis dans le guide ANSSI « Maturité SSI »
auquel a été rajouté un niveau 0.
Ainsi, vous pouvez d’une part évaluer le niveau de maturité de votre organisme en vérifiant
les actions déjà mises en œuvre et d’autre part identifier les actions nécessaires pour
atteindre le niveau suivant.
Bien entendu, un niveau est atteint lorsque les actions présentées sont toutes et totalement
appliquées sur l’ensemble du SI.
Les actions décrites ici, sont volontairement simplifiées afin de clarifier le cheminement de
la mise en œuvre des mesures de sécurité en marquant les points de passages obligés.
Chacune d’elles contribue à la réussite de la mise en place des mesures de cybersécurité
décrites au chapitre 4.
5. PLANIFIER Chaque niveau de maturité SSI représente la manière dont une organisation exécute,
contrôle, maintient et assure le suivi des processus SSI.
A noter qu’un guide de l’ENISA propose un modèle de maturité à trois niveaux : il décrit
LA MISE EN ŒUVRE pour chaque mesure de sécurité, des exemples d’implémentation, du moins formel (niveau
1) au plus formel (niveau 3). La méthode EBIOIS RM (cf page 28 des fiches méthode)
propose également une métrique de cotation pour la maturité cyber en quatre niveaux (du
moins formel au plus formel).
DE SES ACTIONS
62
Niveau 0. Pratique inexistante ou incomplète : pratiques de Niveau 2. Pratique répétable et suivie : des actions
base éventuellement mises en œuvre et le besoin n'est pas reproductibles mises en œuvre de façon planifiée et suivie,
reconnu. avec un support relatif de l'organisme.
• Protection des postes de travail par un antivirus mis à jour
quotidiennement Les actions sont planifiées et sont réalisées par une personne qui possède des
compétences en SSI. Certaines pratiques sont formalisées, ce qui permet la
• Correctifs de sécurité appliqués sur les postes de travail
duplication et la réutilisation (éventuellement par une autre personne). Des
• Mot de passe obligatoire pour s’authentifier mesures qualitatives sont réalisées (indicateurs simples sur les résultats). Les
autorités compétentes sont tenues informées des mesures effectuées.
• Plan d’adressage IP du réseau de l’entreprise, conforme à la réalité
• Comptes d’ouverture de session nominatifs et individuels
• Fiche « départ agent » pour surveiller les droits et les matériels
• Formalisation de la responsabilisation des acteurs de la chaine SSI
Niveau 1. Pratique informelle : actions isolées mises en œuvre (directeurs, administrateurs techniques et fonctionnels) avec des rôles
de manière informelle et réactive sur l'initiative de ceux qui séparés (décision, exécution) et signature des habilitations
estiment en avoir besoin. • Comptes administrateurs dédiés pour les accès privilégiés (serveurs,
équipements industriels)
• Droits d’accès aux ressources du réseau sont définis et appliqués • Suppression des comptes génériques
• Procédure d’alerte ou de signalement connue des utilisateurs (hotline • Procédure d’autorisation des accès hors applicatif
par exemple)
• Procédure d’autorisation des accès intervention télémaintenance
• Description des étapes de mise à jour régulière ou d’urgence des
correctifs de sécurité sur tous les équipements • Top 10 de l’OWASP appliqué par les développeurs
• Filtrage Web mis en place • Préférence pour les protocoles sécurisés (HTTPS, SSH, FTPS, POPS)
• Protection des postes de travail par un antispam • Validation par la direction de la « charte informatique », annexe du
règlement intérieur signée par les utilisateurs
• Sensibilisation des utilisateurs des moyens informatiques aux attaques

SSI (mails piégés, ingénierie sociale, etc.) et formation aux bonnes
pratiques (mot de passe, sauvegardes, réseaux sociaux, etc.).
63
Niveau 3. Processus défini : la standardisation de pratiques. Niveau 4. Processus contrôlé : la mesure quantitative.
Les actions précédemment décrites sont toutes réalisées conformément à un La cybersécurité devient un avantage compétitif. Le processus est coordonné
processus défini (ex : adaptation au contexte, emploi d'une méthode), dans tout le périmètre choisi et pour chaque exécution. Des mesures
standardisé (commun à tout l’organisme) et formalisé (existence d'une quantitatives sont régulièrement effectuées (en termes de performance). Les
documentation). Le processus SSI est bien compris autant par le management mesures effectuées (indicateurs qualitatifs et quantitatifs) sont analysées et des
que par les exécutants. améliorations sont apportées au processus.
• Supervision managée des équipements en temps réel

• Ressources, moyens sont affectés à la SSI
• Mise en place d’un SOC et d’un SIEM
• Formations nécessaires pour les administrateurs techniques afin
• Obtention par les administrateurs techniques des certifications et les
d’obtenir les certifications ISO2700x et les qualifications sur les outils
qualifications sur les outils informatiques en production
informatiques en production.
• Cloisonnement vie privée / vie professionnelle
• Politique de Sécurité des Systèmes d’Information (PSSI) conforme au
cadre juridique applicable, validée par la direction. • Campagnes de faux mails piégés
• Systèmes sensibles : audits de sécurité, tests intrusion, analyse de • Données classifiées protégées selon l’IGI 1300
risques, homologation • Exercice gestion de crise et création de la cellule de crise cyber
• Surveillance des accès en télémaintenance • Cartographie du SI, de ses interactions et de ses flux
• PCA et PRA formalisés • Authentification forte (certificats, OTP, MFA, …)

• Mise à jour et suivi des indicateurs SSI
• Produits informatiques avec visas de sécurité au niveau adéquat
• Accès au SI depuis l’extérieur par VPN
• Politique de « privilèges minimaux » sur les postes de travail
• Isolation des systèmes industriels du réseau interne et de l’Internet
• Solution sécurisée de partage de fichier
• Blocage 802.1x des prises et des équipements connectés (caméras,
• Applications, lors de chaque évolution du SI, des recommandations photocopieurs, imprimantes, etc.)
techniques et organisationnelles décrites dans les guides de l’ANSSI • Chiffrement des postes de travail ou virtualisation
• Protection du réseau par pare-feu et segmentation en VLAN
64
Niveau 5. Processus optimisé : l’amélioration continue.
Le processus est adapté de façon dynamique à la situation. L'analyse des mesures

effectuées est définie, standardisée et formalisée. L'amélioration du processus
est définie, standardisée et formalisée.
• Chaque évolution du SI est journalisée
• Chaque action précédemment décrite fait l’objet d’une revue dont la

fréquence est définie dans le cadre d’une démarche d'amélioration
continue type PDCA.
65
« Les 7 couches du modèle CISO* »

Le modèle « CISO » constitue une proposition d’actions, regroupées par fonctions SSI, pouvant être mise en œuvre suite à l’analyse effectuée en se servant des parties 3 et 4.
7 Supervision Surveillance des accès en télémaintenance ; supervision managée des équipements en temps réel ; mise en place d’un SOC et d’un SIEM.
Formalisation de la responsabilisation des acteurs de la chaine SSI (directeurs, administrateurs techniques et fonctionnels) avec des rôles
séparés (décision, exécution) et signature des habilitations ; validation par la direction de la « charte informatique », annexe du règlement
6 Gouvernanc intérieur signée par les utilisa - teurs ; ressources, moyens sont affectés à la SSI ; formations nécessaires pour les administrateurs techniques
afin d’obtenir les certifications ISO2700x et les qualifications sur les outils informatiques en production ; politique de Sécurité des Systèmes
e d’Information (PSSI) conforme au cadre juridique applicable, validée par la direction.
Procédure (ou processus) de gestion des droits d’accès (arrivée / départ / modification) ; procédure d’autorisation des accès hors applicatif
; procédure d’autorisation des accès intervention télémaintenance ; systèmes sensibles (audits de sécurité, tests intrusion, analyse de risques,
5 Procédures homologation) ; produits informatiques avec visas de sécurité au niveau adéquat ; applications, lors de chaque évolution du SI, des
recommandations techniques et organisationnelles décrites dans les guides de l’ANSSI ; données classifiées protégées selon l’instruction
générale interministérielle 1300 ; exercice gestion de crise et création de la cellule de crise cyber ; mise à jour et suivi des indicateurs SSI.
Définition et mise en place d’une politique de mot e passe (ex : mot de passe obligatoire pour s’authentifier) ; procédure d’alerte ou de
signalement connue des utilisateurs (hotline par exemple) ; comptes d’ouverture de session nominatifs et individuels ; sensibilisation des
4 Utilisateurs utilisateurs des moyens informatiques aux attaques SSI (incluant des tests de faux mails piégés « phishing », ingénierie sociale …) et
formation aux bonnes pratiques (mot de passe, sauvegardes, réseaux sociaux…) ; les administrateurs techniques ont obtenu les certifications
et les qualifications sur les outils informatiques en production ; cloisonnement vie privée / vie professionnelle.
3 Applications Top 10 de l’OWASP appliqué par les développeurs ; authentification forte (certificats, OTP, MFA, etc.).
Protection des postes de travail par un antivirus mis à jour quotidiennement ; correctifs de sécurité appliqués sur les postes de travail ;
droits d’accès aux ressources du réseau sont définis et appliqués ; description des étapes de mise à jour régulière ou d’urgence des correctifs
2 Systèmes de sécurité sur tous les équipe- ments ; protection des postes de travail par un antispam ; comptes administrateurs dédiés pour les accès
privilégiés (serveurs, équipements industriels) ; suppression des comptes génériques, PCA et PRA formalisés, Solution sécurisée de partage
de fichier ; cartographie du SI, de ses interactions et de ses flux ; chiffrement des postes de travail ou virtualisation.
Plan d’adressage IP du réseau de l’entreprise, conforme à la réalité ; filtrage Web mis en place ; préférence pour les protocoles sécurisés
1 Réseaux (HTTPS, SSH, FTPS, POPS) ; protection du réseau par pare-feu et segmentation en VLAN ; accès au SI depuis l’extérieur par VPN, Isolation des
systèmes industriels du réseau interne et de l’Internet ; blocage 802.1x des prises et des équipements connectés (caméras, photocopieurs,
imprimantes…).
*(CISO) Chief Information Security Officer - (RSSI) Responsable de la Sécurité des Systèmes d’Information.
66
6.1 Anticiper la survenue des cyberincidents

6.1.1 Mettre en œuvre un plan de réponse aux
cyberattaques
Il est important de prévoir un plan de réponse composé par :
▪ un plan de continuité informatique permettant à votre organisation de

continuer à fonctionner quand survient une altération du système
d’information, comprenant par exemple des moyens de
communication de secours
▪ un plan de reprise informatique visant à remettre en service les
systèmes d’information qui ont dysfonctionné. Il doit notamment
prévoir la restauration des systèmes et des données.
6. GÉRER LES Ces plans doivent régulièrement être actualisés et éprouvés à l’aide d’exercices
impliquant l’ensemble des acteurs et des domaines fonctionnels.
CYBERINCIDENTS AVÉRÉS 6.1.2 Penser sa stratégie de communication de crise cyber

L’élaboration d’une stratégie de communication de crise adaptée repose sur la mise en
relation préalable des équipes « métiers » et des personnes en charge de la sécurité
numérique, qui ensemble, peuvent élaborer une stratégie qui prend en compte :
▪ la cartographie des publics et les objectifs de communication associés

: public interne, clients, partenaires, autorités, grand public/ médias ;
▪ la cartographie des parties prenantes de la communication avec qui il
sera nécessaire de se coordonner : prestataires, filiales, autorités, etc.
;
67
▪ les actions à mener à court, moyen et long terme vis-à-vis de l’externe Etape 6 - Créer une boîte à outils dédiée à la gestion d’une crise cyberattaque
(relations presse, communication web, etc.) comme des
collaborateurs. Etape 7 - Former ses équipes à la gestion du volet communication
▪ penser à élaborer une communication de crise aussi bien externe La réaction :

qu’interne ;
Etape 1 - Intégrer la cellule de gestion de crise
▪ tester lors des exercices la stratégie de communication.
Etape 2 - Réaliser son analyse de risque en matière de communication Etape 3 -
Cette dernière est devenue indispensable car les cyber-attaquants se mettent à la
communication en diffusant des communiqués ou en organisant des conférences de Préparer des éléments de langage adaptés aux publics visés Etape 4 -
presse.
Coordonner la communication de votre organisation
Etape 5 - Prendre en charge la communication institutionnelle

Focus sur la stratégie de communication en cas de crise cyber
Etape 6 - Saisir une opportunité et capitaliser pour sensibiliser davantage en
interne et en externe
L’élaboration d’une stratégie de communication peut être décomposée en deux
phases, l’anticipation et la réaction. L’ensemble de ces étapes sont détaillées plus avant dans les guides suivant :
L’anticipation : * ANSSI - Guide "Organiser un exercice de gestion de crise cyber"
Etape 1 - Initier un dialogue avec les équipes cyber et IT hors période de crise * ANSSI - Guide "Crise d'origine cyber, les clefs d'une gestion opérationnelle et
stratégique"
Etape 2 - Anticiper les scénarios de crise et les réponses à apporter sur le volet
communications * ANSSI Guide "Anticiper et gérer sa communication de crise cyber"
Etape 3 - Concevoir sa stratégie de communication de réponse à la crise
Etape 4 - Intégrer la fonction communication dans l’organisation d’une gestion de

crise
Etape 5 - Organiser la communication de crise
68
6.2 Réagir de manière adaptée aux 6.2.3 Signaler le cyber-incident ou la cyber-attaque

cyberincidents Les éléments suivants vous aideront à avoir les bons réflexes et à contacter les bons
correspondants.
6.2.1 Adopter les bons réflexes

Vous êtes un particulier, TPE/PME ou une collectivité territoriale ?
Lors de tout cyber-incident le premier réflexe est d’ouvrir une main courante permettant
de tracer les actions et les évènements liés à l’incident. Chaque entrée de ce document Vous pouvez contacter le dispositif d’assistance aux victimes d’actes de
doit contenir, a minima : cybermalveillance : « cybermalveillance.gouv.fr »
▪ l’heure et la date de l’action ou de l’événement ;
Vous êtes un opérateur d’importance vitale (OIV) ?
▪ le nom de la personne à l’origine de cette action ou ayant informé sur
l’événement ; Retrouvez le formulaire de déclaration d’incident à adresser à l’ANSSI dans la rubrique «
Cybersécurité des OIV »
▪ la description de l’action ou de l’événement.
Consultez la note d’information « Les bons réflexes en cas d’intrusion sur un système Vous êtes un opérateur de services essentiels (OSE) ?
d’information » sur le site du CERT-FR.
Retrouvez le formulaire de déclaration d’incident à adresser à l’ANSSI dans la rubrique «
6.2.2 Piloter la gestion de la crise cyber Cybersécurité des OSE »
Les enjeux induits par une telle attaque vont bien au-delà de la perte de données ou du
paiement d’une rançon. C’est pourquoi il est recommandé de mettre en place une cellule
Ne pas payer la rançon
de crise au plus haut niveau de l’organisation, indépendante des groupes de travail
opérationnels qui auront des responsabilités de pilotage et d’exécution.
En cas de cyberincident généré par un rançongiciel, il est recommandé de ne jamais
Cette cellule aura pour objectif : payer la rançon. Son paiement ne garantit pas l’obtention d’un moyen de déchiffrement,
incite les cybercriminels à poursuivre leurs activités et entretient donc ce système
▪ de répondre aux enjeux de niveau stratégique de la crise en établissant frauduleux. De plus, le paiement de la rançon n’empêchera pas votre entité d’être à
nouveau la cible de cybercriminels.
(stratégies de communication interne comme externe, réunir les
éléments à fournir en vue de la judiciarisation. Par ailleurs, l’expérience montre que l’obtention de la clé de déchiffrement ne permet
pas toujours de reconstituer l’intégralité des fichiers chiffrés. En particulier, les fichiers
▪ de demander l’appui du délégué à la protection des données (DPO) modifiés par une application et chiffrés dans le même temps par le rançongiciel ont de
fortes chances d’être corrompus (exemple : un fichier de base de données).
▪ d’identifier les impacts de ces dysfonctionnements sur les activités de
l’organisation.
69
6.2.4 Trouver l’assistance technique ▪ la contrefaçon des marques (logos, signes, emblèmes, etc.) utilisées
lors de l’hameçonnage, sanctionnée par les articles L. 713-2 et L. 713-
Il est possible de faire appel à des prestataires spécialisés dans la réponse aux 3 du code de la propriété intellectuelle.
incidents de sécurité. Le Gouvernement a mis en place la plateforme
« cybermalveillance.gouv.fr » qui permet d’entrer en contact avec des prestataires de Il est donc recommandé de porter plainte directement auprès des services de police ou
proximité. de gendarmerie - y compris maritime - le plus proche de l’entreprise ou par courrier
adressé au Procureur de la République du tribunal judiciaire du ressort géographique
Retrouvez la liste des prestataires de réponse aux incidents ici. de l’entreprise.
6.2.5 Déposer plainte Les éléments suivants peuvent être demandés ou pourront être recherchés dans le
cadre de l’enquête. En fonction du profil de votre entité, ils peuvent diverger :
La cybercriminalité recouvre les infractions parmi lesquelles :
▪ le détail et la chronologie des événements relatant l’incident (la main
▪ les atteintes aux Systèmes de Traitement Automatisé de Données courante), notamment la date de la demande de rançon ;
(S.T.A.D.), autrement dit les cyberattaques, sanctionnées par les articles
▪ les emplacements des appareils potentiellement infectés ;
323-1 à 323-8 du code pénal, notamment l’accès frauduleux à un
système de traitement automatisé de données (article 323-1 du code ▪ les journaux de sécurité associés à l’incident ;
pénal) ; ▪ l’analyse technique de l’attaque ;
▪ les atteintes aux droits de la personne résultant des fichiers ou des ▪ la collecte d’échantillons de fichiers chiffrés ;
traitements informatiques, sanctionnées par les articles 226-16 à 226-
24 du code pénal, notamment la collecte de données à caractère ▪ la préservation des supports ou des machines (quand c’est possible)
personnel par un moyen frauduleux, déloyal ou illicite (article 226-18 sur lesquels le rançongiciel s’est exécuté (disque système) ;
du code pénal) ;
▪ les adresses de messagerie électronique et adresses de crypto-
▪ les atteintes aux personnes, sanctionnées notamment par les articles monnaie fournies par les cybercriminels ;
226-4-1 (usurpation d’identité) et 222-17 (menaces) du code pénal ;
▪ le texte de demande de rançon ;
▪ les escroqueries (telles que l’hameçonnage, « phishing »),
sanctionnées par les articles 313-1 du code pénal, ; ▪ les coordonnées des témoins de l’incident.
▪ la contrefaçon et l’usage frauduleux de moyens de paiement,

sanctionnés notamment par les articles L. 163-3 et L. 163-4 du code
monétaire et financier ;
70
Le dépôt de plainte doit être réalisé au nom de l’entité. Si l’opération est confiée à un
collaborateur, il sera nécessaire de préparer une délégation de pouvoir pour cette
personne, signée par un représentant légal de la personne morale afin de permettre le
dépôt de plainte.
Le ministère de l’Intérieur ouvrira une plateforme de plainte en ligne en matière

d’escroqueries sur Internet appelée « THESEE ».
Par ailleurs, en cas de fuite de données personnelles, il faut signaler la cyberattaque à

la Commission nationale de l’informatique et des libertés (CNIL) dans les 72h suivant
sa constatation, conformément à l’article 33 du règlement général sur la protection des
données (RGPD). Un formulaire est téléchargeable sur le site Internet de la CNIL.
Lorsque la vie privée d’une personne est grandement menacée, l’article 34 du RGPD
enjoint à l’entreprise d’alerter la personne concernée de la violation de ses données
personnelles.
71
Alors que les ports subissent leur transformation numérique, la cybersécurité doit être
considérée non seulement comme un facteur clé à prendre en compte pour suivre le
rythme des évolutions techniques, mais aussi comme un catalyseur de nouveaux
développements et d'automatisation. Compte tenu de la complexité du paysage
portuaire en termes de parties prenantes impliquées et de flux de communication et
d'interactions système, mais également en termes d'évolution de l'environnement
informatique et OT, il ne s'agit en aucun cas d'une tâche facile ou directe.
Comme document de référence des acteurs portuaires impliqués dans la cybersécurité

portuaire, ce guide concourt à leur sensibilisation et à insuffler une culture de
cybersécurité, tant au niveau des décideurs que des personnels. Les premiers
augmenteront probablement l'attention stratégique accordée aux risques de
cybersécurité qui se traduira par des investissements plus importants et davantage de
ressources pour les atténuer, tandis que les seconds sont essentiels pour assurer la
cybersécurité dans les opérations quotidiennes dans les ports. En effet, le secteur
maritime est historiquement très conscient des questions de sûreté et de sécurité, mais
la cybersécurité commence à peine être pleinement appréhendée par les acteurs qui
doivent par ailleurs être formés, se former, afin de garantir une bonne compréhension
des questions de cybersécurité et la capacité d’être vigilant aux enjeux de cybersécurité
dans les opérations quotidiennes.
CONCLUSION Ce guide permettra également de favoriser la collaboration entre les nombreuses parties
prenantes impliquées dans les opérations portuaires (autorités portuaires, exploitants
d’installations portuaires, opérateurs portuaires, société de pilotage, compagnies
maritimes, etc.) autour des enjeux de cybsersécurité.
Néanmoins, les personnes responsables de la cybersécurité portuaire, à savoir les

RSSI, DSI, responsables informatiques, etc. des autorités portuaires et des exploitants
d’installations portuaires sont encouragées à aller au-delà des bonnes pratiques
proposées dans le présent guide et à aborder également des sujets supplémentaires,
tels que :
72
• la prise en compte de la sécurité dès la conception dans les applications, d'autant plus que les
ports utilisent de nombreux systèmes, dont certains sont ouverts à des tiers pour l'échange de
données. Toute vulnérabilité sur ces systèmes peut être une porte pour compromettre les
systèmes portuaires ;
• le renforcement des capacités de détection et de réponse au niveau du port pour réagir le plus
rapidement possible à toute cyberattaque avant qu'elle n'affecte le fonctionnement, la sûreté
ou la sécurité du port. Les ports peuvent s'appuyer sur des mesures de détection simples telles
que des alertes lorsqu’une action spécifique est effectuée (tentative d'authentification sur un
actif très critique par exemple) ou rechercher des indicateurs de compromis (IOC), ou sur des
méthodes plus complètes, utilisant l'apprentissage automatique pour corréler les informations
et identifier les modèles compromettants. De telles initiatives ont déjà commencé à se
développer au sein de l'écosystème portuaire.
▪ l’amélioration du partage d'informations entre les opérateurs portuaires (autorités portuaires,

opérateurs de terminaux, etc.) et entre les opérateurs portuaires et les autres acteurs
maritimes, tels que les compagnies maritimes. Le partage d'informations sur les menaces, les
incidents et les bonnes pratiques est essentiel pour améliorer la posture globale de
cybersécurité du secteur et plusieurs modèles éprouvés, tels que les ISAC, peuvent être adaptés
pour fournir des résultats tangibles.
▪ le traitement de la cybersécurité dans la chaîne d'approvisionnement. Bien qu'une approche

holistique pour résoudre ce problème complexe ne soit pas une tâche facile, plusieurs bonnes
pratiques peuvent être adoptées ou étudiées, y compris la certification de cybersécurité des
composants critiques, des obligations de fournisseur bien définies pour l'ensemble du cycle de
vie des produits / services (ex. : gestion des vulnérabilités, correctifs), des dispositions
spécifiques pour la gestion de la chaîne d'approvisionnement, etc.
▪ l’intégration des interdépendances des risques de cybersécurité dans le processus global de

gestion des cyber risques pour tenir compte des interconnexions multiples et complexes des
ports avec d'autres secteurs.
▪ l’attention à porter sur le champ connexe du brouillage radio des bandes de fréquence.
73
PARTIE 2 :
CYBERSECURITE DU NAVIRE
74
1- LE NAVIRE DANS LE CYBER ESPACE

Début mars 2016, la société VERIZON spécialisée dans la conception, construction et analyse de réseaux fournit
son bilan 2016 concernant l’analyse de 100 000 incidents, incluant l’analyse de 2260 compromissions de données
dans 82 pays. Ce rapport illustre deux scénarios intéressants. L’un concerne la manipulation mystérieuse et
inexpliquée d’automates contrôlant le processus de traitement d’une station d'eau. L’autre décrit un acte de
malveillance contre une compagnie maritime. Les pirates se sont introduits par un « webshell » dans le réseau de
la compagnie et établissent la liste des marchandises précieuses transportés à bord de navire. Dès lors, il ne restait
plus qu’à envoyer une équipe à bord de navires pour récupérer les marchandises bien réelles. Le groupe criminel a
commis plusieurs erreurs, ce qui a permis à la société VERIZON d’identifier la menace. La compagnie maritime a
depuis renforcé ses mesures de sécurité, y compris l'exécution d'analyses de vulnérabilité de routine de ses
applications, pour faire face à de futures attaques numériques. Cette dernière illustration démontre que le monde
maritime n’est désormais plus totalement à l’abri d’un acte de malveillance via son système de gestion
d’information. Cette menace s’amplifiera-t-elle avec la généralisation de mise en place de mouchard sur les
conteneurs à forte valeur ajoutée (Société Traxens) ? Il est désormais important de prendre la mesure de cette
menace et y faire face.
1.1- LA NUMERISATION DU MONDE MARITIME

Avant toute chose, il apparait nécessaire de rappeler le contexte de ce type de transport. La mer est aujourd’hui un
maillon essentiel et incontournable pour nos échanges économiques. Chaque pays est désormais interdépendant
des échanges qui s’effectuent principalement par voie maritime. Près de 50 000 navires et un million de marins
participent à cet échange mondial. Dans ce contexte d’échanges, le domaine du numérique n’a pas cessé de croitre
depuis 25 ans à bord du navire de commerce. Le monde informatique est désormais omniprésent à bord. Cette
technologie régule les moyens de communication, la conduite et les moyens de gestion de la cargaison du navire.
Cette transformation technologique du navire de commerce en a modifié sa gestion. Désormais les échanges sont
quotidiens entre le navire, la compagnie, le port, l’agent maritime… Le navire ne bénéficie plus d’un niveau de
sécurité informatique de type « air wall » consistant à l’isoler physiquement de tout réseau informatique. Le navire
s’intègre naturellement dans cette toile planétaire du réseau des réseaux.
Notre navire est désormais devenu un ensemble complexe de systèmes industriels. La conduite de ces systèmes
n’est malheureusement pas exempte de défauts numériques. Les systèmes embarqués peuvent ainsi être la clé
d’entrée d’un acte de malveillance.
Ces simples constats démontrent que le navire peut être vulnérable à un acte de malveillance qui peut porter sur :
▪ l’atteinte à l’image de la compagnie du navire (acte d’intelligence économique offensive),

▪ le cyber espionnage commercial du navire (10% des attaques mondiales),
▪ le cyber sabotage du navire,
▪ la cybercriminalité (Deux tiers des attaques dans le monde).
Bien que les actes de malveillances restent à ce jour très limités contre un navire, il convient cependant de le
protéger. Protéger le navire consiste à préserver les moyens opérationnels et organisationnels de ce type de
transport. L’objectif final vise à garantir qu’aucun acte de malveillance ne puisse mettre en péril la conduite et
l’exploitation du navire.
75
1.2- VULNERABILITES SPECIFIQUES DU NAVIRE
Ces 3 dernières années, les systèmes de positionnement automatique et par satellite, le système de cartographie
ECDIS (Electronic Charts Display Information System), le système d’enregistrement des données (Voyage Data
Recorder) ont fait l’objet d’analyses. Ces dernières ont révélé plusieurs failles numériques à corriger. Plusieurs
équipements apparaissent ainsi sensibles à une cyber attaque. La description des éléments de la vulnérabilité du
navire est reprise au niveau de l’annexe N°1 du document.
76
2- ENQUETE SUR LA CYBERSECURITE DU NAVIRE
Pour mettre en place une démarche de sécurité des systèmes d’information du navire, il est important de pouvoir
identifier correctement les valeurs et les biens à protéger afin de lutter de manière efficace. Ceci implique une
approche rigoureuse en fonction du type de navire et de son exploitation.
A ce jour, seul le code international pour la sûreté des navires et des installations portuaires (code ISPS) définit une
recommandation en matière de gestion des procédés informatiques. Ce code précise que la vulnérabilité du
système informatique devrait faire l’objet d’une évaluation dans le cadre de la sûreté du navire afin de disposer de
mesures adaptées à une quelconque menace. Evaluer le niveau de menace, est par conséquent essentiel pour
mettre en place des outils de lutte efficace.
2.1- NATURE DE L’ENQUETE
La prise en compte des secteurs vitaux du navire et des mesures d’hygiène de base de la sécurité des systèmes
d’information du navire ont conduit à définir 9 rubriques (Annexe N°2) :
(1) Généralités sur la gestion SSI du navire,

(2) Localisation des systèmes d’information à bord du navire,
(3) Protections des échanges d’informations avec l’extérieur,
(4) Gestion des mots de passe,
(5) Mise à jour et changement de logiciels,
(6) Définitions des utilisateurs,
(7) Sauvegardes régulières desdonnées,
(8) Incidents SSI,
(9) Contrôle des activités SSI du navire
Ces 9 rubriques proposent un ensemble de 34 questions fermées qui permettent un traitement direct et
simple des réponses. Cette enquête a été conduite à bord de 68 navires sous pavillon français disposant
d’une certification en matière de sûreté. Ces navires représentent 26 compagnies françaises.
77
2.2- ANALYSE DE L’ENQUETE
GENERALITES SUR LA GESTION SSI DU NAVIRE :
Extrait de l’analyse :
D’une manière générale, cette enquête fait apparaitre que les compagnies françaises s’appuient d’une part sur un
service interne pour gérer le système d’information du navire et d’autre part disposent d’une politique compagnie en
matière de gestion du système d’information. Cependant, il convient de noter que cette politique est d’une manière
générale très incomplète au regard des deux éléments suivants :
▪ le responsable à bord du navire n’est définit que dans 62% des cas (commandant, chef
mécanicien, officier « électronicien », commissaire),
▪ la cartographie de la liste matérielle et logicielle du navire n’est répertoriée que dans 59% des cas,
Le point sensible de cette rubrique fait apparaitre que seulement 32% des navires sondés ont fait l’objet
d’une évaluation des risques du système d’information du navire. La nature de cette évaluation n’a pas
fait l’objet d’une analyse pour les 20 navires ayant répondu positivement à cette question.
Enfin, en complément, il convient de préciser que près de 79% des navires sondés réalisent une télémaintenance entre
la terre et le navire.
78
LOCALISATION DES SYSTEMES D’INFORMATION A BORD DU NAVIRE :
A de rares exceptions l’ensemble des systèmes d’information du navire sont localisés dans la zone d’accès restreinte du
navire : zone définie au niveau du plan de sûreté du navire.
PROTECTION DES ECHANGES D’INFORMATIONS AVEC L’EXTERIEUR :
Cette rubrique permet de distinguer 4 éléments :
▪ Le premier fait apparaitre qu’un tiers des navires sondés disposent d’une connexion internet sur
les systèmes d’information critiques (réseaux liés à la navigation, la propulsion, la gestion de
l’énergie du navire, la gestion de la cargaison). Ces systèmes vitaux disposent dans les deux tiers
des cas d’un moyen de connexion direct via un port USB (Questions C10/C11 n’apparaissant pas sur
le graphique).
▪ Le second point porte sur la gestion des analyses de données. 91% des navires sondés disposent
d’un logiciel antivirus permettant l’analyse de données réseaux et de données externes via un port
USB. Les données téléchargées ne sont pas exécutées automatiquement dans 84% des cas.
▪ Le troisième point confirme la présence de système WIFI à bord des navires (75% des navires
sondés). Ce système n’est malheureusement pas toujours sécurisé.
▪ Enfin le quatrième élément à retenir dans cette rubrique porte sur le fait que dans 69% des cas, il
est possible de relier un équipement personnel aux réseaux du navire.
79
HYGIENE INFORMATIQUE (MOTS DE PASSE, ACCES, LOGICIEL, SAUVEGARDE) :
Les rubriques 4 à 7 de l’enquête permettent d’illustrer la gestion des systèmes d’information du navire par
l’équipage. Les points positifs de cette rubrique portent sur l’utilisation quasiment systématique de mots de passe
d’accès à un réseau, la mise à jour régulière des logiciels du navire et l’archivage de données. Cette gestion est très
largement supportée par le service informatique de la compagnie. Cependant, en décryptant de plus près cette
partie, il apparait les points sensibles suivants :
▪ Gestion des mots de passe : la fréquence de son changement et son format ne sont pas adaptés.
Seulement dans 18% des cas, le mot de passe est changé avec une fréquence variant entre 6 mois
et 3 ans. Ces mots de passe ne sont complexes dans 47% des cas.
▪ Les logiciels utilisés à bord des navires sondés sont mis à jour régulièrement. Les mises à jour sur le
site officiel éditeur sont réalisées dans un cas sur deux.
▪ La gestion des droits d’accès à bord du navire apparait plus préoccupante et faiblement
maitrisée. Seulement dans 22% des cas, l’accès à Internet ou la consultation des messages
électroniques depuis un compte administrateur est impossible. De plus, près d’un navire sur deux
dispose d’un compte anonyme ayant accès aux réseaux.
▪ Enfin, l’archivage de données est réalisé suivant une fréquence variable en fonction des compagnies
: quotidienne à mensuelle. Il est à noter que l’utilisation d’une plateforme d’archivage de type «
cloud » reste très rare à ce jour : 10% des navires sondés déclarent utiliser ce mode d’archivage de
données navire.
80
INCIDENTS ET CONTROLE DES ACTIVITES SSI DU NAVIRE :
Cette dernière rubrique illustre le fait que très peu de navires témoignent d’avoir fait l’objet d’un acte de malveillance.
Seulement deux navires ont déclaré avoir eu à traiter la gestion d’un virus sur le réseau de l’informatique de gestion.
Néanmoins, cette information reste à titre d’information car un navire a pu faire l’objet d’une attaque sans en avoir eu
connaissance.
L’enseignement principal de cette rubrique porte sur le fait que les compagnies françaises semblent sensibilisées
à la gestion d’un acte de malveillance. Les mesures sont bien évidemment perfectibles. Néanmoins, l’idée de reprise
en main du navire est prise en considération. Ainsi :
▪ 62 % des navires sondés disposent d’un plan de continuité en cas de dégradation du système
d’information du navire.
▪ Dans 76 % des cas, il est nécessaire de rechercher la cause de l’incident.
Les axes d’amélioration sont à rechercher au niveau de la surveillance d’une activité anormale du
système de gestion d’information du navire et de la mise en place d’un système d’autocontrôle de
l’activité des systèmes d’informations à bord du navire. L’enquête fait apparaitre que ces contrôles sont
réalisés dans 60 % des cas. Le service informatique de la compagnie est généralement en charge de ces
contrôles ou audits de sécurité du système d’information du navire.
81
3- OUTILS DE PROTECTION DU NAVIRE

La sécurité du système d’information est fondée sur 3 principes : la confidentialité, l’intégrité et la disponibilité. Ces deux
derniers points sont des éléments clés pour la gestion du navire. Ainsi, quel que soit l’acte de malveillance délibéré, il
convient avant tout d’assurer la conduite du navire : assurer cette conduite par la définition des réseaux critiques
à bord du navire. Ces réseaux correspondent aux définitions suivantes :
▪ Réseaux critiques : les réseaux liés à la navigation, la propulsion, la gestion de l’énergie du navire, la
gestion des marchandises, la gestion des passagers et la gestion des alarmes devraient être classés «
critique »,
▪ Réseaux non contrôlés : ces réseaux ne font pas l’objet d’une surveillance de sécurité de la part du
navire ou de la compagnie (Réseau WIFI d’un navire à passagers). Il est néanmoins nécessaire de
vérifier le cloisonnement des différents réseaux du navire.
Les outils à mettre en œuvre dans le cadre de la protection de la sécurité de l’information à bord du navire sont de trois
ordres : les outils technologiques, les outils de gestion et la formation.
3.1- OUTILS TECHNOLOGIQUES
Les outils technologiques doivent répondre à 4 engagements en matière d’hygiène de l’informatique :
▪ gérer l’architecture réseau,

▪ gérer les authentifications et autorisations d’accès,
▪ gérer le changement et la mise à jour de la sécurité des systèmes d’information,
▪ durcir les configurations,
La protection des données à bord d’un navire de la marine marchande ne réclame pas une approche du même
niveau que celle requise par un navire de combat. La stratégie d’une cyber protection efficace du navire civil peut
donc faire appel à des moyens simples et peu onéreux présents sur le marché. La combinaison des outils
technologiques à mettre en place peut être la suivante :
▪ Antivirus : ce système ne correspond pas à la protection absolue. Néanmoins, ce système est un pré-
requis qui doit être mis à jour afin de disposer de la signature des « malware » identifiés.
▪ Pare-feu : cet outil permet d’autoriser uniquement les flux légitimes à transiter sur le réseau. La
première démarche d’un pirate numérique sera de détecter des cibles potentielles. Si toutes les
portes sont fermées, l’adresse ne sera pas traitée : l’ordinateur est donc invisible aux pirates.
82
▪ VPN (Virtual Private Network ou Réseau Privé Virtuel) : une connexion VPN est aussi appelée
connexion « tunnel ». Ce système crée une enveloppe de protection pour toutes les informations
transitant par son intermédiaire. En complément, le VPN masque l’adresse des ordinateurs
connectés et les remplacent par celles de serveurs intermédiaires.
▪ Anti-spyware : certains programmes espions ne sont pas considérés comme des virus. Ces derniers
passent donc au travers de l’antivirus. Il convient d’associer ces 2 types de programmes pour
protéger correctement le système. Un antivirus contient généralement un dispositif anti-spyware.
▪ Logiciel de chiffrement de messagerie : ce dispositif peu coûteux permet de rendre illisible le

message même s’il est intercepté.
▪ IDS (Intrusion Detection System) : ces outils permettent de détecter les attaques/intrusions du
réseau sur lequel il est placé. C'est un outil complémentaire aux firewall, scanneurs de failles et anti
virus. Une alarme remonte dès lors qu’une activité liée à un comportement ou une signature anormale
est détecté sur les réseaux et système.
▪ NAS (Network Attached Storage) : ce système permet d’archiver les données et de stocker sur un
volume centralisé pour des clients du réseau. L’archive des données permet d’envisager la reprise en
main du système en cas d’acte de malveillance.
3.2- OUTILS DE GESTION
Les outils de gestion à mettre en place devraient utiliser les règles de certification internationale. Pour un navire, ces
règles sont encadrées par les codes ISM (gestion de la sécurité) et ISPS (gestion de la sûreté). En référence à ces
deux codes, le manuel de gestion de la sécurité inclut des références à la sécurité des systèmes d'information à bord
du navire. Cependant, ces références sont généralement très basiques. Quant au plan de sûreté, il correspond à une
approche purement physique de la sécurité des systèmes d’information du bord. Le plan de sûreté du navire et le
manuel de la gestion de la sécurité sont les documents appropriés pour y inclure les références de gestion de la cyber
sécurité :
▪ la politique de cyber sécurité de la compagnie,

▪ la gestion d’incident issue d’un acte de malveillance : reprise du navire,
▪ l’autocontrôle ou audit du système d’information du navire,
▪ la sauvegarde des données,
▪ la gestion des transactions (échanges) entre l’opérateur et la machine, entre les interconnections
machine/machine et entre le navire et les intervenants extérieurs. Ce dernier aspect est essentiel
car un cyber attaquant s’appuiera plus facilement sur un intervenant extérieur pour contourner les
mesures mises en place par la compagnie.
83
4- LA NECESSITE D’ELEVER LE NIVEAU DE PROTECTION
Au fil des années, les navires sont devenus de plus en plus dépendants de leur système informatique embarqué.
Le recueil des éléments de cette étude permet d’établir trois enseignements :
▪ Le premier porte sur la nécessite de « sacraliser » les systèmes industriels à bord du navire.
▪ Le second enseignement porte sur le besoin d’élever le niveau de protection du système
d’information du navire en disposant d’outils systèmes adaptés à l’exploitation du navire et d’un
système de gestion permettant de faire face à une cyber attaque.
▪ Enfin le troisième enseignement concerne le besoin de disposer de marins sensibilisés à cette
menace. Ils pourront ainsi mieux détecter une incohérence système. Cette approche est désormais
possible au travers d’un guide conjointement rédigé par l’ANSSI et la DAM (« Guide des bonnes
pratiques de sécurité informatique à bord des navires » – Edition octobre 2016). La cause première
des attaques est liée à l’attaquant. Il est cependant à noter que le facteur humain joue la plupart
du temps un rôle clé dans le fait qu'une attaque réussisse ou non.
4.1- SACRALISER LE SYSTEME INDUSTRIEL DU NAVIRE
Fonctionnant auparavant en architecture fermée, les systèmes de contrôle et d’acquisition de données

(SCADA) utilisés à bord du navire sont désormais potentiellement connectés à internet. Ces systèmes
industriels resteront par définition basés sur des technologies qui n’évolueront que très peu après leurs
constructions. Ces systèmes sont par conséquent vulnérables. Il est donc fondamental de cloisonner ces
systèmes et d’éviter les interconnexions avec d’autres systèmes de gestion du navire. Les interconnexions
sont une source de vulnérabilités. Afin de réduire le risque d’un acte de malveillance sur le système
industriel du navire, il convient d’intégrer les notions suivantes (Guide « le risque industriel à bord du navire
» – Edition janvier 2017) :
▪ Evaluer le risque : cette analyse est le point de départ de toute démarche de cyber sécurité. Les
systèmes doivent faire l’objet d’une analyse méthodique. Cette évaluation sera revue
régulièrement,
▪ Cartographier l’installation du navire : cette illustration du système permet d’une part d’évaluer
rapidement l’impact d’un acte de malveillance et d’autre part de contribuer à la résolution des
incidents,
▪ Contrôler : Les autocontrôles ou audits internes permettent de vérifier régulièrement le système, le
niveau effectif de cyber sécurité du navire. Ce contrôle doit statuer également sur la gestion des
intervenants extérieurs,
▪ Surveillance du système : cette veille permet de prévenir la menace. Cette conduite doit s’assurer de
la surveillance d’une intrusion au niveau du système,
▪ Plan de continuité : Le plan d’urgence du navire et de la compagnie doivent répondre à l’ensemble
des scénarios d’incident entraînant un arrêt ou une dégradation d’une activité critique identifiée au
niveau de l’évaluation des risques.
▪ Télémaintenance : Des procédures claires et des moyens de protection doivent être mis en place
pour encadrer ce type d’opérations. La politique de la compagnie devrait définir le cadre de cette
maintenance à distance.
84
4.2- RECOMMANDATIONS AFIN D’ELEVER LE NIVEAU DE CYBERSECURITE DU NAVIRE
En février 2016, la Direction des Affaires Maritimes a transmis à l’Organisation Maritime Internationale (OMI)
une soumission traitant des éléments sur le cyber sécurité appliqués au navire. Cette soumission a permis de
participer activement aux travaux du comité MSC96. La circulaire MSC.1/Circ.1526 du 01 juin 2016 précise
désormais le besoin de s’appuyer sur les codes déjà établies par l’OMI pour gérer la cyber sécurité du navire. Elever
le niveau de cyber sécurité du navire consiste à appliquer un ensemble de règles qui conduise à intégrer la
gestion des systèmes industriels du navire, la gestion des outils technologiques, la formation des marins et des
procédures intégrées au niveau des codes déjà établis par l’OMI. Les recommandations suivantes peuvent servir de fil
conducteur aux compagnies pour élever ce niveau de protection. Les lignes directrices à suivre devraient
être les 7 suivantes :
Réaliser une évaluation de la sécurité des systèmes d’information du navire. Cette

évaluation peut s’appuyer sur les directives sur la cyber sécurité à b
g
g des États-Unis, la norme
NF EN 31010, le guide du DNVGL-RP-0496 ou autre. Cette évaluation devrait statuer au
moins sur :
la cartographie logicielle et matérielle du navire,

la définition des éléments sensibles du navire,
la gestion des vulnérabilités systèmes.
Rédiger une politique compagnie des systèmes d’information du navire.
Cette politique devrait définir au moins :
le responsable SSI du navire,

le contrôle des accès, les mesures de sécurité SI (hygiène),
le contrôle de la gestion des enregistrements, le contrôle « fort » de la
télémaintenance et des échanges d’informations,
les grandes lignes d'un plan garantissant la continuité opérationnelle du navire,
préparation aux situations dangereuses : cellule de crise, utilisation d’un SOC
(Security Operation Center),
Faire référence au paragraphe 2.3 de la circulaire de l’OMI
Appliquer des mesures d’hygiène en matière de gestion des systèmes d’information

du navire. Ces mesures doivent porter sur la gestion :
des droits d’accès, gestion des privilèges, archivage des données,

des mots de passe, sécurisation de la messagerie,
de formation et de campagne de sensibilisation,
du changement et mise à jour des logiciels du navire.
85
Appliquer un contrôle des échanges des systèmes d’information du navire. Il convient

de rédiger une procédure qui précise la définition d'accès aux équipements sensible du
navire :
Cette procédure définit le mode d'accès à ces systèmes (USB,CD, PC...),

Les agents autorisés à accéder à ces systèmes,
Les opérations qui nécessitent ces accès (maintenance, remplacement,
intégration),
La traçabilité de ces accès,
Limiter les connections WIFI lors des opérations sensibles du navire
(approches, gestion des opérations sensibles définis au niveau de la politique
SSI de la compagnie),
Proscrire les appareils sans fil ou utiliser un système de chiffrement (clavier,
souris… systèmes vulnérables par ondes radio (Keysniffer)),
Proscrire les outils informatiques non référencés et à plus forte raison
Mettre en place un plan de continuité de fonctionnement après un incident. Il

convient de rédiger une procédure qui précise les éléments suivants :
Définir les éléments sensibles (Résultat de l'évaluation SSI du navire),

Système permettant de prendre le relais du système hors service,
Description du mode opératoire de reprise du système hors service,
Isoler le système défectueux.
Définir une fréquence d’essais du plan de continuité,
Définir une fréquence de restauration des données archivées,
Contrôler et gérer les incidents de systèmes d’information du navire :
Réaliser un contrôle de l’activité des systèmes d’information du navire,

Assurer la surveillance,
Analyser des activités anormales sur le système de gestion du navire.
Appliquer les mesures de protections physiques des systèmes d’information du

navire. Il convient de privilégier les Zones d’Accès Restreinte du navire pour installer
les systèmes d’informations du navire.
86
4.3- METTRE EN ŒUVRE LES RECOMMANDATIONS
Les points critiques.
L’analyse des données de l’enquête fait apparaitre que les compagnies françaises ont pris en compte la gestion
de la sécurité des systèmes d’informations au travers d’une politique et d’une protection physique de ces systèmes.
En revanche, il apparait que l’évaluation des risques des systèmes d’informations reste marginale. Cette évaluation
est pourtant la base de toute action à mener dans le cadre de la mise en place de la cyber sécurité à bord du navire.
Cette action permet de réduire la criticité relative à la gestion des 4 domaines suivants :
▪ Mesures d’hygiène informatique à appliquer à bord du navire,

▪ Echanges avec les opérateurs extérieurs au navire,
▪ Continuité opérationnelle dunavire,
▪ Contrôle des activités malveillantes vers le navire
Il convient d’alerter les compagnies sur la nécessité de réaliser une évaluation de ces risques afin de renforcer
les contre-mesures pour faire face à un acte de malveillance numérique. Il est à noter que cette évaluation est
obligatoire pour le pavillon français en référence au règlement européen CE725/2004 article 3.5. Cet article
impose l’application de l’article B8.3 du code ISPS : Une SSA (ShipSecurity Assessment) devrait porter sur les
élémentsci-aprèsàbordouà l'intérieurdunavire:
.1-sûreté physique; .2-intégrité structurelle; .3-systèmes de protection individuelle; .4-procédures générales; .5-
systèmes de radio et télécommunications, y compris les systèmes et réseaux informatiques, .6- autres
zones qui, si elles subissent des dommages ou sont utilisées par un observateur illicite, présentent un risque
pour les personnes, les biens ou les opérations à bord du navire ou à l'intérieur d'une installation portuaire.
Cette évaluation est approuvée par l’autorité du pavillon dans le cadre de l’approbation du plan de sûreté du navire.
Page 16/37
La mise en place de la cyber sécurité à bord du navire.
La mise en place de mesures de sécurité des systèmes d’informations à bord du navire devrait s’appuyer sur le
principe de la roue de DEMING. La méthode comporte quatre étapes, chacune entraînant l'autre, et vise à établir un
cercle vertueux au travers des 4 actions suivantes :
▪ Plan : Préparer, planifier,

▪ Do : Développer, réaliser, mettre en œuvre,
▪ Check : Contrôler, vérifier,
▪ Act : Agir, ajuster, réagir.
En application de cette méthode et en référence au paragraphe 2.5 de la circulaire de l’OMI MSC.1/Circ.1526 du

01 juin 2016, les 7 recommandations permettant de renforcer le niveau de cyber sécurité du navire s’intègrent
naturellement dans la roue ci-dessous :
88
4.4- QUEL AVENIR POUR LA CYBERSECURITE DU NAVIRE
La problématique de la cyber sécurité du navire est posée.
Le navire est relié à la toile. Les systèmes embarqués peuvent comporter des défauts. La menace est relativement
faible à ce jour. Les systèmes technologiques et de gestion adaptés au navire existent. Le monde du « shipping »
a posé un premier jalon de directives. Tout est donc en place pour protéger les 50 000 navires. Comme nous l’avons
vu, l’acte de malveillance numérique à l’encontre du navire reste marginal à ce jour. Alors pourquoi protéger le navire
? La nécessité de mettre en place des mesures de sécurisation n'améliore pas la gestion de l’exploitation du navire
et oblige cependant à investir dans un domaine qui ne rapporte pas ! Le résultat de l’équation parait simple, à quoi
bon investir dans la cyber sécurité du navire.
Il faut cependant garder à l’esprit que la non prise en compte de cette menace à bord du navire pourrait être
catastrophique et coûter bien plus chère qu’un investissement dans ce domaine. Imaginez les conséquences d’une
cyber attaque sur un porte-conteneurs de 19 000 boîtes dont la valeur marchande peut atteindre 4 milliard de dollars
!
Quel que soit le mode de pensée, ce type de menace est désormais incontournable pour le monde maritime : plus les
navires se numérisent, plus ils sont exposés. Par conséquent, il est essentiel de sensibiliser les armateurs. Il est
essentiel également d’accompagner les armateurs pour concrétiser la mise en place d’outils de gestion, d’outils
technologiques et d’une formation adaptée. Cette enquête illustre les moyens disponibles pour répondre à ce risque
qui n’a rien de marginal.
89
5- ANNEXE N°1 – VULNERABILITES SPECIFIQUES DU NAVIRE
1- AIS (AUTOMATIC IDENTIFICATION SYSTEM)
L’AIS est initialement destiné à aider les navires à éviter les collisions, les
autorités portuaires et maritimes à surveiller la circulation et assurer un
meilleur contrôle de la mer. Les récepteurs AIS ont fait leur apparition dans les
passerelles depuis quelques années. Ils gèrent l’envoi et la réception des
positions GPS, vitesse, cap, type, lieu et heure d’arrivée des navires, vers et
depuis les navires environnants. L’AIS est un système d’échange de
données entre navires rendu obligatoire par l’Organisation Maritime Internationale (OMI) depuis 2004. Cependant,
la généralisation de l’AIS pose des problèmes de confidentialité liés à la sûreté : la sélection du navire par des pirates.
Les données transmises par l’AIS sont à la portée de tous, y compris de la communauté scientifique. L'installation
d'émission et de réception contient :
▪ un transpondeur (émission automatique déclenchée par une réception préalable) radio VHF avec
2 chaînes de réception et une d'émission ;
▪ une unité de contrôle et de visualisation (Minimum Keyboard Display MKD) incluant le processeur
de communication et les interfaces de sorties vers les autres systèmes (ECDIS, ARPA).
▪ un récepteur GPS donnant la position du navire et le temps UTC nécessaire à la synchronisation
des transmissions de données AIS ;
▪ un récepteur VHF ASN (Appel Sélectif Numérique) est parfois intégré au transpondeur et réglé sur
le canal 70 pour un échange de messages type texto.
Basé sur l’échange automatisé de communications par radio VHF entre navires d’une part, entre navires et centres
de surveillance maritime d’autre part, il permet une identification en temps réel des navires émetteurs. le système est
potentiellement vulnérable :
▪ Au brouillage,
▪ A l’envoi de fausses d’informations,
▪ A la transmission de virus informatiques (l’AIS est géré par un mini-ordinateur).
Par ailleurs, le système AIS peut aussi être utilisé pour diffuser de fausses informations, qu’il est possible de «
fabriquer » relativement facilement. L’objectif de ces faux messages (signal de détresse, fausse localisation de
navire…) est avant tout d’attirer l’attention et de piéger les navires visés. En effet, l’AIS génère une alerte dans ce cas
de figure.
90
2- ECDIS (ELECTRONIC CHART DISPLAY INFORMATION SYSTEM)
Un ECDIS est un « système de visualisation des

cartes électroniques et d'information » qui permet
de faire apparaître en temps réel la position du
navire sur une carte présentée sur un écran.
Ce système permet de se passer de la carte papier.
Il fournit au navigateur toutes les informations dont il peut avoir besoin pour faire route en sécurité : position
instantanée du navire (fonction GPS), lignes de sonde et hauts fonds, éphémérides nautiques (pour le soleil et
la lune notamment), feux côtiers et balises… Il est également couplé au système radar anticollision (ARPA). Le
système est conforme aux normes édictées par l'OMI.
Le système ECDIS a quelques vulnérabilités sous-jacentes de la sécurité des logiciels qui pourraient conduire à
des résultats désastreux pour les navires en mer. La base d’ECDIS est un système de cartographie de navigation
qui utilise un système informatique pour afficher numériquement les cartes marines ainsi que l'emplacement exact
et le suivi de son propre navire.
Les vulnérabilités de ce système peuvent porter :
▪ sur le vecteur de mise à jour du système : disques CD/DVD, par connexion internet/Inmarsat ou
support USB,
▪ la non mise à jour du système d’exploitation qui correspond à un poste de travail qui fonctionne
généralement sur un support de type Windows non mis à jour.
▪ Ce système est interconnecté aux capteurs du navire : radar, NAVTEX, systèmes d'identification
automatique (AIS), Vitesse Log, Sondeur, anémomètre. Ces capteurs sont souvent connectés au
réseau local à bord des navires (port série / NMEA aux adaptateurs LAN),
91
3- VDR / SVDR (VOYAGE DATA RECORDER)
Le système VDR ou SVDR correspond à

la « boîte noire aéronautique » du navire.
Il est obligatoire, depuis le 1er juillet 2002,
sur tous les navires à passagers et tous
les navires de charge d’une jauge
supérieure à 3000. L’objectif de cet
appareil embarqué est d'aider à analyser
les circonstances qui ont mené à un
accident par l'examen des données.
La configuration standard d'un VDR est constituée comme suit :
▪ Le DAU (Data Acquisition Unit) qui correspond au cœur de l’équipement marin : entrées VHF, entrée
Radar, disque dur ou Flash disk extractible, batterie de secours autonome, micros, capsule haute
résistance d’enregistrement des données, BAU (Bridge Alarm Unit), SIU (Sensor Interface Unit) qui
collecte toutes les autres données, les codifie et les retransmet au DAU,
▪ L’enregistrement de données : date et heure, position du navire, vitesse surface (loch), cap gyro,
compas magnétique, image radar, conversations passerelle, radio communications
(émission/réception), hauteur d'eau sous la quille (sondeur), alarmes principales (incendie,
machine, etc.), statut des ouvertures dans le bordé (ouvertes ou fermées), statut des portes
étanches et des portes coupe-feu (ouvertes/fermées), angle de barre, ordres et réponses machine
- (transmetteur d'ordre machine), propulseur, vitesse vraie ou relative du vent.
Tout comme le système ECDIS, les vulnérabilités de ce système peuvent porter :
▪ sur le vecteur de mise à jour du système : disques CD/DVD, par connexion internet/Inmarsat ou
support USB,
▪ la non mise à jour du système d’exploitation qui correspond à un poste de travail qui
fonctionne généralement sur un support de type Windows non mis à jour.
▪ Ce système est interconnecté aux capteurs du navire.
92
4- GNSS (GLOBAL NAVIGATION SATELLITE SYSTEM)
Le GPS est un système de géo-localisation de portée mondiale. Au travers d’un ensemble

de satellites et un récepteur GPS, il est possible de connaitre sa position (2D ou 3D), sa
vitesse, sa route, l'heure (UTC), etc. permettant ainsi de s'orienter sur mer, sur terre ou
dans les airs. Plusieurs systèmes GPS existent aujourd'hui dans le monde. Le système
offrant une couverture mondiale et le plus utilisé par le grand public est constitué de 24
satellites
situés à une altitude d'environ 20000 km évoluant sur 6 plans orbitaux quasi circulaires inclinés à 55° sur l'équateur.
Le principe du positionnement est basé sur des algorithmes de calcul de distance entre le récepteur GPS et
plusieurs satellites. La précision du GPS peut atteindre 10 mètres. Cette précision peut être altérée par des
perturbations atmosphériques.
Les signaux des satellites civils ne sont pas protégés par chiffrement. Il est donc possible de les intercepter et de les
dupliquer.
Les vulnérabilités du système peuvent être les suivantes :
▪ Faible puissance du signal - faiblesseinhérente,

▪ Possibilité d' interférenceinvolontaire,
▪ Possibilité de brouillageintentionnel,
▪ Défaillance technique de la constellation de satellites.
5- RADAR /ARPA
Le radar (RAdio Detection And Ranging) est un système utilisant les

ondes électromagnétiques afin de détecter la présence et déterminer
la position ainsi que la vitesse d'un objet, d’un obstacle. Les ondes
envoyées par l'émetteur sont réfléchies par la cible et les signaux de
retour (appelés écho radar ou écho-radar) sont captés et analysés
par le
récepteur. L'ARPA (Automatic Radar Plotting Aid) est l’équipement associé au radar de navigation permettant le suivi
des échos afin d'aider l’officier de quart dans le choix d'une manœuvre pour éviter la collision.
Les vulnérabilités du système pourraient porter sur :
▪ Possibilité d' interférenceinvolontaire,

▪ Possibilité de brouillageintentionnel,
▪ Possibilité d’usurpation d'identité en transformant le signal retour,
93
6- DP (POSITIONNEMENT DYNAMIQUE) DU NAVIRE
Le système de positionnement dynamique est

un système contrôlé par ordinateur qui permet
à un navire de maintenir sa position en utilisant
ses propres moyens de propulsion.
Ce système est composé de trois parties. Les

capteurs recueillent les informations, la console
informatique effectue les calculs et sert
d'interface pour l'opérateur et les actionneurs
agissent sur la consigne. C'est un système
automatiqueinformatisé.
Les vulnérabilités du système correspondent aux faiblesses de sécurité des capteurs tel qu’un GPS et à l’interface
homme/machine/machine qui utilise un système d’exploitation qui doit être mis à jour.
7- SYSTEME DE CONTROLE INDUSTRIEL (ICS , SCADA)

A bord du navire, le risque porte sur :
(1) l’ensemble des réseaux ICS (Industrial Control System) : gestion des capteurs et actionneurs,
(2) le SCADA (Supervisory Control and Data Acquisition) : l’ensemble des serveurs, poste de travail et
applications de l’ICS pour superviser le procédé industriel.
A bord du navire, les ICS sont omniprésents. Ces systèmes gèrent :

(1)- la plateforme navire (propulsion, énergie,
fluides…),
(2)- la conduite du navire,
(3)- les systèmes « métiers » du navire : sécurité et exploitation de la
cargaison.
D’une manière très générale, la problématique de la gestion de la sécurité des systèmes d’informations industriels
résident en deux points :
▪ La différence de durée de vie entre les outils du Scada (cycles de vie courts (3-5 ans)) et les réseaux
industriels (cycle de vie longs de 15-20 ans : équipements figés et difficiles à faire évoluer).
▪ La culture de programmation qui ne va pas dans le sens d’une approche préventive de la sécurité.
94
La vulnérabilité des systèmes industriels n’est plus à démontrer. Les APT (Advanced Persistant Threat) de
type STUXNET ont illustré leurs compétences en matière de sabotage. Les failles du système pourraient
porter sur 7 domaines :
(1) L’absence de développement sécurisé : développements internes, absence d’intégration de la sécurité,

session non verrouillée,
(2) Un faible niveau de protection des accès : contrôle d’accès très simple avec une gestion de l’utilisateur
et du mot de passe trop faibles ou inexistant, absence d’antivirus sur les postes de travail et serveurs, des
utilisateurs disposant de privilèges administrateur.
(3) L’absence de cloisonnement entre les systèmes d’information de gestion et les systèmes industriels
non sécurisé : ce principe permet de s’introduire via le système de gestion informatique dans le réseau
industriel. Cette faille est la cible de nombreuses attaques récentes. Ces ponts servent à remonter des
informations issues de la production directement dans les systèmes de pilotage. Cette méthode d’accès
permet à la fois le recueil d’information et le sabotage.
(4) Absence de supervision anormale du système,
(5) La non mise à jour et la faiblesse des protocoles de gestion courants (FTP, Telnet, VNC, SNMP…)
utilisés sans chiffrement qui ouvre l’accès à la récupération de login/mot de passe, à des connexions
illégitimes aux serveurs,
(6) L’utilisation croissante de systèmes informatiques standards non durcis : Ces produits sur étagères
permettent une réduction des coûts et d’interopérabilité. Ces systèmes sont par conséquent la proie de
logiciel malveillant.
(7) L’absence de contrôle des intervenants sur les systèmes industriels : la surveillance des sous-traitants
reste bien souvent insuffisante. Les conséquences de cette non-gestion peuvent être la perte de données,
la détérioration d’équipements, la mise en danger du navire de son équipage et de l’environnement.
95
8- SYNTHESE SUR LA VULNERABILITE DES SYSTEMES PRESENTS A BORD DU NAVIRE :
Vulnérabilités Mesures à adopter à bord du Outils de mise en œuvre de la mesure à

navire adopter par la compagnie
(1) Usurpation de signal Recouper les éléments de navigation au Système de gestion de la sécurité du navire (ISM) :
(ECDIS, GPS, RADAR, DP, AIS) niveau de la conduite du navire notamment la procédure de conduite du navire doit intégrer la possibilité d’un acte
lors de l’approche de la côte. de malveillance sur les outils de navigation.
(2) Absence de contrôle d’accès au Contrôler les interventions sur les Système de gestion de la sécurité du navire (ISM) : fiches R2, R4
système d’exploitation du système systèmes d’exploitation non verrouillés. La politique compagnie doit intégrer les relations avec les intervenants
(ECDIS, DP, SCADA) (interne/externe) sur les réseaux critiques de conduite du navire. Ces
relations devraient être formalisées au niveau des contrats liant les
différentes parties (Compagnie/Equipage/Prestataires de service).
Système de gestion de la sûreté du navire (ISPS) : fiche R7

Le contrôle d’accès au navire permet de gérer les accès aux réseaux
critiques du navire.
(3) Absence de cloisonnements des S’assurer de la possibilité d’isoler un Système de gestion de la sécurité du navire (ISM) : fiche R5
systèmes d’entrées/sorties système hors service et de reprendre la La mise en place d’un plan de continuité de fonctionnement suite à un
(DP, SCADA) main en mode manuel. incident doit permettre la reprise de fonctionnement en mode dégradé
du navire : système redondant ou reprise en mode manuel.
(4) Interférence volontaire du signal
(ECDIS, GPS, RADAR, AIS) Système de gestion de la sécurité du navire (ISM) : fiche R6
La surveillance des événements anormaux doit permettre d’alerter le
(5) Absence de supervision anormale navire. Ce type d’évènement est un indice permettant d’illustrer la
du système (VDR, ECDIS, DP, SCADA) préparation d’une cyber attaque.
(6) Non mise à jour du système Suivi des recommandations constructeur et Système de gestion de la sécurité du navire (ISM) : fiches R2, R3
d’exploitation gestion de la configuration des systèmes Le suivi de la mise à jour des systèmes d’exploitation via des « patch »
(ECDIS, VDR, DP, SCADA) d'exploitation et des logiciels à bord du systèmes doit permettre de disposer d’un système toujours à niveau.
navire.
5- ANNEXE N°2 – ENQUETE

ENQUETE : Cybersécurité à bord d’un navire battant pavillon français
Pour exécution : bureau de la réglementation et du contrôle de la sécurité et de la sûreté des navires, Centre de
Sécurité des Navires.
Résumé : Cette enquête a pour objectif de dresser un état des lieux du niveau de sécurité des systèmes
d’information présents à bord du navire (cybersécurité du navire). A l’issue, les éléments de cette étude
participeront à définir un standard sur la vulnérabilité du navire. Ces éléments pourraient être pris en compte dans
le cadre de la refonte réglementaire du Décret 2007-937 et du Décret 84-810.
Mots clés :
✓ Cartographie du système d’information : ensemble d’éléments décrivant le système d’information et comprenant
notamment la liste des ressources matérielles (modèles) et logicielles (versions) utilisées, l’architecture du réseau
sur lequel sont identifiés les points névralgiques (serveurs sensibles, connexions externes).
✓ Zone d’Accès Restreinte : zone identifiée au titre du plan de sûreté du navire.
✓ Service sensible : conduite du navire, maintenance du navire, conduite des opérations en relation avec la gestion
de la cargaison du navire (stabilité, transfert de cargaison, ventilation double coque, rejets…), messagerie
électronique du navire.
✓ Mot de passe complexe : mot composé d’au moins 8 caractères de types différents (majuscules, minuscules,
chiffres, caractères spéciaux).
✓ Administrateur réseau : compte privilégié permettant la réalisation d’opérations de configuration et de gestion
sur tout ou partie du système d’information : installation, gestion des configurations, maintenance, évolution du
SI, supervision ou gestion de la sécurité.
✓ Réseau WIFI sécurisé : lors de la première configuration l’identifiant et les mots de passe ont été modifiées,
protocole de chiffrement (WPA2 ou WPA-AES).
✓ Dispositif de protection du système d’information : dispositif technique mis en place en vue d’élever le niveau de
sécurité du système d’information. Il peut s’agir par exemple de solutions de type antivirus (logiciel destiné à
identifier, neutraliser et effacer des logiciels malveillants), de dispositifs de chiffrement des données (procédé
cryptographique grâce auquel on rend la compréhension d’un document impossible à toute personne qui ne
possède pas la clé de (dé)chiffrement), de pare-feu ou firewall (logiciel et/ou matériel permettant de protéger les
données d’un réseau en filtrant les entrées et en contrôlant les sorties selon des règles pré définies).
Documents de référence :
✓ Code international pour la sûreté des navires et des installations portuaires (ISPS) : B8.3.5 sur l’évaluation des
moyens de communication y compris les systèmes et réseaux informatiques.
✓ Instruction sûreté des navires en date du 26 janvier 2015 (Processus écoute client – système qualité DAM),
✓ Note technique sur la certification des navires en date du 25 février 2015,
Date de mise en application de l’enquête : 01 aout 2015

Durée de l’enquête : une année
Gestion du rapport d’enquête :
copie N°1 : Navire - document transmis au commandant du navire,
copie N°2 : Centre de Sécurité des Navires gestionnaire – dossier sûreté du navire,
copie N°3 : Mission sûreté des navires – dossier sûreté du navire,
97
REFERENTIEL ENQUETE « CYBER-SECURITE DU NAVIRE »

Identité du navire :
N° OMI du navire :
Lieu de l’enquête :
Date de l’enquête :
Membre(s) de l’équipe d’enquête :
Enquête réalisée en présence de :
Pratiques informatiques à bord du navire oui non Commentaire

A- Généralités :
A1 : La compagnie du navire dispose-t-elle d’une politique de
sécurité informatique ?
A2 : La compagnie du navire dispose-t-elle d’un service
informatique ?
A3 : Un responsable du système d’information est-il identifié à
bord du navire ?
A4 : Les systèmes d’information du navire ont-ils fait l’objet d’une
analyse de risques ?
A5 : Le navire dispose-t-il d’une cartographie de son système
d’information ?
A6 : Le système d’information du navire fait-il appel à une
télémaintenance ?
B- Localisation des réseaux informatiques :
B7 : Les éléments informatiques de gestion de la navigation
(pilotage du navire et moyens de communications) du navire sont-
ils en Zone d’Accès Restreinte ?
B8 : Les éléments informatiques de gestion de la plate-forme
navire (propulsion, électricité, maintenance, vie du bord,
formation) du navire sont-ils en ZAR ?
B9 : Les éléments informatiques de gestion de la cargaison du
navire (gestion stabilité du navire, transfert de la cargaison,
protection environnement) du navire sont-ils en ZAR ?
C- Protection des échanges informatiques avec l’extérieur :
C10 : Les réseaux associés à la navigation, à la maintenance et à la
propulsion du navire sont-ils connectés à Internet ?
C11 : Est-il possible de se connecter à ces réseaux via un port
USB ?
C12 : Le navire dispose t’il de dispositifs de protection du système
d’information ?
C13 : Les données introduites dans le système d’information
depuis les ports USB font-elles l’objet d’une analyse par un
dispositif de type antivirus?
C14 : Le navire dispose-t-il d’un réseau Wi-Fi ?
C15 : Si oui, le réseau Wi-Fi est-il sécurisé et par quel algorithme ?
C16 : Les fichiers téléchargés depuis Internet ou reçus par
messagerie électronique sont-ils ouverts ou exécutés
automatiquement ?
C17 : Les fichiers téléchargés depuis Internet ou reçus par la
messagerie électronique sont-ils toujours analysés par un
antivirus ?
98
C18 : La connexion d’équipements personnels au système

d’information du navire est-elle physiquement possible ? Est-elle
autorisée ?
Pratiques informatiques à bord du navire oui non Commentaire

D - Gestion des mots de passe :
D19 : Les accès aux services sensibles du navire sont-ils protégés
par un mot de passe ?
D20 : La fréquence de changement des mots de passe est-elle
définie ?
D21 : Les mots de passe sont-ils complexes ?
D22 : Les mots de passe sont-ils stockés dans un outil de stockage
informatique ?
E - Mise à jour régulière des logiciels :
E23 : Les logiciels utilisés par le navire sont-ils mis à jour
régulièrement ?
E24 : Les mises à jour sont-elles réalisées via les sites Internet
officiels des éditeurs ?
F - Définition des utilisateurs des moyens informatiques :
F25 : Existe-t-il une gestion centralisée des comptes d’utilisateur
et d’administrateur réseau à bord du navire ?
F26 : L’accès à Internet ou la consultation des messages
électroniques depuis un compte administrateur est-il possible ?
F27 : Existe-il des comptes anonymes ou génériques (stagiaire,
contact) ayant accès au réseau informatique du navire ?
G- Sauvegarde régulière des données informatiques :
G28 : La fréquence de sauvegarde des données informatiques est-
elle définie ?
G29 : La sauvegarde des données du navire est-elle réalisée sur
une plate-forme Internet « cloud » ?
H- Incident :
H30 : En cas d’incident, existe-t-il un plan de continuité de
l’activité en mode dégradé ?
H31 : Lorsqu’un incident survient, existe-t-il une obligation de
rechercher la cause de l’incident ?
H32 : Existe-t-il une surveillance des événements « anormaux »
affectant le système d’information (transfert massif de données,
tentative de connexion…) ?
H33 : Le navire a-t-il déjà subi les conséquences d’une attaque
informatique ?
I- Autres :
I34 : Est-ce que des contrôles ou vérifications liés à la sécurité des
systèmes d’information du navire sont réalisés ?
Avis complémentaire de l’équipe d’enquête sur la vulnérabilité de l’installation informatique du navire :
Pièce(s) jointe(s) :
99
5- ANNEXE N° 3 – GUIDES
Ces fiches comprennent les objectifs à mettre en place pour réduire le risque de cyber menace.
En complément, ces fiches font références aux outils sur lesquels la compagnie peut s’appuyer pour
réduire ce risque :
▪ Outils technologique,
▪ Outils de gestion : code ISM et ISPS
▪ Outils de l’ANSSI : http://www.ssi.gouv.fr/
Ces 7 fiches font références aux recommandations de l’enquête menée par la DAM et se basent
sur les directives de la circulaire de l’OMI MSC.1/Circ.1526 du 01 juin 2016 en matière de
prolongement des pratiques utilisées à bord du navire.
▪ R1 / Evaluation de la sécurité du système d’information (SSI) du navire
▪ R2 / Politique de sécurité du système d’information du navire
▪ R3 / Mesures d‘hygiène de la sécurité du système d’information du navire
▪ R4 / Mesures de protection des échanges d’information du navire avec l’extérieur
▪ R5 / Plan de continuité
▪ R6/ Gestions du contrôle et des incidents d’information du navire
▪ R7 / Protection physique des systèmes d’information du navire.

R1- EVALUATION (Confiance numérique du navire)
OBJECTIFS :
1. Déterminer le seuil acceptable de la menace du navire,

2. Définir le cadre de cette évaluation : prise en charge du navire à l’issue d’une
construction, changement de pavillon, gestion de la maintenance du navire en matière de
SSI, gestion du passage en cale sèche du navire, gestion d’une intervention à bord sur les
réseaux du navire,
3. Définir les critères d’évaluation :
- Outils de base : cartographie (réseaux privés, réseaux non contrôlés) réseaux critiques,
fournisseurs d’équipements, type de menace,
- Moyens de communication : satellite, TOIP, réseau sans fil, LAN,
- Propulsion/navigation : positionnement (AIS,GPS…), ECDIS, DP, Manœuvre, SMDSM,
Radar, VDR,
- Contrôle accès du navire : CCTV, BNWAS, SSAS,
- Gestion cargaison : CCR, stabilité, pompes…
- Gestion passagers : contrôle, réseaux privés, divertissement…
- Eléments transversaux : routeur, commutateur, pare-feu, systèmes d’exploitation,
4. Statuer sur la vulnérabilité du navire : résultat, seuil de probabilité d’accident,
système clé du navire, gestion des accès physique et informatique, faiblesse,
identification des zones à risques en matérialisant l’impact d’une menace, système
d’amélioration continue, conclusions d’ordres politiques et techniques SSI.
DOCUMENT DE REFERENCE : CODE ISPS

Cette évaluation du système de sécurité d’information du navire est un document sensible qui
doit être intégré au niveau du plan de sûreté du navire et ceci en référence au code ISPS B 8.3.
Ces données doivent être classées « confidentielle sûreté navire » : pas de diffusion.
CONTROLE DE L’APPLICATION :
Le contrôle de cette évaluation est approuvé par le pavillon dans le cadre de l’approbation
du plan de sûreté du navire en référence au règlement CE 725/2004.
L’évaluation de la cyber sécurité du navire devra évoluer afin d’avoir toujours un seuil
permettant de faire face efficacement à un acte de malveillance. Ce seuil doit répondre au besoin
de continuité opérationnelle du navire. Le point clé reste la résilience du système au fil du temps.
SUPPORTS D’AIDE DOCUMENTAIRE OU TECHNIQUE :

1. Directives sur la cyber sécurité à bord des navires de BIMCO.
2. Norme ISO/CEI 27001 sur les Technologies de l'information.
3. NIST du National Institute of Standards and Technology des États Unis.
4. Norme NF EN 31010 (gestion des risques, techniques d’évaluation des risques),
5. Guide de société de classification : DNVGL – RP- 0496,
6. Méthode de travail : EBIOS, MEHARI , OCTAVE …
PRINCIPE :
Besoin d’une approche globale, afin que le dispositif ne présente pas de possibilités de
contournement.
R2- POLITIQUE (Gouvernance)
OBJECTIFS :
1. Validation par le haut niveau de direction,

2. Définition de l’autorité SSI de la compagnie et à bord du navire,
3. Définition de la politique de formation SSI,
4. Définition de la notion de télémaintenance, du contrôle des accès, de la gestion des
enregistrements à bord du navire,
5. Définition de la gestion de secours du SSI à bord du navire,
6. Imposer la réalisation d’une évaluation des risques SSI à bord du navire,
7. Imposer la mise en place d’une cartographie du système d’information à bord du navire,
8. Imposer des mesures minimales en matière d’hygiène informatique à bord du navire,
DOCUMENT DE REFERENCE : CODE ISM

Le système de gestion de la sécurité du navire permet d’intégrer la politique SSI de la
compagnie : Code ISM chapitre 2 « POLITIQUE EN MATIÈRE DE SÉCURITÉ ET DE PROTECTION
DE L'ENVIRONNEMENT ».
La vérification de l’application par la compagnie et le navire de cette politique s’effectue lors des
audits interne et externe du siège de la compagnie.
1. ANSSI : Mémento sur l’élaboration de Politiques de Sécurité des Systèmes d'Information
(PSSI -version 03 mars 2004),
2. ANSSI : Guide pour l'élaboration d'une politique de sécurité de système d'information
(Section 1 à 4) (Version 03 mars 2004),
3. ANSSI : Élaboration de tableaux de bord SSI (Version 05 février 2004),
Le guide PSSI a pour objectif de fournir un support aux responsables SSI pour élaborer une
politique de sécurité du ou des systèmes d’information (PSSI) au sein de leur organisme. Il est
décomposé en quatre sections : (1) l’introduction, ce présent document, permet de situer la place
de la PSSI dans le référentiel normatif de la SSI au sein de l’organisme et de préciser les bases de
légitimité sur lesquelles elle s’appuie ; (2) la méthodologie présente, de façon détaillée, la
conduite de projet d’élaboration d’une PSSI, ainsi que des recommandations pour la construction
des règles de sécurité ; (3) le référentiel de principes de sécurité ; (4) une liste de documents de
références de la SSI (critères d’évaluation, textes législatifs, normes, codes d’éthiques, notes
complémentaires…).
PRINCIPES :
1. La politique de sécurité doit être apparente : l’existence de mesures de protection
doit être perçue sans pour autant être connue de façon détaillée.
2. La politique compagnie doit permettre de répondre au principe d’un SOC (Security
Operation Center). Ce format permet de répondre à la détection, à la prévention, à l’alerte
et à l’aide à la décision pour faire face à un acte de malveillance.
3. Enfin, la cyber sécurité du navire sera assurée si l’action se réalise au niveau
organisationnel en mettant en place des normes.
R3 - HYGIENE (Gestion des accès et des fuites de données)
OBJECTIFS :
1. Mot de passe :
- Définitions : structures, stockage, changement de fréquence,
- Protection des services sensibles du navire,
2. Logiciel : gestion de la mise à jour, autorité de mis à mise jour, maintient du niveau SSI
suffisant,
3. Accès au moyens SSI du navire :
- Gestion des comptes SI du navire par la compagnie,
- Gestion des comptes SI du navire à bord du navire,
- Gestion des comptes anonymes ou génériques ayant accès au navire,
4. Sauvegardes des données : fréquence de sauvegarde des données du navire, dispositif de
sauvegarde, support de secours,
5. Définir le rôle de chacun à bord en matière de SSI : administrateur navire, sensibilisation,

Le système de gestion de la sécurité du navire permet d’intégrer la gestion d’une hygiène des
systèmes d’information du navire au regard de deux chapitres du code ISM :
1. Code ISM chapitre 6 « RESSOURCES ET PERSONNEL » : dispositions en matière de
formation SSI des marins (sensibilisation et administration),
2. Code ISM chapitre 7 « ÉTABLISSEMENT DE PLANS POUR LES OPÉRATIONS A BORD» :
disposer d’une procédure traitant des moyens de gestions SSI du navire
audits interne siège et navire dans le cadre du code ISM,

1. ANSSI : Guide des bonnes pratiques de l’informatique (12 règles) : sensibilisation des
marins, (Version 1.1 mars 2015),
2. ANSSI : Guide d’hygiène de l’informatique : sensibilisation SSI compagnie (Version 1.0
janvier 2013),
3. ANSSI : Outils mis en ligne :
- Gestion du mot de passe : note technique du 05 juin 2012,
- Gestion du firewall : technique du 30 mars 2013,
- Mécanismes de cryptographie B1 et B2 du 21 février 2014,
- Durcissement des postes de travail : note technique du 16 septembre 2015,
- Profil de protection d’une passerelle VPN : 13 juillet 2015,
4. Solutions techniques : Système de sauvegarde NAS, activation et paramétrage pare-feu,
technologie VPN, antispyware, technologie « sandbox », cryptographie messagerie,
PRINCIPE :
Principe de responsabilisation des utilisateurs ou gérer le « besoin d’en connaître » de chaque
utilisateur, interne ou externe.
R4 - ECHANGES AVEC L’EXTERIEUR (Sécurisation des transactions)
OBJECTIFS :
1. Réseau WIFI :
- Mesures de protection des données WIFI : cloisonner les réseaux, système de cryptage,,
- Limiter les échanges lors des opérations sensibles du navire (approches portuaires,
gestion de la cargaison…),
2. Connections aux réseaux : cadrer les mesures de protections lors de la connections de
dispositifs USB, PC…
3. Proscrire les systèmes sans fil (vulnérabilité radio de type « keySniffer),
4. Eviter les outils informatiques non référencés (Shadows IT ) : gestion des accès,
5. Connections aux systèmes industriels du navire :
- Gestion des ports de connections,
- Traçabilité en matière de connections,
- Télémaintenance : activation des ports,

Le système de gestion de la sécurité du navire permet d’intégrer la gestion des échanges avec
l’extérieur au regard du Code ISM chapitre 7 « ÉTABLISSEMENT DE PLANS POUR LES
OPÉRATIONS A BORD» : disposer d’une procédure traitant des échanges SSI du navire.
audits internes siège et navire dans le cadre du code ISM,
1. ANSSI : Recommandations de sécurité relatives aux réseaux WIFI : note technique du 09
septembre 2013,
2. ANSSI : Recommandations de sécurité relatives à la téléassistance : note technique du 07
septembre 2012
3. ANSSI : La cyber sécurité des systèmes industriel : guide de janvier 2014,
4. Solutions technique : cryptage WIFI, séparation des réseaux, mécanismes basic
d’authentification, désactivation port USB, gestion Business2Business, activation et
paramétrage pare-feu poste industriel,
5. Norme IEC 61162-460
6. Mise en place d’une imprimante dédiée aux intervenants extérieurs (pavillon, RO, PSCO)
PRINCIPES :
1. Principe d’autoprotection, ou « tout ce qui est extérieur ne peut être considéré comme sûr ».
2. Principe d’identification : limiter, surveiller les connections vers l’extérieur, bloquer toutes les
communications non nécessaires, authentifier les intervenants extérieurs.
3. Une attention particulière doit être portée aux systèmes sans fil et aux équipements
mobiles.
4. Un navire utilisant la télémaintenance doit renforcer la surveillance de ses accès qui
nécessitent des privilèges élevés. Les contrats avec les sociétés de services doivent
contenir des engagements de responsabilité.
R5- PLAN D’URGENCE (Continuité de service)
OBJECTIF :
1. Mise en place d’un plan de continuité de fonctionnement suite à un

incident (fonctionnement en mode dégradé du navire) :
- Procédure confidentielle uniquement sous format papier,

- Procédure décrivant le mode de reprise de gestion manuel des éléments sensibles,
- Procédure intégrant la perte des liaisons de communication,
- Procédure décrivant l’arrêt d’un appareil infecté : isoler la machine infectée (Eviter la
prolifération du malware),
- Procédure précisant les coordonnées SI compagnie 24/24,
- Mise en œuvre de cette procédure annuellement au travers d’un exercice,
- Mise à jour du document,
- Réaliser une copie physique du disque, réinstaller le logiciel sein, changement des mots de
passes.
Le système de gestion de la sécurité du navire permet d’intégrer la gestion d’un incident SSI du
navire au regard de deux chapitre du code ISM :
1. Code ISM chapitre 8 « PRÉPARATION AUX SITUATIONS D'URGENCE» : mise en place d’un
plan de continuité de fonctionnement après un incident,
2. Code ISM chapitre 9 « NOTIFICATION ET ANALYSE DES IRRÉGULARITES, DES ACCIDENTS
ET DES INCIDENTS POTENTIELLEMENT DANGEREUX» : report et surveillance du SSI du
navire .
audits interne siège et navire dans le cadre du code ISM,
1. Solution documentaire : plan d’urgence compagnie et navire ; gestion de la cellule de

crise de la compagnie,
2. Application de guide de référence SOC (Security Operation Center),
3. Gestion des incidents de sécurité : norme ISO/CEI 27035,
4. Solution technique : sauvegarde des données afin d’éviter les « ransomwares » (fiche R3).
PRINCIPE :
Principe de confinement, ou « il faut toujours pouvoir isoler un membre infecté ». Ceci est
particulièrement utile en cas d’attaque par de ver ou virus. A titre d’exemple, l’ application de ce
principe correspond à la mise en place de « sas de décontamination ». Ce sas peut lui-même
constituer un sous-réseau, où une politique de sécurité particulière, moins stricte que celle du
réseau interne, est mise en oeuvre, et sur lequel on peut placer des machines dédiées (serveurs
Web, antivirus, de messagerie), mais aussi des outils de détection d’intrusion...
R6 – CONTROLE ET INCIDENT (Tracabilité et audit)
OBJECTIFS :
1. S’assurer de la bonne application de la politique SSI de la compagnie,

2. L’audit permettant de vérifier la conformité de la compagnie doit être réalisé par du
personnel qualifié,
3. La fréquence de ces audits internes doit être formalisée,
4. La réalisation de cet audit SSI doit pouvoir être tracée par l’intermédiaire d’un rapport,
5. Détection d’un incident SSI,
6. Report de l’incident SSI : enregistrement, traçabilité de l’incident, recueil des preuves,
7. Correction de l’incident : identifier les causes, plan d’action,
8. Retour d’expérience du SSI : analyse, protection, revue de système, partage d’expérience.

Le système de gestion de la sécurité du navire permet de cadrer la gestion d’un audit interne SI
au regard du Code ISM chapitre 12 « VÉRIFICATION, EXAMEN ET ÉVALUATION EFFECTUÉS PAR
LA COMPAGNIE» : la procédure audit devrait être complétée afin de disposer d’éléments
complémentaires sur la gestion du système d’information de la sécurité du navire
audits internes siège et navire dans le cadre du code ISM,
1. Solutions techniques : surveillance de port (Détection intrusion réseau IDS),

2. Solutions techniques : programmer correctement les pare-feux. Ils doivent filtrer tout le
trafic non autorisé. Il devrait être doté d’un mécanisme de report d’information lors d’un
constat anormal. Ces systèmes doivent être testés. Le trafic anormal doit être analysé par
le responsable du navire.
3. Application de guide de référence SOC (Security Operation Center),
PRINCIPES :
1. Vérification régulière de la mise en œuvre de la sécurité, ou « mieux vaut prévenir

que guérir ». L’application de ce principe et la mise en œuvre des mesures de protection
qui en résultent seront vérifiées au départ, puis périodiquement, pour éviter des dérives,
peut-être non-intentionnelles, mais bien réelles.
2. Mise en place d’une défense en profondeur, ou « plusieurs lignes de défense valent
mieux qu’une ». Partant du constat que, dans les systèmes complexes, il faut toujours
prévoir plusieurs lignes de défense, des mesures de protections bien distinctes, en
particulier fonctionnellement, seront appliquées sur différentes composantes, de
manière à ce qu’il n’y ait pas une ligne de défense unique.
R7- PROTECTION PHYSIQUE DES SI (Confidentialité)
OBJECTIFS :
1. Protéger en Zone d’Accès Restreinte les systèmes de gestion de navigation du navire,

2. Protéger en Zone d’Accès Restreinte les systèmes de gestion de la plateforme navire :
propulsion, production d’énergie,
3. Protéger en Zone d’Accès Restreinte les systèmes de gestion de la cargaison ou de la
gestion des passagers du navire,
DOCUMENT DE REFERENCE : CODE ISPS

La gestion de ces accès est précisée au niveau du plan de sûreté du navire et ceci en référence
au code ISPS A 9.2 et 9.2.4. La description des mesures de protection de ces accès est
confidentielle en référence à l’article A 9.8.1 du code ISPS.
La vérification de la gestion de cette évaluation s’effectue lors de l’approbation du plan de sûreté
du navire et lors des audits de certification du navire,
1. Plan de sûreté du navire : description, localisation des systèmes d’information,

cartographie SSI,
2. Redondance physique des équipements critiques définit au niveau de l’évaluation,
PRINCIPES :
1. La sécurité physique est un aspect fondamental de tout type de sécurité pour garantir
l’intégrité, la confidentialité et la disponibilité des informations. Si quelqu’un réussit à
accéder au système informatique du navire, il peut l’endommager ou même le détruire.
2. La sécurité physique consiste en l’usage de barrières, alarmes, serrures et autres
contrôles physiques permettant de conditionner l’accès physique aux locaux, aux
ordinateurs et aux équipements. Ces mesures sont nécessaires pour protéger les
ordinateurs, leur contenu et les autres ressources matérielles contre l’espionnage, le vol
et la destruction accidentelle ou intentionnelle.
3. Nécessité d’une gestion dynamique du risque. Le risque doit être géré de façon
continue et dynamique dans un monde qui change très vite dans le domaine des
technologies de l’information et de la communication. Pour une entité donnée, il faut, à
tout moment, être informé des menaces les plus probables et des vulnérabilités publiées
et préparer un certain nombre de plans : réactions, de continuité des opérations...
applicables en cas d’incident, ou en cas d’attaque. Au-delà de ces plans, il peut s’avérer
judicieux de faire appel, pour la gestion des incidents informatiques, à des spécialistes
capables de caractériser l’attaque, d’évaluer les dégâts et de prendre des mesures de
confinement et de réaction.
107
PARTIE 3 :
BONNES PRATIQUES SECURITAIRES
108
1- SUR LE NAVIRE
1.1- Bien choisir ses mots de passe

Un mot de passe de qualité possède au moins 8 caractères de types différents, n’a pas
de lien avec l’utilisateur et ne figure pas dans le dictionnaire. Définissez des mots
de passe différents pour des systèmes ou des services sensibles distincts. N’enregistrez
pas vos mots de passe dans un fichier ou dans un navigateur Internet, notamment en
cas d’utilisation d’un équipement public ou partagé.
Le mot de passe est le moyen le plus fréquemment utilisé pour s’authentifier sur un
équipement numérique et, ainsi, accéder à ses données ou commander des actions. Afin de
bien protéger vos informations ou les équipements de bord, la qualité du mot de passe est
essentielle.
Un mot de passe fort est un mot de passe difficile à retrouver avec des outils spécialisés
mais facile à retenir. Un mot de passe fort doit avoir au moins 8 caractères (idéalement 12
caractères), dont au moins une majuscule, une minuscule, un chiffre et un caractère spécial.
Choisissez des mots de passe n’ayant aucun lien avec vous (nom, date de naissance…) et ne
figurant pas dans le dictionnaire 1.
Utilisez des mots de passe différents pour vous authentifier auprès de systèmes ou de
services sensibles distincts. En particulier, les mots de passe protégeant des usages privés
(messagerie personnelle, site Web marchand…) ne doivent jamais être réutilisés dans un
contexte professionnel.
Lorsqu’un compte est partagé par plusieurs utilisateurs, son mot de passe doit être
renouvelé à chaque départ ou réaffectation d’un utilisateur.
Ne stockez pas vos mots de passe dans des fichiers bureautiques. Si vous souhaitez sau-
vegarder vos mots de passe, utilisez une solution sécurisée dédiée.
109
À bord :
• déterminez des règles pour le format des mots de passe (longueur, complexité) et
faites les respecter ;
• modifiez systématiquement et au plus tôt les mots de passe par défaut lorsque les
systèmes en contiennent ;
• ne conservez pas les mots de passe dans des fichiers ou sur des post-it ;
• lorsque vous naviguez sur Internet, ne préenregistrez pas vos mots de passe dans
les navigateurs, notamment en cas d’utilisation d’un équipement public ou
partagé.
Enfin, au-delà de l’utilisation d’un mot de passe fort, pensez toujours à verrouiller
votre session, même lors d’une absence courte, afin d’empêcher tout accès non
autorisé à votre poste.
1.2- Utiliser sa messagerie avec vigilance

Vérifiez l’identité de l’expéditeur. N’ouvrez pas de pièce jointe et ne cliquez pas sur
un lien Internet provenant d’un expéditeur suspect ou inconnu.
Les courriels et leurs pièces jointes jouent un rôle central dans la réalisation des
attaques informatiques les plus courantes (courriels frauduleux, pièces jointes piégées,
etc.). Un courriel malveillant peut porter atteinte au poste utilisé pour le consulter mais
également à l’ensemble du système d’information auquel ce poste est connecté. C’est
ainsi potentiellement toute l’informatique à bord qui peut être affectée.
Lorsque vous recevez des courriels, prenez les précautions suivantes :

• l’identité d’un expéditeur n’étant en rien garantie, vérifiez la cohérence entre
l’expé- diteur présumé et le contenu du message et vérifiez son identité. En cas de
doute, n’hésitez pas à contacter directement l’émetteur du mail ;
• n’ouvrez pas les pièces jointes provenant de destinataires inconnus ou dont le titre
ou le format paraissent incohérents avec les fichiers que vous envoient habituelle-
ment vos contacts ;
• ne répondez jamais par courriel à une demande d’informations personnelles ou
110
confidentielles (ex : code confidentiel, numéro de carte bancaire). En effet, des cour-
riels usurpent les couleurs d’institutions dans le but de récupérer vos données. Il
s’agit d’attaques par hameçonnage (ou « phishing ») ;
• n’ouvrez pas et ne relayez pas de messages de types chaînes de lettre, appels à la
solidarité, alertes virales, etc. ;
• désactivez l’ouverture automatique des documents téléchargés.
1.3- Séparer les usages personnels et professionnels

Ne transférez pas vos messages électroniques professionnels vers une messagerie per-
sonnelle. N’utilisez pas de moyens personnels de stockage (clé USB, disque dur
externe, cloud…) pour enregistrer vos données professionnelles.
Les usages et les mesures de sécurité sont différents sur les équipements informatiques
personnels et professionnels (ordinateurs, smartphones…).
L’utilisation d’équipements personnels dans un contexte professionnel peut
porter atteinte à la sécurité des données du navire et de l’entreprise (vol ou perte des
appareils, intrusion, manque de contrôle sur l’utilisation des appareils, fuite de
données lors du départ d’un collaborateur).
Il est donc recommandé de séparer vos usages personnels et vos usages professionnels :
• ne faites pas suivre vos messages électroniques professionnels sur des services de
messagerie utilisés à titre personnel ;
• n’hébergez pas de données professionnelles sur vos équipements personnels (clé
USB, smartphone…) ou sur des moyens personnels de stockage en ligne ;
• ne connectez pas de supports amovibles personnels (clé USB, disques durs ex-
ternes…) aux ordinateurs du navire ou de l’entreprise.
1.4- Être prudent sur internet

Réseaux sociaux, forums, formulaires, … : veillez à limiter la diffusion de vos
informations personnelles via Internet. Avant un paiement en ligne, vérifiez
111
l’authenticité et le niveau de sécurité du site Internet.

Prenez soin de vos informations personnelles, professionnelles et de votre identité
numérique.
Les données que vous laissez sur Internet vous échappent instantanément. Des per-
sonnes malveillantes peuvent récolter vos informations personnelles à votre insu, afin
par exemple de deviner vos mots de passe, vous tendre des pièges à l’aide de courriers
électroniques personnalisés, d’accéder à votre système informatique, etc.
C’est pourquoi la plus grande prudence est conseillée dans la diffusion de vos
informations personnelles sur Internet :
• soyez vigilant vis-à-vis des formulaires que vous êtes amené à remplir, en ne trans-
mettant que les informations strictement nécessaires et en pensant à décocher les
cases qui autoriseraient le site à conserver ou à partager vos données ;
• ne donnez accès qu’à un minimum d’informations professionnelles sur les réseaux
sociaux, et soyez vigilant lors de vos interactions avec les autres utilisateurs ;
• pensez à vérifier régulièrement vos paramètres de sécurité et de confidentialité
(voir le Guide de la CNIL sur la sécurité des données personnelles ) ;
• utilisez plusieurs adresses électroniques dédiées à vos différentes activités sur Inter-
net.
Soyez vigilant lors d’un paiement sur Internet.

Lorsque vous réalisez vos achats sur Internet, vos coordonnées bancaires sont suscep-
tibles d’être interceptées par des attaquants directement sur votre ordinateur.
C’est pourquoi, avant d’effectuer un paiement en ligne, il est nécessaire de
procéder à certaines vérifications relatives au site Internet :
• contrôlez la présence d’un cadenas dans la barre d’adresse (remarque : ce cadenas
n’est pas visible sur tous les navigateurs) ;
• assurez-vous que l’adresse du site Internet commence par « https:// » ;
• vérifiez l’exactitude de l’adresse du site Internet en prenant garde notamment aux
fautes d’orthographe.
De manière générale, ne transmettez jamais le code confidentiel à 4 chiffres de votre
carte bancaire et n’hésitez pas à consulter votre banque pour connaître les moyens
112
sécurisés qu’elle propose.
1.5- Sauvegarder régulièrement ses données

Anticipez une panne, une perte ou un vol, en sauvegardant régulièrement vos données,
au moyen de supports externes dédiés, conservés en lieu sûr.
Si vous téléchargez du contenu sur des sites Internet dont la confiance n’est pas assurée,
vous prenez le risque d’enregistrer sur votre ordinateur des programmes contenant des
virus ou des chevaux de Troie . Cela peut permettre à des personnes malveillantes de
prendre le contrôle à distance de votre machine et, potentiellement, des systèmes
informatiques du bord, afin d’espionner, de voler vos données personnelles ou
professionnelles, de lancer des attaques, etc.
Dans ce contexte, afin de veiller à la sécurité de votre ordinateur, de vos données et du

navire :
• ne téléchargez pas vos logiciels sur des sites au contenu douteux. Privilégiez les
sites des éditeurs reconnus ;
• lors de l’installation, pensez à décocher ou désactiver toutes les cases proposant
d’installer des logiciels complémentaires ;
• restez vigilants concernant les liens sponsorisés ;
• désactivez l’ouverture automatique des documents téléchargés.
Plus généralement, n’installez jamais un logiciel ou une application sans l’accord ou

l’avis préalable d’un référent informatique.
1.6- Maîtrisez les logiciels installés sur vos équipements informatiques

N’installez que les logiciels dont vous avez réellement besoin, et toujours avec
l’aval préalable d’un référent informatique. Ne téléchargez vos logiciels que depuis
des sites fiables et effectuez régulièrement les mises à jour.
Soyez aussi prudent avec votre smartphone ou votre tablette qu’avec votre ordinateur.
Bien que proposant des services innovants, les smartphones sont aujourd’hui très peu sécu-
113
risés. Il est donc indispensable de leur appliquer certaines règles élémentaires de sécurité
informatique :
• n’installez que les applications nécessaires et vérifiez à quelles données (informa-
tions géographiques, contacts, appels téléphoniques…) elles peuvent avoir accès
avant de les télécharger. Il est recommandé d’éviter d’installer des applications qui
demandent l’accès à des données qui ne sont pas nécessaires à leur fonctionnement ;
• en plus du code PIN qui protège votre carte téléphonique, utilisez un mot de passe
pour sécuriser l’accès à votre terminal et le configurer pour qu’il se verrouille
automatiquement ;
• effectuez des sauvegardes régulières de vos contenus sur un support externe pour
pouvoir les conserver en cas de restauration de votre appareil dans son état initial ;
• ne préenregistrez pas vos mots de passe.
Protégez vos outils informatiques lors de vos déplacements.

À l’étranger, lors de vos déplacements à terre, soyez prudent si vous devez emporter des
équipements informatiques (PC portable, smartphone…). Voyager avec des appareils
no- mades professionnels fait peser des menaces sur les informations qu’ils contiennent,
dont la perte ou le vol peuvent avoir des conséquences importantes sur les activités de
votre organisation. Il convient notamment de :
• vous assurer que vos données sont sauvegardées, afin de pouvoir les retrouver en
cas de perte de vos équipements ;
• vérifier que vos mots de passe ne sont pas préenregistrés ;
• garder vos appareils et support avec vous (ne les laissez pas dans un bureau et, s’ils
contiennent des informations sensibles, n’utilisez pas les coffres d’hôtel) ;
• désactiver les fonctions Wi-Fi et Bluetooth de vos appareils lorsque vous ne les
utilisez pas ;
• éteindre votre téléphone et, lorsque cela est possible, en retirer la carte SIM et
la batterie, si vous être contraint de vous en séparer ;
• informer votre hiérarchie en cas d’inspection ou de saisie de votre matériel par
des autorités étrangères ;
• ne jamais connecter vos équipements à des postes qui ne sont pas de confiance ;
114
• refuser la connexion d’équipements appartenant à des tiers à vos propres

équipe- ments ;
• ne jamais utiliser les clés USB qui peuvent vous être offertes : très prisées des
attaquants, elles sont susceptibles de contenir des programmes
malveillants.
…Et pour compléter ces différentes recommandations, pensez à prendre connaissance de
la Politique de sécurité informatique de votre compagnie.
2- RECOMMANDATIONS AUX COMPAGNIES
2.1- sensibiliser les personnels

La sensibilisation de tous les membres de l’équipage et, plus largement, des per-
sonnels de la compagnie, aux bonnes pratiques élémentaires de sécurité informatique,
est fondamentale pour réduire efficacement les risques liés à de mauvaises pratiques.
La prévention des incidents et attaques informatiques relève la plupart du temps de ré-

flexes simples, tels que ceux présentés dans le présent guide. Il est donc primordial que
chacun soit régulièrement impliqué et sensibilisé, au moyen de séances
d’information, de guides et, idéalement, d’une charte d’usage des moyens
informatiques.
Un référent informatique doit être identifié, notamment à bord, afin d’être
l’interlocu- teur du personnel pour toute question liée à la sécurité informatique.
2.2- prévoir des sauvegardes régulières

Pour veiller à la sécurité des données à bord, il est vivement conseillé d’effectuer des
sauvegardes régulières (quotidiennes ou hebdomadaires). Il sera ainsi possible d’en
disposer suite à un dysfonctionnement du système d’exploitation, à une erreur de
manipulation ou à une attaque informatique.
Pour sauvegarder les données, des supports externes tels que des disques durs ex-
115
ternes réservés exclusivement à cet usage ou, à défaut, des CD ou DVD enregistrables
devraient être mis à disposition de l’équipage. De tels supports doivent être rangés dans
un lieu éloigné du système sauvegardé. Il convient en outre d’accorder une
attention particulière à leur durée de vie.
Idéalement, un serveur de stockage sécurisé en réseau – ou NAS (Network Attached
Storage) – pourrait être mis en place sur le réseau du bord. Un tel serveur comporte
plusieurs disques de sauvegarde et, de ce fait, garantit un niveau élevé de disponibilité
des données. Il convient de veiller à disposer de disques durs neufs de réserve en cas de
panne et de procéder fréquemment à une inspection du NAS afin de détecter au
plus tôt le dysfonctionnement d’un disque dur.
2.3- bien connaître ses utilisateurs et ses prestataires

Lorsque l’on accède à un système informatique, que ce soit un PC bureautique ou un
système « métier », on bénéficie de droits d’utilisation plus ou moins élevés sur celui-ci.
On distingue généralement les droits dits « d’utilisateur » et les droits dits
« d’administrateur ».
Les différents comptes sur les systèmes de bord doivent être créés et gérés avec la plus
grande attention :
• N’attribuez de comptes administrateurs qu’aux personnes en ayant strictement

besoin du fait de leur fonction à bord (exemple : officier électronicien en charge
de l’informatique).
• Les comptes administrateurs doivent être utilisés uniquement pour certaines ac-
tions liées au fonctionnement du système informatique, telles que la gestion de
comptes utilisateurs, l’installation ou la mise à jour de logiciels, la maintenance,
etc.. Ils ne doivent jamais être utilisés pour des actions qui ne le nécessitent pas, en
particulier pour naviguer sur Internet ou utiliser la messagerie.
• Dans l’utilisation au quotidien, on ne doit se servir que des comptes utilisateurs.
• Identifiez précisément les différents utilisateurs de chaque système informatique et
les types de comptes qui leur sont attribués.
116
• Supprimez tous les comptes anonymes ou génériques. Chaque utilisateur doit pou-
voir être identifié nommément afin de pouvoir relier chaque action à un
utilisateur.
Établissez et faites respecter des procédures encadrant les mouvements de personnels : il
convient de s’assurer que les droits octroyés sur les systèmes d’information sont
appliqués au plus juste et qu’ils sont révoqués dès le départ d’une personne.
2.4- mettre régulièrement à jour ses logiciels

Dans chaque logiciel, application ou système d’exploitation, il existe des vulnérabi- lités
potentielles. Une fois découvertes, celles-ci sont corrigées par les éditeurs, qui proposent
alors aux utilisateurs des mises à jour de sécurité. Malheureusement, de nombreux
utilisateurs ne procèdent pas à ces mises à jour et les attaquants peuvent alors exploiter ces
vulnérabilités encore longtemps après leur découverte et leur correction.
Il convient par conséquent de définir et de faire appliquer, pour les systèmes à bord
du navire, une politique de mises à jour régulières compatible avec les contraintes du
bord. Cette politique identifiera les éléments à mettre à jour, les acteurs en charge
de ces mises à jour, ainsi que les moyens de récupération de ces mises à jour.
Seules des sources fiables doivent être utilisées pour la récupération des mises à jour,
telles que les sites Internet officiels des éditeurs.
Afin de procéder aux mises à jour en toute sécurité de certains systèmes « métier
» indispensables à l’exploitation du navire, il peut être préconisé d’effectuer celles-ci
lors des mises en cale sèche périodiques.
2.6- sécuriser l’accès Wi-Fi du navire

Si l’utilisation du Wi-Fi présente certains bénéfices, il ne faut pas oublier qu’un ré- seau
Wi-Fi insuffisamment ou mal sécurisé peut permettre à des tiers d’intercepter vos données
et d’utiliser la connexion Wi-Fi à votre insu pour réaliser des opérations malveillantes. En
escale, la portée du Wi-Fi (une centaine de mètres) peut permettre des connexions non
légitimes au réseau du navire depuis la terre.
À bord des navires équipés d’un réseau Wi-Fi, celui-ci doit être configuré de
manière à utiliser le protocole de chiffrement WPA2. À défaut, le protocole WPA-
117
AES doit être utilisé (ne jamais activer le chiffrement WEP, cassable en quelques
minutes).
La clé de connexion doit être un mot de passe de plus de 12 caractères de types
diffé- rents. Elle n’est communiquée qu’à des personnes de confiance et doit être
changée régulièrement.
Le réseau Wi-Fi du navire ne devrait permettre l’accès qu’au réseau réservé à l’utilisa-
tion des ordinateurs personnels de l’équipage (parfois appelé réseau « Welfare »).
Enfin, lors des escales, à terre, n’utilisez pas les Wi-Fi « publics » offerts dans les
ports, les hôtels…, pour des raisons de sécurité.
2.7- mettre en place un cloisonnement du réseau
Dans un réseau « à plat », c’est-à-dire ne disposant pas d’équipement de filtrage,

chaque équipement a la possibilité d’accéder à n’importe quel autre. Ainsi, la com-
promission d’un seul équipement pourra facilement s’étendre à l’ensemble du réseau.
Il est en particulier essentiel de séparer le réseau bureautique connecté à Internet, par
nature plus exposé aux attaques informatiques, des réseaux compor- tant les systèmes «
métiers »
Les postes et les serveurs importants, les systèmes de navigation et de commande du

navire, etc., doivent être isolés physiquement ou logiquement vis-à-vis les autres
systèmes du navire.
Il est également recommandé de séparer les équipements destinés à des usages profes-
sionnels et les postes de travail destinés à des usages personnels, en les plaçant au sein
de deux réseaux distincts.
La plupart des équipements d’accès (ou « box ») proposés par les fournisseurs d’accès
à Internet par satellite et équipant les navires permettent ainsi la configuration de deux
réseaux virtuels distincts et étanches (« VLAN » – virtual local area network). L’un
devrait être exclusivement dédié aux équipements et usages professionnels, l’autre
(parfois nommé « VLAN Welfare ») aux équipements et usages personnels.
118
3- VOCABULAIRE
• Antivirus : logiciel informatique destiné à identifier, neutraliser et effacer des logiciels
malveillants.
• Cheval de Troie : programme qui s’installe de façon frauduleuse pour remplir une tâche
hostile à l’insu de l’utilisateur (espionnage, envoi massif de spams,…).
• Chiffrement : procédé de cryptographie grâce auquel on souhaite rendre la com-
préhension d’un document impossible à toute personne qui ne possède pas la clé de
(dé)chiffrement.
• Compte d’administrateur : compte permettant d’effectuer des modifications affectant les
utilisateurs (modification des paramètres de sécurité, installation de logiciels…).
• Mise à jour : action qui consiste à mettre à niveau un outil ou un service informatique
en téléchargeant un nouveau programme logiciel.
• Phishing (hameçonnage) : méthode d’attaque qui consiste à imiter les couleurs d’une
institution ou d’une société (banque, services des impôts) pour inciter le des- tinataire à
fournir des informations personnelles.
• Système d’exploitation : logiciel qui, dans un appareil électronique, pilote les dispositifs
matériels et reçoit des instructions de l’utilisateur ou d’autres logiciels.
• Wi-Fi : connexion Internet sans fil.
119

Cybersecurité Cours OK

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Cybersecurité Cours OK

Transféré par

Droits d'auteur :

Formats disponibles

Université de Lomé

Institut des Métiers de la Mer (I2M)

PARTIE 1 : CYBERSECURITE PORTUAIRE ET INSTALLATIONS

1- APPREHENDER LE PAYSAGE PORTUAIRE

2- IDENTIFIER LES ACTIFS PORTUAIRES

3- CARTOGRAPHIER LES CYBERMENACES ET LES ENJEUX DE

6. 3.1- Diversité des cybermenaces

4. IDENTIFIER LES MESURES DE CYBERSÉCURITÉ ADAPTÉES

10. 4.1- Politiques et gouvernance

5. PLANIFIER LA MISE EN ŒUVRE DE SES ACTIONS

6. GÉRER LES CYBERINCIDENTS AVÉRÉS

13. 6.1- Anticiper la survenue des cyberincidents

PARTIE 2 : CYBERSECURITE DU NAVIRE

1- LE NAVIRE DANS LE CYBER ESPACE

15. 1.1- La numérisation du monde maritime

2- ENQUETE SUR LA CYBER SECURITE DU NAVIRE

17. 2.1 - Nature de l’enquête

19. 3.1- Les outils technologiques

4- LA NECESSITE D'ELEVER LE NIVEAU DE PROTECTION DU NAVIRE

21. 4.1- Sacraliser le système industriel du navire

ANNEXE N°1 - Vulnérabilités du navire

ANNEXE N°2 - Format de l'enquête

ANNEXE N°3 - Fiches guide (R1 à R7)

PARTIE 3 : BONNES PRATIQUES SECURITAIRES

25. 1.1- Bien choisir ses mots de passe

26. 1.2- Utiliser sa messagerie avec vigilance

27. 1.3- Séparer les usages personnels et professionnels

28. 1.4- Être prudent sur internet

29. 1.5- Sauvegarder régulièrement ses données

30. 1.6-Maîtrisez les logiciels installés sur vos équipements informatiques

36. 2- Prévoir des sauvegardes régulières

37. 3- Bien connaître ses utilisateurs et ses prestataires

38. 4- Mettre régulièrement à jour ses logiciels

39. 5- Sécuriser l’accès Wi-Fi du navire

40. 6- Mettre en place un cloisonnement du réseau

dans le cas d’une installation portuaire, les

Le Code ISPS a été repris au niveau européen par

d’information critiques qu’ils exploitent. l'Organisation maritime internationale, en vue

règlement sur la cybersécurité de l'UE La cybersécurité, en particulier pour les navires,

Sous l’impulsion du ministère chargé des etc.), d'infrastructures de distribution (routes

représentés sur la figure 2 et détaillés dans le

. Figure 1: Infrastructures et services portuaires

Tableau 1 : Services portuaires détaillés

Catégorie de service Description du service

1.2 Principaux acteurs portuaires 1.3 Modèle de référence

Figure 3: Modèle de référence des systèmes portuaires

1.3.1 Description des systèmes 1.3.2 Description des flux de données

▪ les systèmes d'information de gestion portuaire, qui comprennent les

Pour identifier les cybermenaces associées à l'écosystème portuaire, il est essentiel de

Tableau 2 : Description des actifs du port

Systèmes et réseaux industriels

Réseaux et composants de communication

Systèmes de sûreté et de sécurité

Portails automatiques, systèmes de clôtures intelligentes, systèmes de badges, systèmes de surveillance et de

3.1 Diversité des cybermenaces

En l’espèce une cyber-attaque va porter atteinte selon les cas à la disponibilité, à la

• disponibilité : propriété d'être accessible et utilisable à la demande

• confidentialité : propriété d’une information qui n’est ni disponible, ni

ET LES ENJEUX informations de nature confidentielle, comme des données

• intégrité : garantie que le système et l’information traitée ne sont

Le tableau 3 identifie l'impact possible des incidents de cybersécurité pour un port.

Tableau 3 – Impacts possibles pour un port (source : ENISA)

Figure 6 : Description détaillée des menaces

Tableau 4 : Description des menaces