Jean-Paul Thomas, responsable de la direction des assurances transports de la Fédération française des sociétés d’assurance (FFSA), nous a confié la vision de la profession sur les risques technologiques dans le transport maritime. Selon lui, « si au plan international les assurances maritimes dans leur ensemble sont dans une logique d’exclusion du risque cyber et ne proposent pas de garanties spécifiques dans les polices, elles entendent néanmoins ne pas méconnaître le sujet ».
Pour Jean-Paul Thomas, la complexité à évaluer le cyber-risque relève avant tout de son caractère « protéiforme et évolutif ». Le cyber-risque recouvre en effet des événements de natures différentes. Une première distinction est à établir entre deux grandes catégories de dommages technologiques. Ceux qui sont infligés intentionnellement et relèvent d’actes de malveillance, et ceux qui surviennent accidentellement.
Deux catégories de risques technologiques
La première catégorie recouvre la cybercriminalité dans ses multiples formes et à différents niveaux, qu’elle vise les systèmes de communication ou ceux de navigation (extorsion, détournement de données au niveau des flux d’information numérisés, faux connaissements ou fausses facturations, cyber-attaques pour prendre le contrôle des outils de navigation).
Lorsque le dommage est causé par un accident, il faut encore distinguer entre le dysfonctionnement des matériels technologiques et la maladresse des utilisateurs de ces outils qui peut conduire par exemple à la contamination d’un réseau d’entreprise par l’insertion d’une clé USB infectée (voir JMM du 15 avril).
Jean-Paul Thomas rappelle que la clause 380 des contrats d’assurance transports, diffusée en 2003 par le marché anglais et précisée en novembre 2015 (en ce qui concerne le vol commis par voie informatique), dite Cyber Attack Exclusion Clause, est largement utilisée. « Le risque cyber tel qu’il y est défini est exclu de la garantie des risques ordinaires. Toutefois, si la clause figure dans une police risques de guerre, le risque cyber est couvert dès lors qu’il est associé à l’utilisation d’une arme ou d’un missile », précise-t-il.
Prévenir les cybervulnérabilités
La vulnérabilité aux risques technologiques est une préoccupation qui occupe le monde du transport maritime depuis plusieurs années. Plusieurs axes de vulnérabilité liée à la technologisation croissante du transport sont ainsi identifiés dans le « guide to cyber-risk: managing the impact of increasing interconnectivity », publié par Allianz Global Corporate & Specialty (AGCS) en septembre. Les cyberincidents peuvent survenir au niveau des systèmes de communication à bord et lors des phases d’échanges avec les ports, ou encore au niveau des systèmes de navigation (avec des risques accrus pour les navires autonomes à l’horizon 2020). Aux innovations croissantes correspond aussi l’inventivité croissante des cybercriminels.
Lors des 2e rencontres parlementaires cybersécurité et milieu maritime le 7 avril, le problème du manque de fiabilité des systèmes de contrôle et d’acquisition de données (Supervisory Control and Data Acquisition, Scada) a ainsi été évoqué (voir JMM du 15 avril).
Établir un diagnostic commun
L’analyse de risque cyber doit prendre en considération différents paramètres et évaluer les niveaux de responsabilité des défaillances. Le respect des mesures de sûreté joue un rôle déterminant dans la prévention et la gestion des risques. Le 4 janvier, le Bimco, Clia, ICS, Intercargo et Intertanko ont publié un guide pour lister les risques et recommander des « bonnes pratiques » pour éviter les intrusions, qu’il s’agisse d’un simple principe de précaution lors de l’utilisation d’outillage informatique ou de risques plus extrêmes d’intrusion dans les logiciels de plans de chargement des navires ou dans le système de suivi des navires AIS que les pirates peuvent utiliser pour repérer les navires marchands et mener des attaques réelles. Faut-il en ce cas assurer en amont les équipements informatiques? L’agence de certification Bureau Veritas a publié le 18 janvier un guide coécrit avec le CEA Tech, le pôle de recherche technologique du Centre de l’énergie atomique, afin d’optimiser le développement et l’évaluation des logiciels embarqués. Intitulé Software guidelines – Development & Assessment, le guide établit un nouveau standard pour renforcer et vérifier la fiabilité et la performance des logiciels embarqués et couvre l’ensemble des phases de développement, de mise en service et d’exploitation. De nombreuses recommandations sont ainsi fixées pour que « le développement réponde à une double exigence d’opérabilité optimale et de haute tolérance aux risques ». Les entreprises pourront obtenir, après évaluation de la part de Bureau Veritas, une attestation de conformité de leur logiciel embarqué.
Pour évaluer les risques, vérifier le respect des mesures de cybersûreté et adapter les garanties cyber aux diverses situations, il faut encore, selon Jean-Paul Thomas, attendre « les retours d’expérience pour identifier les attentes des assurés en fonction de leurs propres études de risque et cibler les besoins si besoins il y a ». Une vision à la fois rétrospective et prospective est donc nécessaire ainsi que des études menées individuellement et en collaboration. Armateurs de France réalise une étude avec l’Anssi et la Marine nationale pour évaluer les risques de prise de contrôle à distance des navires en particulier et les moyens de s’en prémunir. Et la FFSA travaille avec Armateurs de France à l’établissement d’un diagnostic commun. Jean-Paul Thomas souligne « l’importance des échanges interprofessionnels dans une démarche constructive qui permette à chaque acteur de faire ses propres vérifications et d’établir ses procédures internes de prévention et de contrôle ». Il est encore prématuré selon lui de préjuger d’une éventuelle révision de l’offre de produits d’assurance.