Interview
Cybersécurité à bord : « Quiconque parle de Maritim 4.0 doit faire ses devoirs »

Dans « Demain ne meurt jamais », les terroristes enlèvent un navire de guerre en manipulant ses signaux GPS. Ce qui est apparu en 1997 - lors de la sortie en salles du 18ème James Bond - encore le monde fantastique des cinéastes britanniques, est un peu moins de 20 ans plus tard une véritable menace. Elle est qualifiée d '« usurpation par GPS » par des experts - et des chercheurs de l'Université du Texas l'ont prouvé de manière impressionnante en 2013 ; en déviant de sa trajectoire un yacht de luxe de 80 millions de dollars, sans que l'équipage ne s'en aperçoive. Quel est le problème avec la cybersécurité dans l'industrie de la construction navale ? - les constructeurs de navires, les intégrateurs de systèmes et les armateurs sont enthousiasmés par les nouvelles opportunités offertes par Maritim 4.0. Si l'industrie est mûre pour cela et sur ce qu'il reste à faire, nous en avons parlé avec le professeur Karl-Heinz Niemann, de l'Université de Hanovre.

Prof. Dr.-Ing. Karl-Heinz Niemann

Le Prof. Dr.-Ing. Karl-Heinz Niemann étudie et enseigne à la faculté de génie électrique et de technologie de l'information de l'Université de Hanovre. Il représente le domaine d'enseignement de l'informatique de processus et de la technologie d'automatisation et donne des conférences sur les sujets « Automatisation intégrée, systèmes de bus industriels, interfaces de processus et efficacité énergétique ». Ses recherches portent sur la cybersécurité des installations de production, notamment dans le contexte de l'industrie 4.0. En outre, le professeur Niemann dirige le centre d'expertise en sécurité informatique du centre de compétences PME 4.0 pour la Basse-Saxe et Brême et est actif dans divers groupes de travail du PNO et du VDI.

Prof. Dr.-Ing. Karl-Heinz Niemann

L'appareil avec lequel les chercheurs du Texas ont déjoué le système de navigation du yacht de luxe était tout aussi gros qu'une mallette. Le yacht de 65 mètres avait deux récepteurs GPS et pourrait encore être trompé. Les Texans ont simplement généré un signal GPS et augmenté la puissance du signal jusqu'à ce que les récepteurs changent de canal. Qu'est-ce que ce scénario signifie pour vous en tant qu'expert en sécurité informatique ?

Nous avons encore beaucoup à faire. Il y a encore beaucoup de rattrapage à faire en matière de cybersécurité dans l'automatisation. Alors que tout le monde pense à l'industrie 4.0, nous devons malheureusement encore parler des devoirs que nous avons encore à faire pour l'industrie 3.0 - parce nous devons tout d'abord faire fonctionner les systèmes existants.

Vous parlez de technologie d'automatisation. Pensez-vous qu'il existe des différences entre l'automatisation industrielle et l'automatisation des navires?

Je pense que le transport maritime est aussi bon ou mauvais en matière de cybersécurité que les autres industries. Pour votre exemple avec le yacht de luxe, il y a certainement des parallèles dans d'autres industries. Spontanément je pense à un haut-fourneau, qui a été arrêté par une cyberattaque. Les hauts fourneaux sont des installations technologiques de procédé typiques qui fonctionnent sans interruption pendant plusieurs années. Cet arrêt provoqué de l'extérieur a finalement causé un sinistre total. Les effets de la cybercriminalité sont graves partout. À cet égard, je ne vois pas de différences dans l'industrie en ce qui concerne le niveau actuel de mise en œuvre de la cybersécurité - c'est aussi le cas pour les risques qui en résultent et la nécessité de traiter le problème.

Que peuvent faire les entreprises en matière de cybersécurité ? Quels devoirs leur donneriez-vous ?

Il est important d'empêcher les attaquants de simplement passer sur un réseau. Il convient de noter que les connexions vers l'extérieur ne sont pas mauvaises en elles-mêmes ; je dois juste le sécuriser correctement. Ce qui signifie certainement dans ce contexte qu'il s'agit sans doute aussi d'une question de configuration.

digitalisierung_referenz_karl-heinz-niemann_x8_2000x2000.jpg

Il y a toujours des gens qui veulent vous dire que leur système n'a aucun lien avec le reste du monde et que la cybersécurité n'est donc pas importante pour eux. Ne les croyez pas !

Prof. Dr.-Ing. Karl-Heinz Niemann

Qu'entendez-vous par là ?

Il y a toujours des gens qui veulent vous dire que leur système n'a aucun lien avec le reste du monde et que la cybersécurité n'est donc pas importante pour eux. Ne les croyez pas ! Il y a toujours une connexion quelque part. Un travail de base très simple, que nous pensons devoir faire, est tout d'abord de sensibiliser les différents acteurs de la construction navale à la pertinence de la cybersécurité - c'est-à-dire que nous rencontrons tous les jours des failles de sécurité, ou même, normalement involontairement, que nous générons nous-même.

Voulez-vous dire par exemple, dans la pratique quotidienne sur les porte-conteneurs, que les maîtres de chargement importent leurs données de charge dans le système à l'aide d'une clé USB décrite à terre ?

C'est exactement le cas. Les clés USB sont absolument interdites. Néanmoins, cette pratique est absolument courante, même si elle comporte manifestement des faiblesses évidentes - du moins lorsqu'il n'y a pas de zone de quarantaine pour les données apportées.

La cybersécurité est-elle un problème auquel l'équipage d'un navire doit faire face ? À votre avis, qui est responsable ici ?

Les personnes dans les entreprises ou à bord sont sans aucun doute parmi les faiblesses potentielles de toute l'informatique installée à bord ; et, malheureusement, ils n'ont souvent aucune chance de repérer les attaques les plus ingénieuses sur leurs systèmes. C'est pourquoi il est si important pour les compagnies maritimes de décrire clairement les processus et les procédures, puis de formuler un engagement de la direction en matière de cybersécurité. Par exemple, avec le porte-conteneurs, ceci serait suivi par une définition de la façon de gérer les données de chargement quand quelqu'un se tient sur le pont avec une clé USB dans la main.

digitalisierung_referenz_karl-heinz-niemann_x1_2000x2000.jpg

En matière de cybersécurité, nous avons moins à faire avec une méthode qu'avec une stratégie d'entreprise.

Prof. Dr.-Ing. Karl-Heinz Niemann

Donc, vous voyez le niveau de leadership comme responsable.

C'est vrai. En ce qui concerne la cybersécurité, nous avons moins à faire avec une méthode qu'avec une stratégie d'entreprise qui passe par la gestion - et pour laquelle tout le monde doit être prêt à faire des efforts. Il est important de définir les autorisations, de surveiller l'accès et de créer des plans d'urgence en cas de perte totale de données. Il n'est plus suffisant de protéger les armoires de commande avec une clé carrée contre tout accès non autorisé.

Ce dont nous avons besoin, c'est d'une défense en profondeur, comparable à celle d'un château-fort. D'abord, la clôture protège les locaux de l'usine, puis il y a des restrictions d'accès à certaines pièces, suivies de règlements pour certaines armoires.

Maintenant, un château-fort peut absolument être désigné comme stable. Voyez-vous des mesures spéciales pour les navires ?

Comparé aux applications terrestres, il existe de nouveaux défis et des menaces potentielles sur les navires - en particulier en raison de l'électronique supplémentaire qui est à bord. Ceux-ci comprennent, par exemple, les systèmes de navigation, de repérage et d'alerte de collision. Ce sont des installations qui sont nécessaires avant tout pour la sécurité du navire. De plus, un navire n'est pas une île - comme vous pouvez le penser. Au contraire, beaucoup de ces systèmes additionnels établissent des liens avec l'extérieur et la terre et offrent donc beaucoup de possibilités de manipulation. Tout comme vous l'avez décrit au début de votre scénario.

Dans l'ensemble, il semble que la numérisation en cours pose des problèmes nouveaux ou supplémentaires pour la cybersécurité.

C'est comme ça ! Avec Industrie 4.0, des relations de communication supplémentaires sont créées parce que les entreprises façonnent constamment leur flux de données. Et à travers l'intégration horizontale et verticale, les concepts de compartimentage existants, dans le cadre de la défense en profondeur, ne suffisent plus. On recherche maintenant l'« IT-Security by Design» : soit des fonctions de cyber sécurité intégrées dès le départ aux dispositifs de contrôle sous la forme d'une architecture de sécurité basée sur des couches.

Est-ce que cela affecte l'approbation de la technologie sur les navires ? Compte tenu du caractère explosif que vous avez décrit, les sociétés de classification doivent-elles faire attention à la cybersécurité dans leur certification ?

Je suis convaincu que les classificateurs travaillent sur ce sujet - précisément parce qu'il y a beaucoup de rattrapage à faire en termes de cybersécurité sur les navires. Comme nous l'avons dit : pour une défense en profondeur efficace, nous devons tous faire nos devoirs 3.0 - pour moi, c'est une exigence obligatoire pour mettre en œuvre les visions qui sont actuellement sous le mot-clé Maritim 4.0.

La numérisation avec WAGO :
C'est avec plaisir que nous répondrons à vos questions.