Article

Numérisation dans les ports et terminaux : les avancées technologiques augmentent le risque

Les ports et les terminaux intelligents d’aujourd’hui adoptent de nouvelles technologies – opérations à distance, systèmes autonomes et plateformes d’information et de communication intégrées – pour mieux suivre et surveiller les expéditions et accélérer les livraisons, l’entreposage et le dédouanement. L’objectif est d’augmenter la productivité et d’améliorer l’expérience client.

Container ship export import business logistics Shipping cargo to harbor by crane

Les ports et les terminaux intelligents d’aujourd’hui adoptent de nouvelles technologies – opérations à distance, systèmes autonomes et plateformes d’information et de communication intégrées – pour mieux suivre et surveiller les expéditions et accélérer les livraisons, l’entreposage et le dédouanement. L’objectif est d’augmenter la productivité et d’améliorer l’expérience client.

La quête pour augmenter la vitesse, réduire les délais, encourager la visibilité des opérations de la chaîne d’approvisionnement et rendre l’exécution plus efficace signifie que les ports et les terminaux ont accru leur dépendance à la technologie. Bien que l’occasion de tirer profit de volumes de fret plus élevés et d’améliorer le rendement l’emporte sur les risques correspondants lorsqu’on gère correctement la situation, cette augmentation de la dépendance à la technologie entraîne quand même de plus grands cyberrisques.

La somme de chacune des mises au point et de chacun des investissements en technologies effectués généralement au fil de nombreuses années se traduit par une structure technologique héritée non homogène et plus vulnérable aux cybermenaces.

De plus, de meilleures capacités de données et des technologies connectées – tant à l’interne qu’avec les parties prenantes externes – introduisent de nouveaux points d’accès et de nouvelles vulnérabilités qui pourraient permettre aux auteurs de menaces avancées actuels d’accéder à un réseau.

Vulnérabilités accrues dans une surface d’attaque élargie

Comme c’est le cas dans n’importe quel secteur, les nouvelles technologies adoptées par les ports et les terminaux présentent des vulnérabilités que les auteurs de menaces peuvent facilement exploiter par l’intermédiaire de bases de données publiques en ligne.

Les nouvelles technologies et leurs points de contact accrus créent une surface d’attaque élargie, c’est-à-dire la globalité de toutes les vulnérabilités et faiblesses connues, inconnues et potentielles dans l’ensemble des éléments du personnel, du matériel, des logiciels et de réseautage qui peuvent présenter un point d’entrée aux cybercriminels.

Un cyberincident majeur pourrait entraîner l’arrêt des activités d’un port ou d’un terminal pendant des heures, des jours ou même des semaines. Et puisque les ports et les terminaux sont des infrastructures essentielles, les interruptions peuvent se répercuter dans les chaînes d’approvisionnement mondiales, causant des retards importants et d’autres problèmes.

De plus, les cyberattaques peuvent causer des dommages matériels qui menacent non seulement les activités, mais aussi la sécurité des travailleurs et des autres personnes. Par exemple, les auteurs de menaces pourraient manipuler les capteurs et les thermostats d’un port, ce qui pourrait provoquer un incendie et menacer les navires amarrés, surtout ceux qui transportent des combustibles et des produits chimiques inflammables.

Ces risques soulignent l’importance pour les ports et les terminaux d’investir dans une stratégie de numérisation intelligente qui repère et corrige les vulnérabilités afin de créer une organisation résiliente capable de résister à une cyberattaque et de s’en rétablir.

Les cybermenaces ne se limitent pas aux logiciels malveillants (maliciels) pouvant se propager entre les fournisseurs et les clients. Ils peuvent aussi comprendre :

* Image disponible en anglais uniquement

L’augmentation des menaces informatiques a incité certaines agences, y compris l’Agence européenne pour la cybersécurité (ENISA), à publier des conseils visant à améliorer la cybersécurité. Le rapport Cyber Risk Management for Ports (Gestion des cyberrisques pour les ports), publié en décembre 2020 par l’ENISA, vise à introduire une approche particulière à l’évaluation des risques de cybersécurité dans les ports.

En 2017, l’Organisation maritime internationale (OMI), responsable de la réglementation des transports maritimes, ainsi que le Comité de la sécurité maritime (MSC) ont publié une série de recommandations pour aider les entreprises maritimes, y compris les ports et les terminaux, à gérer l’intensification de leurs cyberrisques. Les deux organismes ont reconnu le besoin urgent d’attirer l’attention sur les cybermenaces et les vulnérabilités informatiques.

Les autoévaluations et la planification des scénarios aident à évaluer l’environnement des cybermenaces

Pour qu’ils puissent protéger leurs activités contre une menace de plus en plus difficile à gérer, l’on recommande aux ports et aux terminaux d’intégrer des contrôles de cybersécurité efficaces à leurs systèmes et processus. Avec des protections techniques plus efficaces et plus souples, les bons contrôles peuvent aider les entreprises à protéger leurs actifs contre les accès non autorisés, les dommages, le vol et les pertes.

Voici des mesures que tous les ports et terminaux peuvent envisager pour améliorer leur cybersécurité :

Évaluation des cyberrisques : la première étape essentielle pour améliorer la cybersécurité consiste à effectuer, avec les tierces parties concernées, une évaluation approfondie des cyberrisques axée sur la détermination des principaux actifs de TI et de TO et des services portuaires qu’ils soutiennent. En examinant l’ensemble de l’environnement informatique et de la surface d’attaque, les ports et les terminaux peuvent mieux comprendre leur profil de cybersécurité global. Ces outils, créés selon les pratiques exemplaires en matière de cybersécurité, peuvent aider à évaluer la maturité d’un programme de cybersécurité. Par exemple, une autoévaluation peut révéler qu’un partenaire logistique bénéficie d’un accès privilégié, mais inutile, au réseau d’un port. Pour les entreprises, ces connaissances peuvent être indispensables pour repérer et corriger de façon proactive les lacunes qui peuvent mener à des vulnérabilités dangereuses.

Planification de scénarios : partie intégrante d’une stratégie de gestion des cyberrisques, la planification de scénarios permet à votre entreprise de comprendre l’incidence des attaques potentielles et de répéter votre réponse à celles-ci. Les professionnels de la cybersécurité, qui travaillent avec votre entreprise, peuvent déceler les vulnérabilités et recommander des mesures pour améliorer vos défenses.

Quantification : comprendre les coûts réels de divers scénarios vous aidera à savoir où investir des ressources limitées de façon stratégique. Par exemple, combien en coûterait-il au port si les activités sont complètement ou partiellement paralysées pendant quelques heures ou quelques jours? Quelles seraient les répercussions financières et autres si l’arrêt complet du système entraînait un accident majeur?

L’analyse et la quantification de divers scénarios, ainsi que de la réponse attendue de votre part, devraient fournir une image plus claire des répercussions financières potentielles des cyberévénements. Cela nous aidera à prendre des décisions concernant les investissements en cybersécurité, y compris la souscription à une cyberassurance suffisante.

Cinq mesures pour gérer les cyberrisques

À mesure que la numérisation introduit de nouvelles vulnérabilités, les ports et les terminaux peuvent envisager l’intégration à leur autoévaluation des cinq étapes du cadre de cybersécurité formulées par le National Institute of Standards and Technology (NIST) :

* Image disponible en anglais uniquement

Gérer les cyberrisques au moyen de contrôles de cybersécurité

Afin d’accroître leur efficacité future, les ports et les terminaux continueront à adopter des technologies intelligentes. Toutefois, à mesure que leur surface d’attaque s’élargit, leurs risques sur les plans financier, réglementaire et réputationnel augmenteront également.

La mise en place de mesures de cyberhygiène est essentielle pour réduire les cyberrisques. De plus, de nombreux cyberassureurs scrutent attentivement les contrôles informatiques des entreprises et celles qui ne répondent pas aux attentes risquent de ne pas pouvoir renouveler leur police ou de ne pas obtenir la couverture et le tarif qu’elles recherchent.

Même si les mesures de cyberhygiène font partie des pratiques exemplaires depuis plusieurs années, certaines entreprises ne les ont pas encore intégrées à leurs processus courants. Bien que 12 contrôles principaux devraient être adoptés, les entreprises peuvent commencer par se concentrer sur les cinq aspects suivants :

* Image disponible en anglais uniquement

Par où commencer?

Bien que les cyberrisques ne puissent être complètement éliminés, une stratégie de gestion des risques appropriée ainsi qu’un programme de cyberassurance solide peuvent contribuer à atténuer les risques et à se remettre plus rapidement à la suite d’un incident. Les ports et les terminaux peuvent prendre des mesures pour devenir plus cyberrésilients, en commençant par les cinq étapes suivantes :

 

  1. Améliorer la formation et l’éducation. De nombreux employés de tous les niveaux du secteur maritime n’ont pas reçu la formation sur le numérique et la technologie dont ils ont besoin pour gérer les risques liés à la cybersécurité dans une industrie de plus en plus numérisée. Les actions des gens représentent un défi important pour les entreprises qui cherchent à devenir plus résilientes, et la réduction des erreurs humaines est essentielle pour assurer la sécurité des ports et des terminaux. Il est important de reconnaître que les travailleurs ont tendance à avoir des niveaux différents de sensibilisation à la cybersécurité selon leurs expériences et leurs compétences respectives. Une formation et une éducation adéquates de votre personnel sont essentielles pour accroître votre cyberrésilience.
  2. Investir dans un personnel spécialisé en cybersécurité. La formation de l’ensemble des équipes est essentielle pour réduire les erreurs humaines qui pourraient mener à des cyberattaques. Toutefois, compte tenu des risques associés à l’augmentation de la numérisation, les ports et les terminaux devraient également envisager d’investir dans un personnel possédant une solide expérience des processus de cybersécurité pour mener l’effort. Cette équipe devrait inclure des experts capables de gérer la taille et la complexité de votre entreprise; pour les grandes entreprises, l’équipe devrait être dirigée par un chef de la sécurité de l’information relevant du conseil d’administration.
  3. Comprendre les risques causés par les tiers. Les ports et les terminaux fonctionnent dans un écosystème complexe de fournisseurs, d’utilisateurs et de clients. Un port, par exemple, peut avoir des centaines de parties prenantes qui fournissent des services, chacune ayant diverses forces et faiblesses en matière de cybersécurité. Prévoir les points de contact et la manière dont les activités sont liées aidera à comprendre comment chaque partie contribue aux vulnérabilités en matière de cybersécurité. Il est important de planifier et d’évaluer les risques que présentent les fournisseurs et d’inclure des exigences dans les contrats pour protéger l’entreprise. Une communication fréquente entre les parties prenantes est essentielle pour comprendre tous changements dans la cybersécurité. De plus, il est recommandé que les entreprises envisagent de retirer aux fournisseurs tiers les accès superflus à leurs systèmes informatiques.
  4. Corriger les faiblesses des systèmes. De nombreux ports et terminaux possèdent des actifs opérationnels hérités – y compris systèmes de technologie opérationnelle, réseaux informatiques, appareils destinés aux utilisateurs finaux et composants de communication – qui sont désuets ou qui n’ont pas fait l’objet des mises à jour de sécurité nécessaires. L’intégration d’une nouvelle technologie aux systèmes hérités pourrait également entraîner des problèmes de sécurité. Les experts de la cybersécurité qui ont une bonne visibilité à l’échelle de l’entreprise peuvent aider à déterminer les faiblesses de ses systèmes pouvant augmenter les cyberrisques et recommander des mesures pour corriger ces lacunes.
  5. Suivre l’évolution des réglementations. Les règlements en matière de cybersécurité sont rédigés par des juridictions partout dans le monde, créant ainsi un environnement réglementaire complexe et en constante évolution. L’OMI et son Comité de la sécurité maritime ont émis des recommandations sur la gestion des cyberrisques maritimes, tandis que les différentes domiciliations ont leurs propres exigences et sanctions en cas de non-conformité. Les groupes portuaires peuvent fonctionner sous plus d’un régime réglementaire, ce qui exige de faire preuve de diligence pour s’assurer que leurs activités répondent à toutes les exigences. Il est probable que l’environnement réglementaire reste complexe, et les sociétés maritimes devront consacrer des ressources au maintien de leur conformité.

Pour relever les défis d’aujourd’hui et évoluer vers la cyberrésilience, il faut changer d’état d’esprit. Bien que les ports et les terminaux aient de nombreuses années d’expérience dans la protection de leurs actifs contre les attaques physiques et les accidents, ils doivent consacrer un effort équivalent à la protection de leurs activités contre les cyberattaques et les cyberévénements en appliquant une solide stratégie de cybersécurité qui comprend une formation ainsi que des contrôles informatiques améliorés. Lorsque les risques liés aux cyberévénements sont bien compris, quantifiés et gérés, les occasions engendrées par la numérisation l’emportent sur ces risques et sont très importantes.