La dernière chose que vous voulez est de trouver en gros titre que... Votre navire est bloqué au Panama ou au Canal de Suez à cause d'une cyberattaque. Les dommages de cette attaque peuvent atteindre des milliards de dollars. Les navires sont plus connectés que jamais. Le risque d'un premier accident augmente chaque jour. Les cyberattaques se produisent dans le secteur maritime, car il s'agit d'acteurs importants qui disposent d'un énorme flux de trésorerie. Ce sont de très bonnes cibles pour les pirates informatiques.
Augmentation du nombre de cyberattaques
Depuis le début de la pandémie, le nombre de cyberincidents augmente rapidement. Des incidents significatifs en matière de cybersécurité dans toutes les industries différentes. Vous pouvez consulter le site du Centre d'études stratégiques et internationales ici. Une liste complète des accidents enregistrés depuis 2006 Vous pouvez trouver ici. Cela montre clairement que le nombre d'incidents augmente rapidement au fil des ans. Spécialement pour vous, nous avons recensé tous les accidents survenus au cours des dernières années. Y compris tous les incidents jusqu'en juin 2021. Nous avons compté uniquement les cyberincidents importants. Cela signifie que seule une attaque dont le coût est supérieur à 1 000 000 de dollars US est significative.
Cyberattaques maritimes - Maersk juin 2017
Le géant danois du transport maritime Maersk a subi l'un des incidents de cybersécurité maritime les plus médiatisés et les plus dommageables à ce jour. Le plus grand opérateur de porte-conteneurs et de navires de ravitaillement avec des bureaux dans 130 pays. Plus de 80 000 employés ont sombré dans le noir après avoir été touchés par NotPetya.
Ce qui est intéressant avec NotPetya, c'est que même s'il présente les caractéristiques générales d'un ransomware, ce n'est pas techniquement un ransomware. Il est capable de se propager tout seul, sans spam ni ingénierie sociale. Il s'appuie sur des outils tels que les exploits EternalBlue et EternalRomance développés par l'Agence nationale de sécurité américaine (NSA). Conçu comme un essuie-glace, NotPetya crypte tout sur son passage. En outre, il endommage les données de manière irrémédiable, sans possibilité de récupération. Alors qu'il s'agirait d'une cyberattaque russe parrainée par l'État et visant des entreprises ukrainiennes, NotPetya s'est propagé au-delà des frontières ukrainiennes et a causé des dommages totaux estimés à 10 milliards de dollars dans le monde entier.
Lorsque NotPetya a touché Maersk, il s'est propagé dans le réseau en sept minutes. Les écrans d'ordinateur sont devenus noirs. Les employés se sont empressés de débrancher tous les appareils connectés dans l'ensemble des bureaux pour se protéger contre le malware qui se propageait rapidement. À l'exception d'un contrôleur de domaine intact du bureau du Ghana. qui avait subi une panne de courant sans rapport, Maersk a perdu la plupart de ses données. Plus de 49 000 ordinateurs portables et 4 000 serveurs ont été détruits. En conclusion, l'estimation des dommages s'élevait à plus de 300 millions de dollars.
Leçons tirées de Maersk
Au-delà de la protection, concentrez-vous sur les plans d'intervention. Vous devez partir du principe que les pirates sont déjà présents sur votre réseau. Vous avez besoin de renseignements supplémentaires pour évaluer ce qui se trouve dans votre réseau ou qui s'y trouve. Maersk a investi dans une équipe interne distincte chargée des menaces. Celle-ci étudie les menaces émergentes et détermine comment répondre et atténuer les futures voies d'attaque. Vos plans d'intervention doivent être à jour. Ces documents et procédures doivent être constamment mis à jour ! Vous devez identifier toutes les lacunes et déterminer de nouvelles mesures d'atténuation contre toute cyberattaque émergente.
Établissez une stratégie de protection et de récupération des données. Oui, vous devez vous assurer que votre réseau de navires et vos systèmes de contrôle critiques sont protégés. Cependant, vous avez également besoin d'un plan de protection et de récupération des données. Le mieux est de l'avoir mis en place. Ainsi, si votre réseau est mis hors service, vous pourrez continuer à fonctionner. Vous devez également repenser vos sauvegardes. Les sauvegardes en ligne standard ne sont plus une approche sûre. Si vos sauvegardes sont attachées à votre réseau, elles sont susceptibles d'être attaquées. Vous devez donc protéger votre réseau d'OT contre la perte de données. Votre entreprise doit être en mesure de reconstruire votre base de données après une perte de données. En outre, vous devriez envisager des sauvegardes hors ligne.
Cyberattaques maritimes - COSCO 2018
Un peu plus d'un an après l'attaque de Maersk, il était temps de savoir si le secteur maritime avait pris des mesures pour renforcer ses défenses en matière de cybersécurité. Ce test a eu lieu en juillet 2018, lorsque la China Ocean Shipping Company (COSCO) a été victime du ransomware SamSam. Lorsque SamSam a frappé, il a provoqué une panne dans tous les réseaux de COSCO aux États-Unis, au Canada, au Panama, en Argentine, au Brésil, au Pérou, au Chili et en Uruguay.
Comme pour NotPetya, une fois que SamSam a accédé à votre réseau, les pirates peuvent obtenir des droits d'administration et exécuter des fichiers exécutables sans action ni autorisation humaine. Le groupe à l'origine de SamSam ne commercialise pas son ransomware en tant que produit de base via un modèle SaaS - il en assure le développement en interne et le met à jour fréquemment pour éviter les défenses de sécurité des entreprises.
L'attaque SamSam s'est produite peu après l'acquisition par COSCO d'un de ses rivaux, Orient Overseas Container Lines. En activant leurs plans d'urgence, les opérations de COSCO sont revenues à la normale en cinq jours. Les dommages éventuels causés par la cyberattaque n'ont pas été divulgués.
Leçons tirées de COSCO
Segmentez vos réseaux maritimes : Parce que COSCO avait isolé ses réseaux internes dans le monde entier, elle a pu limiter les dégâts. La segmentation des réseaux vous aide à réduire la surface d'attaque et constitue un concept architectural très utile dans le cadre d'une stratégie de cybersécurité de défense approfondie. Vos réseaux OT et IT doivent être segmentés pour limiter la propagation d'une cyberattaque et l'empêcher de se propager latéralement vers les contrôles de vos navires critiques.
Disposez d'un plan d'urgence : Comme toute organisation, les entreprises du secteur maritime doivent disposer d'un plan d'urgence qui leur permettra de poursuivre leurs activités pendant qu'elles se remettent d'une cyberattaque. Dans le cas de COSCO, l'entreprise s'est assurée de disposer de procédures alternatives pour communiquer avec les clients et traiter les demandes de service. Elle a également utilisé les médias sociaux pour répondre directement aux demandes de service et a mis à jour un document FAQ chaque fois qu'il y avait un changement de statut. Bien que la communication avec les clients par courrier électronique et par téléphone ait pris un peu plus de temps, l'entreprise a pu poursuivre le traitement des marchandises aux États-Unis et au Canada sans aucune interruption.
Cyberattaques maritimes - CMA CGM 2020
Le 28 septembre, la société française CMA CGM a signalé une cyber-attaque sur des serveurs périphériques. La compagnie possède plus de 480 navires, opérant dans 150 pays différents. L'attaque a entraîné une limitation de la
L'attaque a entraîné une disponibilité limitée de l'informatique dans l'ensemble du groupe, à l'exception de CEVA Logistics, car la société a interrompu l'accès externe aux applications afin d'empêcher la propagation du logiciel malveillant. L'entreprise a ensuite annoncé qu'elle soupçonnait également une violation de données et qu'elle évaluait actuellement la nature et le volume des informations concernées.
Comme pour NotPetya, une fois que SamSam a accédé à votre réseau, les pirates peuvent obtenir des droits d'administration et exécuter des fichiers exécutables sans action ni autorisation humaine. Le groupe à l'origine de SamSam ne commercialise pas son ransomware en tant que produit de base via un modèle SaaS - il en assure le développement en interne et le met à jour fréquemment pour éviter les défenses de sécurité des entreprises.
L'attaque SamSam s'est produite peu après l'acquisition par COSCO d'un de ses rivaux, Orient Overseas Container Lines. En activant leurs plans d'urgence, les opérations de COSCO sont revenues à la normale en cinq jours. Les dommages éventuels causés par la cyberattaque n'ont pas été divulgués.
Leçons tirées de COSCO
Segmentez vos réseaux maritimes : Parce que COSCO avait isolé ses réseaux internes dans le monde entier, elle a pu limiter les dégâts. La segmentation des réseaux vous aide à réduire la surface d'attaque et constitue un concept architectural très utile dans le cadre d'une stratégie de cybersécurité de défense approfondie. Vos réseaux OT et IT doivent être segmentés pour limiter la propagation d'une cyberattaque et l'empêcher de se propager latéralement vers les contrôles de vos navires critiques.
Disposez d'un plan d'urgence : Comme toute organisation, les entreprises du secteur maritime doivent disposer d'un plan d'urgence qui leur permettra de poursuivre leurs activités pendant qu'elles se remettent d'une cyberattaque. Dans le cas de COSCO, l'entreprise s'est assurée de disposer de procédures alternatives pour communiquer avec les clients et traiter les demandes de service. Elle a également utilisé les médias sociaux pour répondre directement aux demandes de service et a mis à jour un document FAQ chaque fois qu'il y avait un changement de statut. Bien que la communication avec les clients par courrier électronique et par téléphone ait pris un peu plus de temps, l'entreprise a pu poursuivre le traitement des marchandises aux États-Unis et au Canada sans aucune interruption.
Cyberattaques maritimes - CMA CGM 2020
Le 28 septembre, la société française CMA CGM a signalé une cyber-attaque sur des serveurs périphériques. La compagnie possède plus de 480 navires, opérant dans 150 pays différents. L'attaque a entraîné une limitation de la
L'attaque a entraîné une disponibilité limitée de l'informatique dans l'ensemble du groupe, à l'exception de CEVA Logistics, car la société a interrompu l'accès externe aux applications afin d'empêcher la propagation du logiciel malveillant. L'entreprise a ensuite annoncé qu'elle soupçonnait également une violation de données et qu'elle évaluait actuellement la nature et le volume des informations concernées.
Au moment de l'annonce, le site eBusiness de CMA CGM et deux filiales, Mercosul et Containerships, sont à nouveau pleinement opérationnels. La société a également annoncé que les activités maritimes et portuaires sont pleinement opérationnelles. Bien que le processus de rétablissement des fonctionnalités soit en cours, la menace que cette attaque fait peser sur le secteur du transport maritime nécessite une analyse plus approfondie.
Leçons tirées de CMA CGM
L'attaque a commencé sur le bureau de la compagnie situé en Chine. Les évaluations préliminaires concluent : l'attaque est l'œuvre du ransomware Ragnar Locker. Il s'agit d'une sorte de ransomware de cryptage, découvert pour la première fois en décembre 2019. Ragnar Locker filtre et crypte les données sensibles. Le paiement, la libération du code de cryptage. Le ransomware peut être identifié avec un hachage MD5 de 6171000983CF3896D167E0D8AA9B94BA. Il sert de principal indicateur de compromission (IoC) de la menace.
La fonction de découverte des périphériques du ransomware lui permet de se propager rapidement sur les disques amovibles et les lecteurs réseau mappés. Cela explique la décision de CMA CGM de désactiver temporairement les fonctionnalités externes. Notamment, le ransomware dispose d'une fonction de comparaison de chaînes de caractères Unicode. Ragnar Locker a été vu pour la dernière fois attaquant l'entreprise d'énergie EDP en avril 2020.
Cyberattaque contre les technologies opérationnelles - Norsk Hydro 2019
Une attaque paralysante de ransomware a mis à genoux le réseau mondial de Norsk Hydro. Norsk Hydro, a été victime du ransomware LockerGoga.
La colère de LockerGoga est particulièrement tumultueuse car il désactive l'adaptateur réseau de l'ordinateur pour le déconnecter du réseau, change les mots de passe de l'utilisateur et de l'administrateur, et déconnecte la machine. LockerGoga laisse parfois la victime sans possibilité de voir le message de rançon. Ou même savoir qu'elle a été touchée par le ransomware. Ce qui retarde d'autant plus la capacité d'une organisation à récupérer ses systèmes.
Norsk Hydro a estimé que les pirates avaient pénétré dans son réseau deux ou trois semaines avant d'être découverts. Avec plus de 22 000 ordinateurs et des milliers de serveurs affectés sur cinq continents, LockerGoga a mis hors service l'ensemble du réseau mondial de Norsk Hydro, affectant ses activités de production et de bureau. L'estimation des dommages s'élève à environ 71 millions de dollars.
Leçons tirées de Norsk Hydro
Soyez transparent : Tout comme Maersk, Norsk Hydro a partagé plus d'informations que d'habitude avec les autorités, donnant aux enquêteurs suffisamment d'informations pour avertir d'autres organisations afin de prévenir des attaques similaires. Norsk Hydro a porté sa transparence à un niveau supérieur pour tenir tout le monde informé. L'entreprise a tenu des conférences de presse quotidiennes à son siège d'Oslo, a créé un site Web temporaire, a fourni des mises à jour sur Facebook et a organisé des webcasts quotidiens animés par des cadres supérieurs qui répondaient aux questions du public.
Ne jamais baisser la garde : il a fallu plusieurs mois à Norsk Hydro pour reconstruire son infrastructure. Déployer une nouvelle segmentation du réseau pour s'assurer que l'informatique et l'OT se protègent correctement. Au cours de leurs investigations initiales, ils ont trouvé plusieurs variantes du virus que les pirates avaient implantées au cas où ils n'auraient pas réussi du premier coup. Les pirates passent de nombreuses heures à développer, tester et exécuter leurs attaques, et vous devez adopter la même approche pour votre stratégie de cybersécurité. La sécurité de vos réseaux est une responsabilité qui incombe à toute l'entreprise. Elle exige une sensibilisation et une éducation constantes à la sécurité pour l'organisation et une surveillance permanente de votre cadre de cybersécurité afin de minimiser les risques dans l'ensemble de votre environnement maritime.
"Progressivement, de nouveaux ordinateurs et serveurs sont connectés à ces zones. De plus en plus d'employés peuvent désormais se connecter au réseau. Le danger n'est toujours pas écarté." - Responsable informatique de Norsk Hydro
Conclusion sur les cyberattaques maritimes
La cyberattaque de Norsk Hydro n'est pas une attaque contre l'industrie maritime. Mais elle sert de signal d'alarme pour l'industrie. Les pirates ne font pas de discrimination - ils s'en prennent aux organisations, grandes ou petites, avec ou sans ressources abondantes en matière de cybersécurité. La protection de l'environnement OT de votre navire n'est pas une tâche facile, mais avec les bonnes mesures et procédures de sécurité en place pour vous aider à maintenir l'intégrité et la continuité des opérations de votre navire, vous êtes sur la bonne voie pour garder une longueur d'avance sur les pirates malveillants.
Pour réagir à ce post merci de vous connecter ou s'inscrire si vous n'avez pas encore de compte.