Polytechnique crée le Centre d’excellence en matière de cybersécurité maritime

MONTRÉAL — Un nouveau pôle de recherche créé à Polytechnique Montréal aura comme objectif de protéger les navires de la planète de pirates qui n’ont rien à voir avec Barbe-Noire ou le capitaine Kidd.

Le nouveau Centre d’excellence en matière de cybersécurité maritime du Canada combinera les expertises de deux chercheurs de Polytechnique, de l’entreprise québécoise en démarrage Neptune Cyber et de Chantier Davie Canada, a appris en primeur La Presse Canadienne.

Ce projet de recherche et développement d’une durée de cinq ans portera sur la cybersécurité des infrastructures maritimes critiques.

«Il est temps de faire quelque chose, parce que l’industrie maritime est quand même en retard technologique, il ne faut pas se le cacher, a prévenu le directeur technologique de Neptune Cyber, Jeremy Citone. Il est temps que l’industrie maritime se mette au niveau. Il est temps que quelqu’un s’en occupe.»

Des composantes critiques des navires — comme le pilotage, la navigation et les moteurs — sont de plus en plus reliées à internet, principalement pour être en mesure de réaliser des diagnostics à distance et pour éviter de devoir envoyer un réparateur à bord d’un bateau qui se trouve peut-être de l’autre côté de la planète.

Mais des systèmes reliés à internet deviennent bien évidemment des cibles potentiellement alléchantes pour des pirates informatiques qui pourraient tenter de paralyser un navire dans l’espoir de soutirer une rançon colossale à l’armateur.

«L’idée est de voir dans quelle mesure, avec notre bagage et notre expertise, on peut amener des solutions intéressantes pour rendre ces systèmes-là résilients, a dit la professeure Nora Cuppens. Il faut que les solutions qu’on sait faire soient adaptées pour qu’elles soient applicables dans d’autres domaines particuliers, comme le secteur maritime.»

Avions, autos, bateaux

Les pirates informatiques ont maintes fois démontré que la menace qu’ils représentent doit être prise au sérieux.

En juin 2017, de multiples compagnies — dont le géant danois Maersk, qui compte 574 bureaux dans 130 pays — ont été frappées de plein fouet par le rançongiciel NotPetya. Maersk a mis près de deux semaines à se relever de cette attaque, qui lui aurait coûté au moins 300 millions $ US.

Plus près de nous, la Société de transport de Montréal a été victime en octobre dernier d’une attaque au rançongiciel qui a paralysé certaines de ses activités pendant plusieurs jours. La facture de la STM se serait élevée à quelque 2 millions $.

On imagine donc facilement ce qui pourrait se produire si des pirates informatiques prenaient les commandes d’un avion et menaçaient de l’envoyer s’écraser en plein centre-ville d’une métropole. Ou encore, s’ils prenaient le contrôle de quelques dizaines de voitures sur une autoroute avec l’intention de provoquer un carambolage.

Mais qui s’inquiète de voir un jour un cargo hors de contrôle foncer à pleine vapeur dans la voie maritime du Saint-Laurent?

«On a l’impression qu’il n’y a pas grand monde qui s’est posé la question, a dit M. Citone. Aujourd’hui on parle de voitures autonomes, mais imaginez le nombre de porte-conteneurs qui se baladent à travers le monde… Ce serait quand même beaucoup plus simple s’ils étaient autonomes. Absolument tous les bateaux ont un pilote automatique, alors qu’aujourd’hui les voitures, ce n’est pas le cas.»

Les pirates somaliens n’auraient même plus besoin de mitraillettes pour prendre le contrôle d’un navire, ajoute-t-il: une fois le bateau immobilisé à distance, il leur suffirait de sortir l’échelle et de monter à bord.

Aucune norme

Depuis le 1er janvier 2021, l’Organisation maritime internationale (IMO) exige des armateurs et exploitants l’intégration de la gestion des risques cybernétiques dans leurs initiatives de sécurité lors de la première vérification annuelle des attestations de conformité. Il s’agit du premier cadre règlementaire en cybersécurité pour l’industrie maritime.

La cybersécurité des navires et des installations portuaires n’était jusqu’à présent assujettie à aucune norme internationale. Il existait tout au plus quelques guides des bonnes pratiques, mais la chose était essentiellement laissée à la bonne volonté des armateurs et des responsables.

«On va le faire quand c’est possible de le faire», a résumé la professeure Cuppens, qui participe à ce projet avec son collègue José M. Fernandez. Tous deux possèdent une solide expertise dans le domaine de la cybersécurité des infrastructures critiques, de la cyberrésilience et de la cyberdéfense.

«Ce sont plus des procédés, a ajouté M. Citone, qui est aussi le directeur technologique de Davie. Par exemple, qu’est-ce que vous devez faire si vous avez une attaque sur un bateau? Mais si l’attaque est déjà arrivée, c’est trop tard: vous êtes au milieu de l’océan et vous êtes en panne.»

Le Centre d’excellence en matière de cybersécurité maritime souhaite donc travailler en amont, en détectant et en neutralisant les menaces avant qu’elles n’aient eu le temps de se concrétiser et de mettre en danger la sécurité des gens qui se trouvent à bord du navire.

Au-delà des attaques qui pourraient cibler les installations portuaires ou les systèmes critiques à bord des navires, Mme Cuppens insiste sur la nécessité de protéger la totalité de la chaîne d’approvisionnement, qui inclut par exemple les camions qui partent du port pour aller ravitailler des entreprises.

«Il faut aligner les planètes et réduire la surface d’attaque sur cette chaîne d’approvisionnement», a-t-elle dit.

Solutions pratiques

La construction d’un nouveau navire peut prendre jusqu’à cinq ans. Quand on sait avec quelle rapidité les menaces peuvent évoluer en matière de cybersécurité, il est essentiellement impossible de prédire aujourd’hui contre quoi on devra se protéger demain.

Il faudra donc que les solutions envisagées — qu’elles soient installées physiquement à bord du navire ou à distance — puissent être déployées rapidement et à faible coût, a souligné M. Citone.

«Si on veut que ça marche, il ne faut pas que l’armateur doive débourser X millions de dollars pour l’installer, sinon il ne le fera pas et ça n’entrera pas dans la culture», a-t-il dit.

Il faudra aussi s’intéresser au facteur humain, a prévenu Mme Cuppens, comme l’employé qui amène une clé USB à bord du navire pour regarder un film et qui infecte tous les systèmes avec un virus.

Le projet commence à peine. D’ici un an, les participants espèrent avoir débroussaillé le sujet et précisé à quoi ils doivent s’attaquer.

«Il faudrait avoir identifié et priorisé les vulnérabilités et les problèmes qu’on doit adresser, a dit Mme Cuppens. Si on a posé les premières briques de comment adapter les solutions connues, on sera très contents.»

Neptune Cyber et Chantier Davie Canada feront une contribution de 1,7 million $, dont 500 000 $ en espèces et 1,2 million $ en soutien et en équipements pour la durée de ce projet.

Une dizaine d’étudiants de niveau maitrise et doctorat seront formés dans le cadre de ce projet. Ils constitueront la première vague d’experts spécialisés dans ce nouveau domaine.