Mise en place et expérimentation d'une infrastructure de test de la cybersécurité des technologies opérationnelles navales

Le milieu maritime, au centre des enjeux économiques de notre société mondialisée, traverse une transformation numérique. En effet, les navires sont de plus en plus connectés aux côtes, pour des suivis de données, des suivis de l’état des machines, et des dépannages à distances. À terme, l’objectif semble être des vaisseaux autonomes, géré depuis des centres de données. Cette révolution entraîne une prise de conscience du manque de dispositifs de cybersécurité installés dans les navires. La cybersécurité d’un navire apporte nombre d’enjeux spécifiques. Cela est lié à l’unicité de chaque navire, construit sur mesure, et à un mix de technologies généralistes et spécifiques au milieu naval, qu’elles soient opérationnelles ou informationnelles. L’augmentation du nombre d’attaques, ces dernières années, témoigne de l’écart entre le niveau actuel de la défense mise en place dans les navires et l’augmentation du risque engendrée par les évolutions technologiques. Pour répondre à ces enjeux, notre recherche vise à mettre en place une plateforme adaptée aux expérimentations de cybersécurité. Cette dernière vise à représenter un navire grâce à l’émulation d’un certain nombre de composants. Nous avons choisi de nous concentrer sur les éléments de technologie opérationnels, car ce sont ceux pour lesquels il existe le moins de solutions actuellement. Pour être le plus fidèle possible, nous avons inclus plusieurs protocoles présents dans les navires, comme NMEA-0183 ou Modbus-TCP. Notre plateforme représente le pont avec le système ECDIS, et une partie des systèmes de technologies opérationnelles autour du système de propulsion : capteurs et actionneurs, PLC, et serveur SCADA. Enfin, la plateforme intègre un simulateur pour certaines données qui ne peuvent pas être généré par émulation. Au sein de ce système, nous avons déployé des attaques, pour déterminer quels en étaient les prérequis et les impacts potentiels. Nous avons mis en place des attaques qui visent un hôte, l’ordinateur qui héberge l’ECDIS, pour modifier les données présentées aux membres d’équipage. D’autres types d’attaques qui se concentrent sur le réseau ont aussi été déployées, pour mettre à mal la chaîne de commande de la propulsion. Enfin, pour la partie défensive, nous évaluons différents logiciels de détection d’intrusion pensés pour les technologies informationnelles dans le contexte de nos attaques sur le réseau de technologies opérationnelles. L’objectif est d’évaluer l’aide que ces outils peuvent apporter dans ce nouveau contexte. Pour ce faire, nous avons aussi écrit des règles spécifiques pourdétecter la modification de certaines données physiques par un adversaire. L’ensemble de ces éléments permet donc de montrer que nous avons mis en place une pla-teforme capable d’héberger des expérimentation adaptées à la cybersécurité du maritime. Nous l’avons utilisé pour démontrer les forts impacts qu’une cyberattaque pourrait avoir sur un navire, ainsi que pour évaluer l’utilité des méthodes de détection d’intrusion IT dans ce contexte.

Abstract

Globalization has put sea freight at the center of our economies, and the maritime industry is going through a digital transformation. Ship-to-shore connectivity is getting more and more frequent, as it is used for maintenance, troubleshooting, or simply data transfer. The long-term goal of this transformation seems to be autonomous vessels that could be driven from the shore. All of these adaptations are highlighting the low cybersecurity standards for this industry. Ship cybersecurity is bringing a lot of specific challenges, since no two ships are the same. Moreover, there is a special mix of technologies, where some are specific to the maritime environment, and others are more generalist. They are also divided between informational technologies and operational technologies. There is a gap between the defense level of ships and the risk that comes from those technological evolutions. The increase in attack numbers shows it. Our research tries to build a testbed that allow cybersecurity related experimentation. This testbed recreate a ship by emulating components, with a special attention to operationnal technologies. To increase the fidelity of our testbed, we used protocols that you could find in a ship, such as NMEA-0183 or Modbus-TCP. We included multiple parts of the ship, such as the bridge (ECDIS system), and the propulsion system (sensors and actuators, PLC, and SCADA server). Finally, a simulator is used to generate data that the emulation can’t create, such as meteo or positioning. We deployed some attacks in the testbed to determine what made them possible and what their impact could be. Some attacks are targeted at a specific device, the ECDIS host, to falsify the data available to the crew member, and others are targeted at the network to impact the propulsion command chain. Next, we tried different intrusion detection systems specialized for informational technologies to evaluate the impact they could have in our context. We also developed specific SNORT rules to detect data tampering by an adversary. Overall, we developed a testbed that allows cybersecurity experimentations in the maritime field. We used this testbed to show the impacts a cyberattack could have on a ship, and to evaluate intrusion detection systems in this context.