Les difficultés de l’IT dans le monde maritime

Les difficultés de l’IT dans le monde maritime.

La flotte mondiale englobant tous types de navires, des géants des mers comme les porte-conteneurs aux plus modestes remorqueurs, atteint aujourd’hui les 230 000 bateaux¹. Cette flotte en constante expansion, 127 000 bateaux en 2022² et 60 000 en 2018³, souligne le rôle primordial du transport maritime dans l’économie mondiale.

Rapport annuel pour 2022 :

¹ Source : https://www.marinetraffic.com/

^{2 & 3} Source : https://www.equasis.org/.

Cependant, comparé aux infrastructures terrestres, le maritime fait face à des défis fonctionnels spécifiques et notamment différents enjeux IT.

LIMITATION DE LA BANDE PASSANTE

Proche des côtes terrestres, les bateaux peuvent utiliser par exemple, la 4G ou la 5G pour se connecter à Internet, à condition d’être équipés des antennes appropriées. Il convient de noter qu’il existe d’autres solutions terrestres pouvant être utilisé par les bateaux, comme le WiFi dans certains ports. Logiquement, plus ils s’éloignent des côtes et plus la couverture terrestre limite rapidement les bateaux dans leurs communications. C’est ainsi qu’à plusieurs centaines de kilomètres du rivage, ils sont obligés d’utiliser des liaisons satellite.

Les satellites se trouvent sur diverses orbites, à des distances plus ou moins grandes de la Terre, ce qui influence leur zone de couverture

Source : https://www.researchgate.net/publication/359132798_Darkening_Low-Earth_Orbit_Satellite_Constellations_A_Review

Les satellites proches (LEO) se déplacent rapidement et couvrent des zones plus restreintes, mais avec moins de latence, tandis que les satellites éloignés (GEO) se déplacent à la même vitesse que la Terre et couvrent des zones plus vastes, mais avec une latence plus élevée pour les communications.

LEO (Low Earth Orbit) – entre 160km et 2000km de la Terre

MEO (Medium Earth Orbit) – entre 2000km et 35 786km de la Terre

GEO (Geostationary Earth Orbit) – 35,786km de la Terre précisément

Bien qu’il soit important de souligner que des solutions comme Iridum (LEO), Inmarsat (GEO & LEO) et OneWeb (LEO) restent incontournables, Starlink (LEO) et le VSAT (GEO) occupent une place majeure sur le marché des communications maritime. Cet article se concentrera donc sur ces deux solutions.

Chacune des différentes technologies a son coût, généralement le plus rapide étant le plus onéreux. Lorsqu’un navire s’approche des côtes, il est également possible pour celui-ci de basculer sur des connexions terrestres, comme mentionné précédemment avec la 4G.

En fonction de la localisation du bateau, celui-ci n’a accès qu’à certaines couvertures ainsi que certains satellites. Dépendamment des besoins, on remarque que Starlink est principalement prioritaire[PG3] , puis une fois en-dehors de sa couverture c’est le VSAT qui prend le relai et ainsi de suite en fonction de la politique de priorisation définie par la compagnie maritime. A noter que Starlink n’est pas disponible dans tous les pays du Monde comme nous pouvons le voir sur la carte ci-dessous

Source : https://www.starlink.com/map

Les navires souscrivent auprès de fournisseurs à une limitation de bande passante (VSAT) ou un quota de données (Starlink) et une fois la limite atteinte, des charges financières supplémentaires s’appliquent si aucune autre technologie n’est utilisé à la place.

Nous avons donc deux éléments à prendre en compte concernant la limitation de bande passante :

– La couverture disponible

– Le volume de bande passante souscrit

Alors, quelles sont leurs solutions pour réduire les coûts tout en assurant une communication pour le bateau ?

Dans un premier temps, le problème de couverture dépendra du nombre d’antennes et technologies différentes sur le bateau (Starlink, VSAT, 4G, …). Plus il y aura de choix différents, plus le bateau s’assurera d’être dans une zone couverte.

Ensuite, le bateau peut contrôler sa bande passante grâce à des routeurs permettant d’allouer du crédit par compte utilisateur ou par adresse IP avec des comptes machine.

Compte utilisateur : Par identifiant et mot de passe, l’utilisateur doit se connecter à travers un portail captif pour avoir accès à Internet. Chaque compte possède un crédit qui peut être alimenté par l’utilisateur ou par le capitaine.

Compte machine : Il est défini par une adresse IP.

Groupes utilisateurs & machines : Un compte utilisateur doit impérativement appartenir à un groupe de type utilisateur, sans quoi il ne pourra pas accéder Internet. De la même manière, les comptes machines doivent être associés à un groupe de type machine. Pour chaque groupe, il est défini les antennes sur lesquels les comptes peuvent sortir et sur quels canaux. Chaque antenne possède plusieurs canaux qui possèdent chacun un niveau de priorité. Ensuite, il est aussi possible de mettre en place un pare-feu par antenne, ainsi qu’une whitelist DNS.

Exemple :

ET LA CYBER DANS TOUT CA ?

Le cheminement total d’un flux entre un bateau et internet peut être représenté comme suit :

On note deux infrastructures principales : celle sur le bateau avec le routeur mentionné précédemment, et celle terrestre après la liaison satellite. Vous ne pensiez pas que ça serait aussi facile d’aller sur Internet…

Commençons par le dernier élément que nous n’avons pas encore mentionné sur le bateau. Un moyen supplémentaire que dispose les compagnies maritimes pour limiter la bande passante utilisée et contrôler les flux sortants est d’installer un pare-feu [PG1] entre le réseau privé et le routeur. En plus de contrôler le trafic par matrice de flux, ce pare-feu va permettre de catégoriser les flux afin de les autoriser ou non dépendamment de la politique choisie par la compagnie maritime. La catégorisation peut se faire de manière applicative ou par URL. Voici quelques exemples de catégorie que l’on peut retrouver chez Fortinet :

Applications

– « Business » : Applications en lien avec l’entreprise (Suite Office 365, …)

– « Proxy » : Applications proxy ou VPN.

– « VoIP » : Applications VoIP (Asterisk, FreePBX, …)

Web Filtering (URLs)

– « Partage et stockage de fichiers » : Sites permettant l’échange de fichier ou de stockage. (Google Dirve, WeTransfer, …)

– « Accès distant » : Sites permettant l’accès à distance de machine dans le réseau. (Teamviewer, AnyDesk, …)

– « Jeux » : Sites proposant du divertissement.

Ces deux listes sont loin d’être exhaustive, mais elles donnent une idée de la précision avec laquelle les matrice de flux peuvent être établies. Par exemple, une compagnie pourra décider d’autoriser la catégorie « Remote Access » mais d’interdire l’accès à des sites proposant du divertissement en bloquant la catégorie « Jeux ».

Une fois le flux autorisé par le pare-feu, puis par le routeur grâce à un compte utilisateur ou machine, il peut enfin atteindre l’antenne, le satellite puis le téléport terrestre. On retrouve alors un deuxième pare-feu. Celui-ci permet aussi, et surtout, de contrôler les flux entrants[PG1] . Il saura détecter les tentatives d’intrusion ainsi que les flux malveillants qui essaierait d’accéder au bateau. Le nombre de tentatives d’attaques informatique sur les bateaux sont importantes et il est essentiel d’être préparé. Un Next-Gen Firewall (comme un FortiGate de chez Fortinet®) est alors très important, pouvant détecter la majorité des attaques[PG2] , même les plus récentes, et les bloquer avant que celles-ci n’aboutissent.

QUELLES ÉVOLUTIONS ?

Maintenant que nous avons vu le cheminement permettant aux bateaux d’accéder à Internet, il est intéressant de regarder les fonctionnalités proposées par les firewalls, notamment sur celui installé sur le bateau.

1- VPN

Monter un VPN depuis le bateau
vers un serveur terrestre permettant de rediriger certains flux directement à travers ce tunnel chiffré. Dans notre cas, nous l’utilisons quand le bateau a besoin d’accéder à des ressources sur l’environnement terrestre de la compagnie maritime. Le VPN va permettre un accès direct et sécurisé grâce au chiffrement.

2- SDWAN

Le SDWAN est une fonctionnalité
courtisée par la compagnie maritime. Elle va permettre de rediriger le flux en fonction de sa nature, sur les différentes sorties internet disponible sur le bateau.

Par exemple, on pourrait choisir
que les applications business (mails, outils, …) sortiraient sur Starlink qui est plus rapide tandis que les applications personnelles (réseaux sociaux, jeux,…) seraient orientées sur le VSAT qui est moins cher.

3- Traffic
Shaping

Le traffic shaping permet aux
bateaux de prioriser le flux et optimiser l’utilisation des bandes passantes disponible. Pour un réseau, on pourra définir une limite maximale de bande passante pour éviter une utilisation excessive et définir un niveau de
priorité.

Il est souvent utilisé pour prioriser des services critiques (VoIP, vidéoconférence) ou limiter des usages non essentiels.

En bref, il y a beaucoup de fonctionnalités qui permettront aux bateaux d’avoir un contrôle plus précis sur
l’utilisation de la bande passante vers Internet, tout en étant dans un environnement sécurisé.

Liens icones : Flaticon – https://www.flaticon.com/

Cookie	Durée	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.