Un grain de sable peut suffire à enrayer la logistique mondiale et à bloquer la chaîne d’approvisionnement. Quand ils sont mal préparés, les acteurs du transport et de la logistique doivent s’attendre à des grains de sable numériques, les cyberattaques. Comment s’y préparer et comment gérer une cybercrise ?
Plus de 80% du trafic mondial de marchandises est assuré par le transport maritime. Des incidents comme l’obstruction du canal de Suez en mars 2021 (qui concentre 12% du commerce mondial) peuvent se traduire par des ruptures massives dans la chaîne d’approvisionnement. Le risque est omniprésent pour les acteurs du transport, qui sont soumis à de nombreux aléas (météo, trafic, conflits, piraterie, …) et font partie d’une supply chain complexe.
Le risque peut aussi être d’ordre numérique. Si les acteurs du transport et de la logistique ne sont pas spécialement la cible privilégiée des hackers, le manque de maturité en matière de cybersécurité constaté dans le secteur peut se traduire par des effets d’aubaine pour les cybercriminels. Avec des impacts potentiels colossaux sur la supply chain. Les activités portuaires sont aussi sujettes à ce risque. Il est facile d’imaginer les conséquences de l’altération des plans de chargement des bateaux ou de la propagation d’attaques vers des environnements opérationnels (OT) sur l’activité d’un port, la sécurité des navires et du personnel.
Et comme les systèmes d’information des bateaux, avions, terminaux, entrepôts… sont de plus en plus souvent connectés, qu’ils s’appuient sur des solutions tierces et qu’ils sont gérés par des fournisseurs externes, la surface d’attaque ne fait que s’accroître. Il est donc nécessaire d’élever le niveau sur le terrain de la sécurité en mettant en place des équipes d’experts connaissant parfaitement les métiers du transport et de la logistique et sachant répondre à une cyber-attaque lorsqu’elle survient.
Lorsqu’une attaque informatique survient, plusieurs vagues d’actions vont se succéder.
Il faut tout d’abord assurer la communication en interne, mais aussi avec les autorités, en fonction des obligations réglementaires imposées dans chaque pays. La communication avec les partenaires est elle aussi essentielle : si l’incident interrompt l’activité du transporteur, cela aura un impact sur les acteurs situés en aval, ce qui va créer une tension importante. Un grand distributeur qui n’est plus approvisionné va exiger un audit une fois l’activité rétablie, lequel peut se traduire par une rupture de contrat, s’il estime que les risques pris par le transporteur sont trop importants. Afin de rassurer les partenaires et maintenir leur confiance, il convient de communiquer en toute transparence sur la teneur de l’attaque, les indicateurs de compromission, ce qui a été fait pour parer les risques, les perspectives de retour à la normale, etc.
Dans le même temps, au-delà de la continuité des activités, il est impératif de lancer immédiatement des actions d’investigation. Elles permettront de savoir où se trouvent les failles par lesquelles sont passés les hackers, afin de les combler, avant de lancer la restauration du système d’information. Le travail des équipes d’investigation est donc crucial. Toutefois, l’excellence opérationnelle étant un enjeu majeur des entreprises du secteur du transport et de la logistique, les investigations sont souvent entravées par les équipes opérationnelles qui, soumises à une très forte pression du management, tentent de remettre en route les systèmes impactés et peuvent se sentir dérangées par les enquêteurs. Pour garantir une action efficace, il faut s’assurer que les enquêteurs disposent des bons contacts dans l’entreprise, ainsi que d’un sponsor fort, qui saura les imposer auprès des autres équipes, métiers comme IT. Les autorités et organismes comme l’ANSSI(1) jouent ici un rôle important.
Une fois la chaîne d’attaque identifiée, il est possible de lancer les actions de restauration des systèmes compromis. En principe, les activités de restauration sont préparées et documentées. Dans la pratique, les équipes sont rarement préparées à des incidents de grande ampleur nécessitant de reconstruire tout le système d’information, comme dans le cas d’une attaque par ransomware. Ceci est d’autant plus vrai dans ce secteur où les fusions & acquisitions sont fréquentes, où l’IT est généralement réparti globalement, à travers plusieurs datacenters plus ou moins homogènes, avec un démarrage récent des projets de transformation et de Cloud hybride.
Il est donc primordial de mettre en place des processus de revue des plans de reprise d’activités en y intégrant régulièrement des nouveaux scénarios cybersécurité suivant les évolutions du paysage de la menace, de ses propres métiers et de son IT, pour être mieux préparés, organisés et outillés face à de tels désastres.
Que ce soit en termes d’outillage, de processus ou de sensibilisation des équipes métiers, chaque attaque doit rapidement être analysée afin d’en tirer des enseignements qui permettront d’éviter qu’elle ne se reproduise dans le futur. Cette analyse permettra de redéfinir sa stratégie cyber de la façon la plus adaptée et cohérente possible, tout en bénéficiant de l’écoute et de l’appui des métiers et du management, qui sont de nouveaux sponsors en matière de cybersécurité. A cet effet, le responsable de la cybersécurité est au cœur du changement de prisme permis par la crise : il doit porter le sujet au plus haut niveau de l’organisation, maintenir cette position dans le temps, intégrer les risques métiers dans sa stratégie et adapter son discours aux membres du comité exécutif. Au sein d’entreprises du transport et de la logistique à portée généralement mondiale, le responsable de la cybersécurité pourra chercher un rattachement au plus haut niveau de management et tisser des relations avec les plus hauts responsables métiers.
Lors de la survenue d’une attaque de type ransomware dans ce secteur, les activités commerciales et / ou les opérations sont freinées, voire bloquées. Les équipes IT sont alors sommées de remettre en route les systèmes impactés au plus vite et les enquêteurs doivent mener leurs travaux dans une ambiance qui est tout sauf propice à des investigations approfondies. Les premières semaines sont donc compliquées à gérer. Il faut toutefois rapidement se mettre en ordre de marche pour tenir dans la durée. La résolution d’une cyberattaque est un marathon et non un sprint : si toutes les équipes travaillent simultanément et en 24/7, le risque de burnout n’est pas négligeable. Gérer l’effort et savoir faire tourner les équipes doit aussi faire partie d’une bonne gestion de crise.
Ainsi, pour que cette dernière soit efficace, il est indispensable qu’elle soit préparée en amont : qui doit intervenir, comment et à quel moment ? Si les rôles et responsabilités de chacun sont mal définis, mal respectés ou inconnus, la situation peut rapidement tourner au casse-tête, avec des réunions de crise ne réunissant pas les personnes en mesure de prendre les décisions nécessaires.
Il est indispensable également de mettre en place un dispositif capable de s’enclencher à tout moment. Soit en faisant appel à des équipes internes, soit à celles d’un fournisseur de services de sécurité externe. Enfin, il faut préparer un plan de réponse aux incidents détaillé, y compris pour les scénarios les plus graves, comme une attaque globale par ransomware. L’entraînement des équipes, qui passe par des exercices, participe à transformer les processus définis en automatismes. Quant aux tests d’intrusion et autres red team(2), ils vont déterminer si les contrôles de sécurité en place sont efficaces, si les équipes arrivent à détecter une attaque et voir comment elles y répondent.
Les équipes métiers ne doivent pas être oubliées. Elles forment en effet la première ligne de défense des entreprises face aux cyberattaques. Il faut les sensibiliser au risque cyber. Mais aussi parfois les préparer à la survenue d’un incident. Sur un navire par exemple, c’est en effet le personnel sur place qui devra prendre en charge certaines tâches liées à l’informatique du navire. Les bateaux, qui sont à la fois des lieux de travail et de vie, sont par essence plus à risque que les bureaux. Il est donc aussi primordial de former les personnels navigants aux bonnes pratiques en matière de cybersécurité.
Enfin, il est également nécessaire aux équipes cyber d’identifier et de connaître les processus métiers les plus critiques. A cet égard, le rôle du responsable de la cybersécurtié est primordial pour donner cette impulsion métier aux activités des équipes cyber : quid de la criticité des activités de booking, scheduling, pricing, bunkering, shipping, berthing, loading… ? Cette qualification en amont des processus, ainsi que des applications et systèmes les supportant, permettra d’adapter les investissements et contrôles de sécurité en fonction du risque, d’optimiser les délais de traitement et par conséquent les coûts d’un incident de sécurité.
1 : ANSSI : Agence Nationale de la Sécurité des Systèmes d'Information.
2 : Red Team : équipe de hackers éthiques professionnels mandatée par l'entreprise pour tester et contourner pendant plusieurs semaines les contrôles techniques, physiques ou humains mis en place.
Plus de 80% du trafic mondial de marchandises est assuré par le transport maritime. Des incidents comme l’obstruction du canal de Suez en mars 2021 (qui concentre 12% du commerce mondial) peuvent se traduire par des ruptures massives dans la chaîne…
Je gère mes abonnements push
Les informations recueillies sont destinées à CCM Benchmark Group pour vous assurer l’envoi de votre newsletter.
Elles seront également utilisées sous réserve des options souscrites, par CCM Benchmark Group à des fins de ciblage publicitaire et prospection commerciale au sein du Groupe Le Figaro, ainsi qu’avec nos partenaires commerciaux.
Le traitement de votre email à des fins de publicité et de contenus personnalisés est réalisé lors de votre inscription sur ce formulaire. Toutefois, vous pouvez vous y opposer à tout moment
Plus généralement, vous bénéficiez d’un droit d’accès et de rectification de vos données personnelles, ainsi que celui d’en demander l’effacement dans les limites prévues par la loi.
Vous pouvez également à tout moment revoir vos options en matière de prospection commerciale et ciblage. En savoir plus sur notre politique de confidentialité ou notre politique Cookies.
