Alors que le secteur du transport maritime est victime d’un nombre grandissant de cyberattaques, un projet commun de Polytechnique Montréal, l’entreprise Neptune Cyber et le chantier naval Davie vise à former de nouveaux spécialistes en cybersécurité maritime et à sécuriser ces infrastructures essentielles et particulièrement vulnérables.

Antoine Trussart
Antoine Trussart Collaboration spéciale

« Il faut savoir qu’aujourd’hui, un bateau c’est un ordinateur flottant », affirme d’emblée Jeremy Citone, directeur technique chez Neptune Cyber, une entreprise spécialisée en cybersécurité maritime. Et comme tout ordinateur connecté à l'internet, les navires sont susceptibles d’être victimes de cyberattaques.

Les navires sont particulièrement vulnérables parce qu’ils ont des systèmes informatiques généralement assez âgés et que les informations qu’ils envoient sur l’internet, notamment leur position et leur direction, ne sont pas sécurisées.

En pleine mer où l’internet n’est accessible que par satellite, il peut également être difficile pour un navire de faire une mise à jour de sécurité critique sur son système informatique. Des malfaiteurs pourraient facilement profiter de cette incapacité de se mettre à jour pour attaquer un navire, selon M. Citone.

C’est pour remédier à ces problèmes de sécurité que Neptune Cyber s’est associée à Polytechnique Montréal et au chantier naval Davie en janvier dernier pour un projet de partenariat en recherche et développement d’une durée de cinq ans.

La première partie de ce projet consiste en la création d’un outil de simulation, soit un « jumeau numérique » de l’infrastructure informatique d’un navire sur lequel travaillent des étudiants de Polytechnique.

« On doit évaluer les différentes composantes qui sont embarquées dans les navires » pour y trouver des failles, commente Nora Cuppens, professeure titulaire à Polytechnique Montréal.

En collaboration avec Neptune Cyber, les étudiants attaquent le système informatique du navire et constatent l’impact de leurs attaques. Des marins et officiers sont aussi mis à contribution pour connaître leur réaction à différents types d’attaques au système de navigation, au moteur ou à tout autre système névralgique du navire.

« Le facteur humain est important », souligne Mme Cuppens. Les attaques peuvent être modulées en fonction de l’heure du jour et des réactions habituelles des marins aux informations qu’ils ont devant eux.

Par exemple, une attaque ciblée pourrait toucher le système de navigation du navire et faire croire au pilote qu’il est décalé de quelques mètres en pleine nuit, mettant le navire à risque d’accident. Dans le cas d’un pétrolier, les conséquences pourraient être particulièrement dramatiques.

Rançongiciels

Dans le secteur maritime comme ailleurs, la majorité des cyberattaques demeurent le fruit de rançongiciels qui verrouillent le système informatique jusqu’à ce qu’une rançon soit payée aux attaquants. Les virus ne visent pas nécessairement les navires en particulier, mais plutôt toute faiblesse dans la sécurité d’un ordinateur connecté à l’internet.

Selon M. Citone, c’est ce qui est arrivé à un bateau de croisière de 500 passagers, dont le poste de pilotage a récemment été verrouillé par une attaque. Un navire est également resté longtemps immobilisé au port de New York après une telle intrusion en 2019.

« Le but [du partenariat] est la conception d’architectures cyberrésilientes et sécurisées pour de futurs navires. On doit trouver des solutions pour les navires existants et aussi les navires qui seront construits », dit Mme Cuppens.

En parallèle avec ce projet, Polytechnique Montréal a également développé un partenariat avec IRT SystemX en France pour développer des solutions de cybersécurité des ports.

« On essaie de traiter toute la chaîne » de cette infrastructure critique, conclut Mme Cuppens.