Si un port piraté peut menacer l’approvisionnement en jus d’orange des États-Unis, imaginez quels logiciels malveillants d’État déjà cachés sur nos quais pourraient réellement éliminer.
Un seul navire appelé Orange Star accoste à Port Elizabeth dans le New Jersey, transportant 38 848 mètres cubes de concentré de jus d’orange. Un navire, arrivant chaque semaine, fournit du jus d’orange utilisé par tous les grands détaillants de la ville. Si les systèmes de Port Elizabeth tombaient en panne demain en raison d’une cyberattaque, 46 millions de consommateurs dans un rayon de quatre heures de camionnage en ressentiraient l’impact en quelques jours.
La menace est réelle. La récente fermeture du gouvernement a mis au chômage le personnel de la CISA et de la FEMA à un moment critique d’exposition et de vulnérabilité. Le cadre juridique qui a permis le partage de renseignements sur les menaces entre le gouvernement et l’industrie ? Cette loi a expiré le 30 septembre lorsque le Congrès n’a pas réussi à réautoriser la loi de 2015 sur le partage d’informations sur la cybersécurité. Et le malware ? Cela est déjà en place, prépositionné par les acteurs des États-nations qui attendent le bon moment géopolitique pour le déclencher.
C’est ce que l’on pourrait appeler la « tempête parfaite de vulnérabilité », et elle frappe actuellement l’infrastructure maritime américaine.
La preuve n’est pas théorique
Fin 2024, des pirates informatiques ont attaqué le port de Seattle avec un ransomware, exigeant 6 millions de dollars et divulguant des données sensibles sur le dark web lorsque leurs demandes n’étaient pas satisfaites. Mais la véritable menace s’étend bien au-delà des acteurs opportunistes des ransomwares.
En tant que membre du Area Maritime Security Committee (AMSC) pour le secteur New York auprès de la Garde côtière américaine, je vois par moi-même comment les installations maritimes se préparent aux nouvelles exigences de cybersécurité du Titre 33 CFR entrées en vigueur en juillet 2025. Certains ports, comme l’Autorité portuaire de New York et du New Jersey, ont les ressources et la maturité nécessaires pour s’y conformer. Ils effectuent des tests d’intrusion, des exercices d’équipe rouge et des exercices sur table depuis des années.
Mais qu’en est-il des plus de 2 300 autres installations réglementées par la Maritime Transportation Security Act (MTSA) ?
Prenons l’exemple de SeaPort Manatee en Floride, une installation qui a transporté 11,8 millions de tonnes de marchandises en 2024, générant un impact économique de 7,3 milliards de dollars. Ils ont dépensé 97 500 $ pour une évaluation de la cybersécurité en juin 2024, dont 75 % sont financés par un programme de subventions pour la sécurité portuaire du DHS FEMA. C’est un établissement qui fait les choses correctement. Mais alors qu’ils se remettaient encore des dégâts causés par l’ouragan Milton, combien de petites installations se démenaient pour trouver ne serait-ce que ce niveau de financement ?
Lorsque le port japonais de Nagoya a été touché par un ransomware en 2023, initialement attribué au gang LockBit, affilié à la Russie, le système informatique central a été compromis et les opérations de fret ont été suspendues pendant plusieurs jours. Le blocage du canal de Suez en 2021 par l’Ever Given – un incident physique et non cybernétique – a entraîné un blocage du commerce estimé à 10 milliards de dollars par jour. Imaginez maintenant cette perturbation déclenchée délibérément par des logiciels malveillants déjà intégrés dans les systèmes portuaires tels que les portiques.
Il s’agit d’un problème de main-d’œuvre, pas d’un problème de fournisseur.
La nouvelle réglementation exige que les 3 000 installations MTSA désignent un responsable de la cybersécurité (pourquoi la Garde côtière les a nommés CySO et ne pouvait pas simplement les appeler RSSI, je ne sais pas). Trouver des centaines de personnes qualifiées qui comprennent à la fois la technologie opérationnelle dans les environnements maritimes et la cybersécurité est presque impossible. De nombreuses installations recherchent des professionnels de l’informatique qui auront besoin d’une formation croisée sur les systèmes et actifs de technologie maritime avec des cycles de vie de plus de 30 ans. Ceci est très différent de l’amortissement des dépenses en capital d’un ordinateur portable tous les 3 à 5 ans.
Il est particulièrement préoccupant de constater que des milliers de RSSI envisagent de quitter leurs fonctions au sein de l’entreprise, car ils en ont assez d’être utilisés comme boucs émissaires en cas de violation. Espérons que certains recherchent désormais un travail secondaire en tant qu’entrepreneurs à temps partiel avec des installations maritimes, le considérant comme une atténuation des pertes d’emploi tout en faisant quelque chose qui leur procure une véritable satisfaction professionnelle. S’ils étaient embauchés, ils verraient immédiatement les avantages de leur travail visant à améliorer la sécurité d’une installation portuaire dans leur ville natale.
Il s’agit là de notre stratégie de protection des infrastructures critiques : des professionnels épuisés travaillent au noir parce que les installations ne peuvent pas se permettre d’embaucher du personnel qualifié à temps plein.
Ce que les développeurs et les équipes de sécurité peuvent réellement faire
Si vous lisez ceci et pensez : « Je ne travaille pas dans un port, pourquoi est-ce important ? réfléchissez ensuite à vos propres dépendances en matière de chaîne d’approvisionnement. Votre entreprise fournit très probablement des services en utilisant des solutions tierces, dont beaucoup dépendent d’une logistique maritime à laquelle vous ne pensez même pas. Le risque systémique qui émerge des systèmes complexes signifie qu’une fermeture de port ne se contente pas de retarder les livraisons d’Amazon.
Pendant la pandémie, nous n’avons pas pu nous procurer de papier toilette ni d’ordinateurs portables. Nos chaînes d’approvisionnement ont été profondément perturbées par une crise sanitaire. Imaginez maintenant ce genre de perturbation généralisée déclenchée délibérément, avec le personnel gouvernemental chargé de la cybersécurité ayant été licencié à un moment critique ou sans aucun cadre juridique pour partager en toute sécurité des renseignements sur les menaces parce que le Congrès a laissé expirer ces renseignements.
Trois étapes concrètes pour ce trimestre :
- Si vous êtes responsable d’infrastructures critiques ou fournissez des services pour les systèmes de base de la chaîne d’approvisionnement, effectuez une évaluation réaliste de la résilience de ce qu’une perturbation maritime de 72 heures signifierait pour vos opérations. Il ne s’agit pas d’une évaluation théorique des risques mais d’un exercice pratique de continuité des activités.
- Pour les installations de taille moyenne confrontées à ces exigences, prévoyez entre 20 000 $ et 25 000 $ pour les tests d’intrusion. Explorez le programme de subventions d’État et local pour la cybersécurité (SLCGP) de la FEMA, mais sachez qu’il a souvent des exigences de financement de contrepartie non fédérales. Mieux encore, trouvez des moyens permettant aux universités, aux secteurs privé et public de collaborer, comme le MTS-ISAC, plutôt que d’avancer dans l’isolement.
- Si vous êtes RSSI et envisagez la suite de votre carrière, sachez que les installations maritimes ont désespérément besoin de votre expertise. Ce n’est pas un théâtre de sécurité d’entreprise. Il s’agit d’un travail essentiel pour protéger les infrastructures dont dépendent des millions de personnes. dont vous et votre famille dépendez.
Le bruit du sabre devient de plus en plus fort
Le climat géopolitique actuel place la sécurité maritime à un niveau élevé de préparation aux conflits internationaux. Si un État-nation voulait décourager l’intervention américaine dans une forme d’agression en Asie-Pacifique, en Amérique du Sud ou ailleurs, on pense que le logiciel malveillant est déjà en place, prêt à être déclenché.
Dans mes discussions au sein de l’AMSC, nous travaillons constamment sur des scénarios. Qu’est-ce qui constitue un incident lorsque le niveau MARSEC (MARitime SECurity) doit être élevé de 1 à 2 pour une menace de cybersécurité ? MARSEC niveau 2 nécessite des mesures de sécurité de protection supplémentaires pendant un certain temps dans les installations nautiques et les navires.
C’est le genre de chose qui n’est pas encore arrivée, mais pour laquelle nous nous entraînons constamment. Le défi est que tout ce qui compromettrait les systèmes de sécurité d’un port entraînerait la fermeture de l’ensemble du port. Il existe un élément de risque systémique pour l’écosystème complexe que soutiennent les ports, qui comprend le transport ferroviaire, le camionnage, le transport maritime, le carburant ou, oui, la livraison hebdomadaire de jus d’orange.
La Garde côtière américaine dispose de pouvoirs d’autorité assez étendus en cas d’incident. Mais ces pouvoirs sont compromis lorsque le personnel de la CISA a été licencié et que le partage de renseignements sur les menaces a perdu sa protection juridique. Nous pouvons nous attendre à ce que les investisseurs institutionnels et les agences sectorielles continuent de collaborer, mais ils le feront avec des risques supplémentaires (et évitables).
Actions du lundi matin
J’ai vécu à Manhattan pendant les premiers confinements liés au COVID. J’ai vu des équipes SWAT équipées de fusils de sniper prendre position sur les toits en face des épiceries. Il s’agissait d’un plan d’urgence qui, heureusement, n’avait pas besoin d’être activé. Mais cela a révélé quelque chose de crucial : tout ce qui menace la capacité de se procurer des produits de première nécessité va rapidement prendre une ampleur que nous préférerions ne pas envisager.
L’exemple du jus d’orange ne concerne pas le jus d’orange. Il s’agit de ce que représente l’Orange Star. Un système complexe maintenu par une infrastructure vieillissante que 3 000 installations doivent désormais mieux sécuriser, avec des agents de cybersécurité dont ils ne disposent pas, utilisant des subventions bloquées pendant la fermeture du gouvernement, tandis que le cadre juridique pour le partage des menaces a expiré et que les logiciels malveillants des États-nations restent en sommeil dans leurs systèmes.
Ce que vous devriez faire lundi matin : Élevez la discussion sur les risques liés à la cybersécurité avec les élus, les conseils d’administration et les citoyens ordinaires. Acceptez le mantra de la réponse aux incidents : la question n’est pas de savoir si, mais plutôt de savoir quand.
En tant que professionnel de la sécurité de l’information qui travaille dans ce secteur depuis plus de 30 ans et qui a donné naissance à d’importants sites de commerce électronique dans la bulle Internet 1.0, construisant et protégeant les banques et les infrastructures critiques dans les années qui ont suivi, je ne suis pas optimiste. Avons-nous le courage et le courage de faire ce qui est nécessaire ?
Nous devons travailler ensemble maintenant avec concentration, conviction et verve, car l’alternative est impensable. Je mentionne le mot « verve » parce que je pense qu’il doit y avoir une énergie créatrice dans la façon dont nous défendons notre résilience collective et dont nous défendons notre communauté, notre démocratie et notre mode de vie.
Il n’existe pas de plan de réponse aux incidents en cas de tempête parfaite. Seulement une préparation avant qu’il ne frappe.
Cet article est publié dans le cadre du Foundry Expert Contributor Network.
Voulez-vous nous rejoindre ?
