La journée de l’industrie sur la cybersécurité maritime, 2023 : Résumé de l’événement

31 Mars 2023

Introduction

La Garde côtière canadienne (GCC) a organisé le 2 février 2022 la première journée de l’industrie sur la cybersécurité maritime, un événement virtuel réunissant divers participants du gouvernement, de l’industrie et du monde universitaire pour discuter des enjeux liés à la cybersécurité dans le domaine maritime. Le présent rapport résume les principaux points abordés et les discussions qui ont eu lieu lors de la seconde édition de cet événement annuel, qui s’est tenue le 9 mars 2023 en personne et de manière virtuelle.

Programme de l’événement

Exposés inscrits à l’ordre du jour de l’événement :

• Mot d’ouverture : M. Marc Mes, directeur général de la Flotte et des services maritimes, ouvre l’événement et présente M. Kevin Brosseau, sous-ministre délégué des Pêches et des Océans, le ministère responsable de la GCC.
• Discours principal : Discours prononcé conjointement par MM. Gary Kessler et William Loomis du Conseil de l’Atlantique, qui ont présenté un aperçu des cybermenaces et des cyberrisques existant dans l’ensemble du secteur du transport maritime, tout en soulignant les approches potentielles qui permettraient d’améliorer la cybersécurité.
• Groupe de discussion 1 sur la gouvernance de la cybersécurité : Le groupe de discussion était dirigé par Jose M. Fernandez, de Bastionnage Consulting, et comptait comme membres M. Kevin Fenech de Sécurité publique Canada, M. Aiden Ryan de Transports Canada, et M. Matthew Parker du ministère des Transports du Royaume-Uni. M. Fenech a effectué une présentation sur le projet de loi C-26, Loi concernant la cybersécurité, qui a été déposé au Parlement le 14 juin 2022. M. Ryan a présenté les efforts actuels et futurs de Transports Canada pour assurer la cybersécurité dans le domaine maritime. Enfin, M. Parker a décrit la politique et les efforts stratégiques en matière de cybersécurité maritime mis en œuvre au Royaume-Uni. La présentation a été suivie d’une période de question et de discussion.
• Groupe de discussion 2 sur la sensibilisation à la cybersécurité des aides à la navigation, des services de contrôle de la circulation maritime et de la navigation maritime : Ce groupe de discussion, également dirigé par M. Fernandez, comprenait les experts suivants : MM. Gary Kessler, Robert Quinn de Macdonald Dettwiler et Associates (MDA), Brian Lachine du Collège militaire royal du Canada (CMR) de Kingston, et Ernest Batty, d’International Maritime Information Systems. Ce groupe de discussion avait pour but de présenter au public les cybermenaces et les contre-mesures potentielles particulières aux aides à la navigation (PAN), aux systèmes de contrôle de la circulation maritime et à la navigation en général.
• Groupe de discussion 3 sur la formation : Ce groupe de discussion a abordé la question générale de la formation et du maintien d’une main-d’œuvre efficace pour contrer la cybermenace dans le domaine maritime, dont, premièrement, une formation individuelle sur le cyberespace pour le personnel ne travaillant pas dans le domaine de la cybersécurité, mais œuvrant dans le domaine maritime, deuxièmement, une formation individuelle propre au domaine maritime pour le cyberpersonnel, et troisièmement, une formation collective sur la cyberpréparation et la réponse aux cyberincidents pour l’ensemble des personnes susmentionnées. Les participants étaient William Loomis du Conseil de l’Atlantique, Jaime Brennan de la GCC, Robert Pitcher de Sécurité publique Canada, Peter Hay de Simspace, Chris Macdonald de Price Waterhouse Cooper et Sean Heusser du Groupe Canada Steamship Lines.
• Mot de la fin : M. Chris Henderson, sous-commissaire de la GCC, s’est adressé au public, résumant les points clés de l’événement et réitérant l’intention de la GCC de continuer à organiser de tels efforts.

Ce que nous avons entendu

Voici une liste des principales idées et des thèmes récurrents qui ont été abordés lors des présentations et des discussions au cours de l’événement, présentés sans ordre particulier :

• l’ampleur et les conséquences de la cybermenace planant sur le secteur maritime;
• l’évolution des technologies et les menaces qui y sont liées (services de renseignements maritimes, S-100, numérisation accrue et intelligence artificielle);
• la régie actuelle et future de la cybersécurité maritime;
• le problème de sécurité du système d’identification automatique (SIA) et les solutions potentielles;
• l’heure juste sur les cyberattaques contre les navires;
• les personnes en tant que ressources et non que vulnérabilités;
• la formation individuelle;
• la formation collective.

Nous regarderons maintenant ces points plus en détail :

La gravité de la cybermenace planant sur le domaine maritime

Certains intervenants ont fourni des statistiques saisissantes sur l’importance de la circulation maritime des navires marchands pour l’ensemble de notre économie et sur le fait que des perturbations causées par des cyberattaques, même mineures, peuvent avoir des conséquences économiques considérables. Un intervenant a décrit comment l’interconnectivité et la complexité inhérente du secteur maritime, qui doit être considéré comme un « système de systèmes », font qu’il est très difficile de prédire l’issue de perturbations, même mineures, touchant un seul de ses composants. En raison de cette interdépendance, même si les composants critiques peuvent être mieux protégés contre les cyberattaques, ils pourraient être touchés par celles réalisées sur des installations et des systèmes auxiliaires moins bien protégés dont ils dépendent, ou encore sur d’autres navires partageant l’accès aux mêmes installations et aux mêmes couloirs de navigation.

Changements technologiques et évolution des menaces

La numérisation des systèmes et des renseignements maritimes est sur le point d’entrer dans une nouvelle phase plus intense en raison de l’avènement de nouvelles technologies et d’initiatives telles que les services de renseignements maritimes internationaux basés sur le Web et le guichet unique maritime, de même que les normes unifiées de formatage et de transmission de l’information, comme les services S-100. Les gains potentiels offerts par l’adoption généralisée de telles technologies sont contrebalancés par la plus grande surface d’attaque qu’elles offrent aux cyberattaquants. En outre, la manière dont l’utilisation de l’intelligence artificielle pourrait aider les attaquants à trouver des vulnérabilités et à optimiser les stratégies pour maximiser les perturbations a fait l’objet de discussions.

Régie actuelle et future de la cybersécurité maritime

Les différentes présentations ont permis d’introduire et d’examiner le cadre réglementaire et normatif actuel en matière de cybersécurité maritime. Il s’agit notamment des lignes directrices non obligatoires des organisations internationales (par exemple, l’Organisation maritime internationale, le Conseil maritime baltique et international, etc.), des lois et règlements nationaux en matière de sécurité maritime, ainsi que des cadres stratégiques et des règlements nationaux en matière de cybersécurité. Les présentations ont porté sur les cadres nationaux du Royaume-Uni, des États-Unis et du Canada. La conclusion générale est que si de nombreuses organisations nationales et internationales ont fait de la cybersécurité une priorité, la réglementation concernant la cybersécurité maritime n’en est qu’à ses balbutiements. Si la politique et les objectifs de niveau élevé sont définis et, dans certains cas, appliqués, il existe encore relativement peu d’orientations en matière de normes et de procédures obligatoires ou recommandées. Bien qu’il ait été reconnu que cette situation est appelée à changer dans un avenir proche, il a été mentionné à plusieurs reprises que le processus d’élaboration de la réglementation nécessitera un dialogue et un soutien à l’échelle du secteur.

Problème de sécurité du SIA et solutions potentielles

L’absence d’authentification dans le protocole du SIA utilisé par les navires pour signaler leur position a été décrite comme une grave menace pour la sécurité maritime. La facilité avec laquelle les attaquants peuvent envoyer des signaux SIA usurpés à l’aide de matériel et de logiciels bon marché et facilement disponibles permet d’organiser des cyberattaques ayant des conséquences importantes sur la circulation maritime, comme l’a décrit l’un des intervenants. Bien que plusieurs propositions aient été faites pour remplacer le SIA par une version plus sécuritaire, la difficulté et le temps nécessaire à l’approbation et au déploiement d’une telle solution de rechange au niveau international exigent la prise de mesures immédiates pour atténuer cette menace. Deux approches technologiques différentes permettant de détecter ces transmissions frauduleuses ont été présentées : d’une part, la fusion de différentes sources de données de télédétection par satellite et, d’autre part, des méthodes de détection logicielles basées sur la modélisation des mouvements réels des navires. Néanmoins, il a été souligné que même si la route sera longue, les efforts pour trouver un successeur sécuritaire au SIA devraient commencer immédiatement.

Réalité de faits sur les cyberattaques contre les navires

La question de savoir si les scénarios de cyberattaque entraînant des conséquences graves ou extrêmes en matière de sécurité (telles que des échouages ou des naufrages) sont réalistes a été débattue. Bien que de tels scénarios soient théoriquement possibles, il a été avancé que des attaques subtiles, qui ne compromettent que quelques systèmes clés pendant de courtes périodes, sont beaucoup plus probables. Finalement, il importe de garder à l’esprit les objectifs de l’attaquant : s’ils sont de créer des perturbations économiques en interrompant ou en retardant la circulation maritime, les cyberattaques les plus efficaces ne sont pas nécessairement les plus spectaculaires.

Personnes en tant que ressources et non que vulnérabilités

Le problème de la cybersécurité ne concerne pas seulement la technologie. Il est avant tout humain. De nombreuses vulnérabilités et scénarios d’attaque nécessitent une intervention humaine. Les êtres humains font partie des vulnérabilités, mais ils sont aussi le plus grand atout d’une organisation, non seulement en ce qui concerne la détection des cyberattaques, mais aussi leur prévention et la réponse à celles-ci, à condition qu’ils soient bien formés, sensibilisés et motivés.

Formation individuelle à la cybersécurité maritime

Plusieurs intervenants et experts ont abordé la question de la formation individuelle du personnel. Le premier aspect est la formation du personnel travaillant dans le domaine maritime afin d’atteindre un niveau minimum de sensibilisation à la cybersécurité. Certains intervenants ont décrit les efforts continus déployés au sein de leur organisation pour parvenir à une telle sensibilisation par le biais de formations individuelles récurrentes, de campagnes de cybersensibilisation (par exemple, des campagnes de pseudo-hameçonnage) et de communications internes (par exemple, des bulletins). Au-delà de cette formation générique à la cybersécurité des technologies de l’information (TI), le besoin pour les navigateurs d’être formés à la cybersécurité à un niveau plus élevé et de recevoir des connaissances adaptées aux systèmes avec lesquels ils travaillent, qu’il s’agisse de TI propres au domaine maritime ou de technologie opérationnelle (TO), a été cerné.

Le deuxième aspect est la formation du personnel de cybersécurité en général aux systèmes et à la cybersécurité propres au secteur maritime. À l’heure actuelle, il n’existe aucun programme officiel de formation et de certification en matière de cybersécurité maritime au Canada. La question de savoir s’il s’agit d’une lacune à laquelle il faut remédier en priorité a été débattue. La réponse des participants semble être que ce n’est pas la priorité : la véritable priorité est le manque de personnel de cybersécurité en soi. Ce problème doit être réglé en premier, tant pour le secteur que pour le pays. La spécialisation du personnel de cybersécurité au domaine maritime est l’aspect le plus « simple », c’est-à-dire quelque chose qui peut être fait avec le temps, au sein de toute organisation maritime ayant atteint la maturité informatique, ou bien en améliorant les compétences du personnel travaillant avec des tiers du secteur informatique, tels que les fournisseurs de services de sécurité gérés.

Formation collective sur la cybersécurité maritime

Plusieurs intervenants ont décrit les différents types d’efforts déployés au sein de leur organisation pour former collectivement le personnel maritime aux menaces de cybersécurité par le biais de divers exercices. Ces cyberexercices ont été classés en trois catégories :

1. Exercices de simulation regroupant les principaux acteurs technologiques et opérationnels, dans le but de « tester » les procédures de réponse et de récupération, de renforcer les communications et d’améliorer la compréhension mutuelle entre les ministères, etc.
2. Exercices de cyberdéfense coopérativeregroupant principalement des acteurs technologiques, dans le but de tester les procédures de détection, de réponse et de récupération à l’échelle des systèmes.
3. Exercices de simulation axés sur la gestion, où les cadres supérieurs sont confrontés à une description de haut niveau de scénarios de cyberattaques dans le but de les sensibiliser et de les préparer à gérer les risques et à faire face à de telles crises.

Les deux premiers types d’exercices sont les plus communs. Aux États-Unis, ils sont tous deux réalisés depuis des années au niveau national, et bon nombre d’entre eux intègrent certains aspects du domaine maritime, tandis que certains sont carrément propres au domaine maritime. Au Canada, le premier type d’exercice est le plus courant puisqu’il a été réalisé à l’échelle nationale, mais pas nécessairement pour des domaines particuliers. Certaines organisations maritimes ont déjà présenté ces formations, tandis que d’autres le feront bientôt.

Les intervenants ont indiqué que l’organisation d’exercices de simulation sur table exigeait beaucoup de temps de préparation et de ressources, et que ces activités devaient être planifiées plusieurs mois, voire plusieurs années au préalable. En outre, leur mise en œuvre présente plusieurs défis importants, tels que le recrutement et la fidélisation des participants et des experts en la matière, ainsi que la « méta-formation » du personnel de soutien à la préparation et à la réalisation des exercices. Néanmoins, la valeur ajoutée de ces exercices pour les organisations sur le plan de la préparation aux crises est considérable. Quoiqu’ils exigent des efforts importants, ils offrent des possibilités uniques de formation collective pour « s’entraîner au combat » et pour mettre en œuvre et tester une « approche combinée des défenses » dans laquelle le personnel opérationnel et technique peut interagir et collaborer dans une situation non critique, en prévision de crises potentielles. Les exercices de cyberdéfense coopérative ont des objectifs différents (formation du personnel de cybersécurité) et nécessitent d’importantes ressources techniques. Dans les deux cas, les rendre propres à un domaine nécessiterait d’importants efforts de développement de scénarios et, dans le second cas, des efforts de développement technique.

La question de l’utilité d’organiser un exercice de simulation d’une cyberattaque maritime à l’échelle du Canada a été abordée. Tous conviennent que ce serait utile. Toutefois, les intervenants ont souligné que compte tenu des efforts considérables qu’un tel exercice demanderait, une approche graduelle vers cet objectif serait justifiée. Par exemple, en commençant par des scénarios d’exercices d’une journée ou d’une demi-journée ne faisant intervenir qu’un petit nombre d’organisations, voire une seule, et présentant un « réalisme » technique moindre, et en progressant vers des exercices sectoriels au degré plus élevé de réalisme technique et d’intégration avec le personnel et les organisations chargés de la cybersécurité.

Conclusion

En résumé, l’événement a permis de débattre d’un large éventail de sujets liés à la cybersécurité maritime. Le format par groupe de discussion a donné lieu à un débat animé qui a permis de dégager des sujets importants et d’en arriver à ce qui semble être un accord général sur des priorités et des objectifs communs. En effet, pour permettre au secteur maritime canadien d’aller de l’avant en matière de cybersécurité maritime, des occasions accrues de dialogue entre les secteurs privé et public visant à appuyer les efforts de réglementation en cours et les futures possibilités de formation collective et individuelle seront nécessaires.