Ce document d’une quarantaine de pages constitue la réponse de l’USCG au rapport de juin 2014 rédigé par la GAO, (Government Accountability Office, équivalent français de la Cour des comptes), selon lequel la cybersécurité globale de ses infrastructures critiques avait été insuffisamment prise en compte dans le ministère de la Sûreté intérieure, DHS. Ce ministère et ses deux agences spécialisées, l’USCG et la Fema (Federal Emergency Management Agency) étaient invitées à se ressaisir et à évaluer l’ensemble des risques de façon globale dans leurs domaines de compétences respectifs.
Ces infrastructures font partie du Maritime Transportation System (MTS) qui comporte 360 ports maritimes et fluviaux, leurs entrepôts, les fleuves, les Grands lacs et tous les systèmes d’échanges d’informations qui permettent aux États-Unis d’être reliés aux chaînes d’approvisionnement mondiales.
Le document de l’USCG souligne que l’une des plus grandes menaces auxquelles la nation américaine doit faire face sont les tentatives des « gouvernements étrangers, des organisations criminelles et autres acteurs illicites » de s’infiltrer dans les systèmes d’information critiques gouvernementaux et privés. Compte tenu des agissements connus de la NSA, cette phrase raisonne curieusement.
La vision de l’USCG se décline en trois parties: défense du cyberespace, maintien des capacités opérationnelles, et protection des infrastructures. Le premier objectif passe par le durcissement des réseaux utilisés par l’USCG pour assurer ses missions. Pour ce faire, l’agence doit utiliser au mieux ses « ressources limitées » pour évaluer en permanence les cyber-risques, tenter de les éviter et/ou d’en réduire les conséquences. L’analyse du cyber-risque doit également faire partie de la politique de développement et d’achat de tout nouveau système numérique.
Pour évaluer le risque, l’USCG devra se doter de capacités humaines formées à cela et maintenir leurs compétences. Tout cela devra se faire en parfaite cohérence avec les efforts des autres agences avec lesquelles l’USCG coopère. Elle veillera également à prévoir une organisation lui permettant d’assurer ses fonctions prioritaires en mode dégradé et à prévoir les voies et moyens de rétablir rapidement la plénitude de ses moyens numériques. Pour faire court, tous les agents de l’USCG affectés aux services informatiques devront acquérir une culture de la cybersécurité.
Dans l’avant-propos concernant le maintien de ses capacités opérations, le deuxième objectif, l’USCG souligne bien sûr qu’elle observera toujours les instructions gouvernementales, mais également qu’elle agira « dans le plus grand respect des libertés et des droits de tous les citoyens ». Tous les responsables hiérarchiques et autres décideurs de l’Agence sont invités à prendre en compte la cyberdéfense dans la préparation et la conduite des missions opérationnelles.
Une protection par la prévention et l’anticipation
Le troisième objectif, la protection des infrastructures, semble être celui où la vision de l’USCG risque de poser quelques difficultés aux compagnies maritimes étrangères, voire aux États d’immatriculation. En effet, dans son paragraphe d’introduction, l’Agence explique que les navires sont équipés d’ordinateurs et que leur exploitation dépend de technologies numériques (navigation, communications, contrôle du moteur, etc.).
Si les systèmes numériques ont apporté de grands bénéfices aux chaînes logistiques américaines, ils présentent également des risques, est-il rappelé. Pour limiter ces derniers, l’USCG, le secteur du transport maritime et les autres parties prenantes « devront coopérer pour définir les normes numériques appropriées et les incorporer dans les procédures de sécurité et de sûreté applicables aux navires et aux entrepôts et autres terminaux ». La protection du MTS passe par la prévention et par l’anticipation d’une possible dégradation des capacités, souligne l’USCG.
Pour ce faire, l’Agence a défini deux objectifs. Premièrement, promotion de la prise de conscience du risque et de sa gestion chez tous les acteurs de la chaîne de transport maritime. Cela passe par l’ajout au modèle d’évaluation des risques d’un chapitre dédié à la cybersécurité et la définition d’une procédure de partage d’informations entre les acteurs de la chaîne, concernant d’éventuelles menaces. Cette procédure devra être compatible avec tout ce qui existe déjà aux États-Unis, tant au niveau fédéral que local. Il est question de poursuivre la collaboration avec Transport Canada pour comparer et définir les meilleures pratiques de partages d’informations sensibles. Et de soutenir tous les efforts de sécurisation des échanges via l’OMI.
Le second objectif est d’identifier et de réduire les vulnérabilités numériques du MTS, navires et installations terrestres compris. Et de définir et d’imposer des normes de qualification à la cybersécurité applicables aux personnels.
Compte tenu de l’importance de la flotte de commerce sous pavillon américain, la portée internationale de cet objectif est évidente. La pratique américaine consistant à imposer au reste du monde ses propres décisions perdure.
