« Cette démarche est obligatoire pour monter à bord des FREMM, explique Alexandra, ingénieure prévention cybersécurité. Cela fait partie des nombreux processus mis en place par Naval Group pour assurer l’hygiène numérique du navire pendant ses phases d’entretien. » Le maintien en conditions de sécurité (MCS) des systèmes d’information et d’exploitation des FREMM est un enjeu essentiel pour Naval Group.
Deux jours avant, le service Opérations cybersécurité a reçu la demande de bon de travail à risque (BTR) cyber effectuée par cet opérateur. Elle précise la nature et le numéro de série du matériel introduit à bord, s’il va être connecté au navire, sur quel système ou installation, et enfin, quel sera son usage.
Après avoir évalué les risques cyber liés à cette demande et analysé le matériel concerné, l’un des exploitants cybersécurité du service échange avec l’opérateur. Il lui rappelle les règles d’hygiène numérique à appliquer, par exemple le fait que chaque matériel doit comporter un logiciel anti-virus à jour et avoir été analysé récemment.
« Pour répondre aux exigences de cybersécurité de la Marine nationale et parer au risque d’introduction de fichier informatique malveillant à bord du navire pendant les travaux, chaque BTR cyber doit être validé par nos soins. Cette règle, je la rappelle à l’ensemble des collaborateurs de Naval Group et à nos sous-traitants au cours de la réunion organisée en début d’arrêt technique. Elle est aussi inscrite dans le plan de prévention général », précise Alexandra. Ces process ont également pour but de protéger les systèmes informatiques de Naval Group.
Quelques minutes plus tard, l’opérateur muni de son BTR cyber validé arrive sur le chantier et se présente à l’officier cyber du bord. Celui-ci procède à une nouvelle vérification avant de le signer à son tour. Il faut que chaque personne concernée par les travaux ait connaissance des risques cyber liés à l’intervention et engage sa responsabilité.
Un travail continu de prévention
« Le collaborateur qui ne respecte pas la procédure peut être exclu temporairement du chantier. Cette décision est prise en accord avec l’officier cyber du bord et l'ingénieur responsable de production, poursuit Alexandra. Pour éviter d’en arriver là, nous menons régulièrement des actions de sensibilisation, notamment auprès des nouveaux arrivants. De plus, nous sommes équipés d’un atelier pour pouvoir analyser les matériels des intervenants qui en ont besoin. En cas de remontée d’alerte par l’anti-virus, le Computer Emergency Response Team (CERT) de Naval Group analyse le fichier et nous indique la marche à suivre. Les doutes doivent être levés avant d’accepter la montée à bord d’un matériel ! »
Les ingénieurs de l’équipe prévention cybersécurité se relaient afin d’être toujours joignables et de pouvoir répondre aux demandes de tous les programmes, même urgentes. Ils accompagnent ainsi la poursuite des travaux et l’avancée du chantier, en toute cybersécurité.