US Navy : Certaines inspections de cybersécurité des sous-marins de la marine ont été négligées ces dernières années.

Face à l’augmentation des piratages, des intrusions et des attaques contre les réseaux civils et militaires ces dernières années, la marine et les autres services ont accordé une grande importance à la cybersécurité et à la nécessité de s’assurer que leurs systèmes sont aussi bien protégés que possible contre des agresseurs .

Mais selon un audit interne de la marine obtenu par Navy Times, les sous-marins de la Naval Submarine Force Pacific et leurs bâtiments-bases n’ont pas fait l’objet des inspections internes et externes requises en matière de cybersécurité ces dernières années, ce qui fait planer le spectre de la vulnérabilité cybernétique de certaines des plateformes les plus puissantes de l’US Navy.

Le rapport du service d’audit de la marine, publié en septembre dernier, a révélé que le Fleet Cyber Command de la marine n’a pas inspecté niévalué la cybersécurité de 41 sous-marins SUBPAC et de deux bâtiments-base comme requis de 2016 à 2018, et n’a pas fait connaître les raisons pour lesquelles ces inspections n’ont pas eu lieu.

Interrogé, le personnel responsable de ces évaluations de vulnérabilité et d’intrusion dans les réseaux de technologies de l’information a blâmé le manque de personnel pour ne pas faire les tests, qui doivent être effectués tous les trois ans, selon le rapport d’audit.

« Le personnel nous a informés qu’il n’avait pas assez de personnel pour répondre à l’exigence d’une inspection triennale de tous les systèmes d’information, et qu’il excluait donc les réseaux de sous-marins de la Marine », selon l’audit, qui a été obtenu par le Navy Times par le biais d’une demande de documents en vertu de la loi sur la liberté d’information.
Ce personnel a déclaré aux auditeurs qu’il avait décidé de réduire les inspections des cyber-sous-marins parce que les bateaux se déconnectent du réseau lorsqu’ils mènent des opérations, et qu’il avait « officieusement déterminé » que les réseaux de la Marine les plus utilisés étaient plus vulnérables aux attaques et devaient être inspectés en priorité.

Le personnel a également déclaré qu’il n’a pas documenté son raisonnement pour exclure les sous-marins et les tenders parce qu’il n’y avait pas de politique exigeant que de telles décisions soient documentées.

Les auditeurs ont écrit qu’il était possible que « l’exclusion des réseaux de sous-marins de la charge de travail d’inspection puisse exposer le réseau d’information du ministère de la Défense à un niveau de risque inacceptable. »

L’audit a recommandé plusieurs réformes et le Fleet Cyber Command a souscrit à ces prescriptions.
Le commandement a effectué « un examen complet de nos processus de sélection et de hiérarchisation des sites d’inspection et a redynamisé ses efforts pour inclure les unités flottantes, notamment les sous-marins et les navires de soutien aux sous-marins », a déclaré le porte-parole du commandement, le capitaine de frégate David Benham, dans un courriel jeudi.

Les auditeurs ont également constaté des lacunes au sein du SUBPAC concernant les inspections cybernétiques.

Malgré l’existence d’une politique officielle d’inspection de la cybersécurité, les auditeurs ont constaté que le SUBPAC « avait des contrôles de surveillance insuffisants et des procédures définies, ainsi qu’aucune formation officielle pour garantir que les inspections de cybersécurité requises étaient effectuées et correctement documentées ».

Au total, la SUBPAC et ses escadrons n’ont pas conservé de documents montrant que les inspections de cybersécurité obligatoires ont été effectuées de 2016 à 2018 sur 53 % des inspections requises.

« Par conséquent, le COMSUBPAC n’avait pas l’assurance que les sous-marins et les annexes étaient aussi prêts et sécurisés que possible sur le plan cybernétique », indique le rapport. « Il y a également un risque que les inspecteurs n’effectuent pas des inspections cohérentes et approfondies ou n’assurent pas le suivi des déficiences précédemment constatées. »

L’audit a révélé que le SUBPAC ne s’assurait pas que les mesures correctives étaient résolues, et qu’aucune procédure claire n’était définie pour mener et enregistrer les inspections de cybersécurité.

« En outre, selon le département cyber du COMSUBPAC, il n’y avait pas de formation formelle pour ses inspecteurs sur la façon d’enregistrer et de maintenir correctement la documentation pour le processus d’inspection de cybersécurité (du supérieur immédiat dans le commandement) », indique le rapport.

Les auditeurs ont recommandé plusieurs changements pour renforcer les processus de cybersécurité du SUBPAC, y compris le développement d’un processus de surveillance et le renforcement du système d’inspection pour mieux définir les procédures – des prescriptions avec lesquelles le commandement était d’accord.

Les responsables du SUBPAC n’ont pas immédiatement répondu à une demande de commentaire jeudi concernant l’audit.

source : NavyTimes