Le 50, 000 navires naviguant sur la mer à tout moment ont rejoint une liste sans cesse croissante d'objets pouvant être piratés. Des experts en cybersécurité ont récemment montré à quel point il était facile de pénétrer dans l'équipement de navigation d'un navire. Cela survient quelques années seulement après que des chercheurs aient montré qu'ils pouvaient tromper le GPS d'un super-yacht pour qu'il change de cap. Il était une fois des objets tels que des voitures, les grille-pain et les remorqueurs n'ont fait que ce pour quoi ils ont été conçus à l'origine. Aujourd'hui, le problème est qu'ils parlent tous aussi à Internet.

L'histoire jusqu'ici

Les histoires sur la cybersécurité maritime ne feront que proliférer. L'industrie maritime a mis du temps à réaliser que les navires, comme tout le reste, font désormais partie du cyberespace. L'Organisation maritime internationale (OMI), l'organe onusien chargé de la régulation de l'espace maritime, a tardé et quelque peu lent à envisager une réglementation appropriée en matière de cybersécurité.

En 2014, l'OMI a consulté ses membres sur ce à quoi devraient ressembler les lignes directrices en matière de cybersécurité maritime. Deux ans plus tard, ils ont publié leurs directives provisoires de gestion des risques de cybersécurité, qui sont larges et pas particulièrement maritimes spécifiques. Et maintenant, sans surprise, les navires sont piratés.

Complexité de l'industrie maritime

Il existe plusieurs problèmes fondamentaux qui rendent la cybersécurité pour l'industrie maritime particulièrement difficile à résoudre.

D'abord, il existe de nombreuses classes de navires, qui fonctionnent tous dans des environnements très différents. Ces navires ont tendance à avoir différents systèmes informatiques intégrés. Significativement, bon nombre de ces systèmes sont conçus pour durer plus de 30 ans. En d'autres termes, de nombreux navires utilisent des systèmes d'exploitation obsolètes et non pris en charge, qui sont souvent les plus sujets aux cyberattaques.

Seconde, les utilisateurs de ces systèmes informatiques maritimes sont en constante évolution. Les équipages des navires sont très dynamiques, changeant souvent à court terme. Par conséquent, les membres d'équipage utilisent souvent des systèmes qu'ils ne connaissent pas, augmenter le potentiel d'incidents de cybersécurité liés à l'erreur humaine. Plus loin, la maintenance des systèmes embarqués, y compris ceux de navigation, est souvent sous-traitée à divers tiers. Il est parfaitement possible que l'équipage d'un navire comprenne mal comment les systèmes embarqués interagissent les uns avec les autres.

Une troisième complexité est le lien entre les systèmes embarqués et terrestres. De nombreuses compagnies maritimes restent en communication constante avec leurs navires. La cybersécurité du navire est également dépendante, alors, sur la cybersécurité de l'infrastructure terrestre qui rend cela possible. Les implications de telles dépendances ont été clairement mises en évidence en 2017 lorsqu'une cyber-attaque contre les systèmes d'A.P. Moller-Maersk a entraîné des retards de fret dans l'ensemble de leur flotte. Ceci est particulièrement difficile pour l'OMI qui peut régir les réglementations portuaires, mais ont très peu de contrôle sur les systèmes et processus plus larges des opérateurs maritimes.

Des pas dans la bonne direction

En 2017, l'OMI a modifié deux de ses codes généraux de gestion de la sécurité pour inclure explicitement la cybersécurité. Le Code international pour la sûreté des navires et des installations portuaires (ISPS) et le Code international de gestion de la sécurité (ISM) détaillent la manière dont les exploitants de ports et de navires doivent mener des processus de gestion des risques. Faire de la cybersécurité une partie intégrante de ces processus devrait garantir que les opérateurs soient au moins conscients des cyber-risques.

Avec un peu de chance, c'est le début d'une approche plus holistique de la réglementation de la cybersécurité maritime. Les connaissances acquises grâce à ces nouvelles évaluations des cyber-risques pourraient permettre à l'OMI d'élaborer un ensemble plus large de réglementations en matière de cybersécurité. Il y a beaucoup de fruits à portée de main à cueillir, par exemple en harmonisant certaines exigences en matière d'équipement avec les normes de cybersécurité existantes adoptées par d'autres secteurs.

Faire tourner le navire

L'industrie maritime est incontestablement en retard sur les autres secteurs du transport, comme l'aérospatiale, en termes de cybersécurité. Il semble également y avoir un manque d'urgence pour remettre la maison en ordre. Après tout, les modifications spécifiques au cyber de l'ISM et de l'ISPS n'entrent en vigueur qu'au 1er janvier 2021, et ils ne représentent que le début d'un voyage. L'industrie maritime semble donc particulièrement mal équipée pour faire face aux défis futurs, comme la cybersécurité des navires entièrement autonomes.

Du côté positif, l'approche lente et régulière de l'élaboration de réglementations en matière de cybersécurité offre au moins l'occasion d'apprendre des autres secteurs et de bien comprendre les risques de cybersécurité maritime, plutôt que de prendre des décisions hâtives et mal informées.

L'élaboration de réglementations robustes en matière de cybersécurité maritime sera très lente, et peut-être douloureux, traiter. Mais, le navire a commencé à tourner.

Cet article a été initialement publié sur The Conversation. Lire l'article original.