Aller au contenu principal

Cybersécurité en mer : Un tout nouveau cadre cyber naval

En 2022, les cyberattaques font partie du quotidien. Il suffit de compter le nombre d'articles sur une fuite de données industrielles ou l’attaque d’un programme gouvernemental pour s’en rendre compte. Les états et les organisations internationales, en particulier, intensifient leurs efforts en la matière, car la cyberguerre comporte moins de risques pour la population et est souvent beaucoup moins onéreuse que la guerre « conventionnelle ». Malheureusement, le domaine naval s'est lui aussi peu à peu laissé gagner par ce phénomène. Lors d'une mission, un simple bug de votre radar ou vos canons, ou une perte de données confidentielles, peut avoir un effet dévastateur. Un tout nouveau cadre de sécurité navale, fondé sur une analyse approfondie des risques dans le domaine naval, existe désormais pour aider les marines du monde entier à mettre en œuvre des mesures de cyberdéfense sur leurs navires, de manière plus simple et moins onéreuse. 

Un cadre de sécurité navale 

C'est là que tout se joue. La plupart des réglementations génériques de sécurité destinées à aider les organisations à mettre en place leurs cyberdéfenses, comme les normes ISO, ont une portée organisationnelle large et solide. Ce sont de très bons cadres généraux, adaptés à la plupart des situations, car ils définissent un ensemble d'exigences visant à améliorer la qualité et la sécurité. Mais les cadres génériques peuvent être difficiles à mettre en œuvre dans certaines situations de niche. Or, le contexte militaire d'un système de combat peut parfois être une niche. La cyberguerre en mer est relativement récente. Il s'avère donc parfois compliqué de mettre en œuvre des normes de sécurité génériques tout en respectant vos besoins navals et d'accréditation. C'est là que nous intervenons.

En tant que chef de file, nous avons chargé une équipe spécialisée de renforcer notre approche de la cybersécurité navale et d'aider nos clients à mettre en œuvre plus efficacement leurs cadres de cybersécurité préférés à bord des navires, en les rendant plus navals ! Des experts et spécialistes de la guerre navale, des produits et de la cybersécurité, et des ingénieurs réseau et logiciels ont associé leurs compétences pour obtenir des résultats plus pointus.

En combinant notre connaissance des menaces maritimes, des logiciels et du matériel, et nos systèmes de mission navals, cette équipe a transformé ses conclusions en un nouvel ensemble d'exigences (techniques) de cybersécurité pour le secteur naval, en tenant compte des forces et des limites des principaux cadres de sécurité génériques existants. Le fruit de ce travail est notre cadre de sécurité navale (NSF).

Les principes architecturaux du cadre de sécurité navale

L'architecture du cadre de sécurité navale repose sur trois niveaux de sécurité. Le premier niveau est appelé la « défense en profondeur », afin que votre sécurité ne dépende pas d'un seul, mais de plusieurs types de protections, à différents niveaux du système. Ainsi, si un type de protection échoue, les autres protections qui agissent contre la même menace restent actives, ce qui vous donne plus de temps pour éviter des complications. Par exemple, des mesures de sécurité comme le contrôle d'accès des utilisateurs, le cryptage des fichiers et l'enregistrement des événements de sécurité se complètent pour former une architecture logicielle de défense en profondeur

Le deuxième niveau vise à minimiser la surface d'attaque de votre système. Par exemple, l'une des mesures de cybersécurité possibles pour réduire au maximum la surface d'attaque consiste à restreindre les droits d'accès des utilisateurs en fonction du rôle de chacun. En accordant uniquement aux opérateurs l'accès aux logiciels dont ils ont besoin pour bien faire leur travail, vous réduisez les risques de mauvais usage des systèmes, que l'intention soit malveillante ou non. La segmentation du réseau en plusieurs domaines permet également de veiller à ce que les informations pertinentes ne soient disponibles qu'auprès des utilisateurs qui en ont besoin, dans le cadre d'un environnement mutualisé.

Le troisième niveau porte sur l'autodéfense et l’indépendance. En matière de cybersécurité, cela consiste à toujours installer vos propres mesures de protection, sans compter sur des systèmes externes ou des partenaires avec lesquels vous travaillez. Par exemple, un navire doit également installer un pare-feu pour la connexion de données entre son système et les systèmes à terre. Ce point est très important et doit être contrôlé tout au long de votre chaîne d'approvisionnement militaire et commerciale. Les pièces et les équipements provenant de fournisseurs extérieurs présentent souvent les plus grands risques. Les malwares y sont omniprésents. Il suffit d'un maillon faible pour ouvrir une brèche dans votre propre chaîne sécurisée.

 

© Thales

Adapter des cadres génériques aux spécificités du secteur naval

Ces différentes strates de cybersécurité peuvent sembler des mesures simples. Et elles le sont ! Au fond, elles sont assez similaires à ce que l'on pourrait faire pour un bureau, ou à ce qu'un cadre générique préconise. Mais ce qui distingue notre cadre de sécurité navale, c'est la manière dont nous avons intégré ces trois niveaux et leurs exigences au sein des procédures logicielles et des configurations matérielles existantes de la marine.

Nous avons étudié l'impact des exigences génériques sur les processus logiciels des navires et sur les équipages. Nous avons aussi examiné l'impact des contraintes matérielles sur l'espace disponible à bord et donc sur les protocoles de sécurité existants. Enfin, nous avons observé la formation des opérateurs et l'impact des exigences génériques sur leur travail et leurs compétences. Nous avons pris tout cela en compte et avons transformé les exigences génériques en exigences spécifiquement navales !

Prenons l'exemple de l'authentification à deux facteurs, au moyen de la biométrie par empreintes digitales et d’un mot de passe. Il s'agit d'une approche sécurisée, que beaucoup d'entre nous auront déjà adoptée sur nos smartphones ou sur les réseaux sociaux. Alors que cette approche pourrait sembler sûre dans le cadre naval, la plupart des situations d'authentification à deux facteurs ne sont pas compatibles avec un éventuel combat, où chaque seconde compte. Il n'y aura peut-être pas le temps de passer par l'authentification à deux facteurs. Vous porterez peut-être une tenue anti-feu et des gants, qui empêchent d’utiliser les empreintes digitales. Les mesures qui font partie des cadres de sécurité génériques ne sont pas toujours adaptées à un environnement naval.

Autre exemple : l'exigence gouvernementale générale selon laquelle une passerelle doit être installée entre des domaines dont le niveau de classification est différent. (Une passerelle est un dispositif ou un nœud permettant de relier deux réseaux informatiques dont les protocoles et les caractéristiques diffèrent.) Il s’agit généralement d’une mesure de sécurité pertinente pour un bureau à terre. En revanche, pour mettre en place une passerelle au sein de la chaîne fonctionnelle d'un système de combat, il faut que son débit, sa latence et sa gigue répondent à des exigences très strictes. Lorsqu'il s'agit de prendre des décisions de vie ou de mort, il ne peut pas y avoir de délai entre le moment où l'on clique ou appuie sur un bouton et l'effet désiré, à cause d'une passerelle. Le temps est un facteur capital.

Au-delà de ces exemples, il existe de nombreuses autres exigences en matière de sécurité, de systèmes, de performances et d'opérations liées à la marine, qui imposent d'adapter les meilleures pratiques et les contrôles de sécurité. Notre tout nouveau cadre de sécurité navale a mis ces exigences en parallèle avec les cadres de sécurité existants pour faciliter la conformité avec les réglementations nationales et les normes internationales, tout en respectant les besoins de la marine. Ce cadre, plus que ses équivalents génériques, a pour but de garantir votre accréditation et votre sécurité, tout en supprimant les exigences qui ne sont pas adaptées à votre contexte (susceptibles de provoquer des dépassements de coûts et des retards dans les projets). En fin de compte, il s'agit d'obtenir le niveau de sécurité souhaité en trouvant le juste équilibre entre protection, performances, risques résiduels et coût. À vous de décider ce qui vous convient !

En route vers une cybersécurité navale optimale

Notre équipe d'experts en cybersécurité navale vous l'assure : bien accompagnés, vous pouvez parvenir à une cybersécurité optimale à bord. Il faut avant tout penser en termes de risques et de menaces : concentrez-vous sur vos objectifs, les opportunités à saisir, les risques à éviter, et partagez-les avec votre fournisseur. Nous proposons différentes formules, en fonction de vos exigences opérationnelles et de votre appétence au risque. Quels que soient vos besoins, nous pouvons mettre en place des mesures de sécurité pour préserver le fonctionnement et les performances des systèmes que vous avez établis. Pour nous, la sécurité et les objectifs de la mission passent avant tout. En fin de compte, comme pour toute destination, il existe de nombreux chemins vers la réussite. Nous sommes là pour vous aider à trouver le meilleur.

 

Contactez-nous 

Pour plus d'informations, cliquez ici