Les opérateurs d’importance vitale (OIV) du transport maritime et fluvial connaissent précisément, depuis le 25 août, les règles qu’ils sont tenus de respecter pour protéger leurs systèmes d’information (annexe i) et la date limite pour le faire (ii). Ils savent également comment déclarer à l’Agence nationale de la sécurité des systèmes information la liste de leurs équipements (iii) ainsi que certains types « d’incidents » affectant la « sécurité » (et non pas la sûreté) ou le fonctionnement de leurs systèmes (iv). En effet, l’arrêté du 11 août a été publié au JO. Une parution très partielle car seule l’annexe i a été rendue publique. L’arrêt entrera en vigueur le 1er octobre.
Une liste d’environ 250 entités
La liste des OIV n’est pas publique. Elle est estimée à environ 250 entités. Ce sont des « opérateurs publics ou privés exploitant des établissements ou utilisant des installations et ouvrages, dont l’indisponibilité risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation ». Ils « sont tenus de coopérer à leurs frais, dans les conditions définies […], à la protection desdits établissements, installations et ouvrages contre toute menace, notamment à caractère terroriste. Ces établissements, installations ou ouvrages sont désignés par l’autorité administrative ».
Certaines autorités portuaires sont nécessairement des OIV. Quid des manutentionnaires de conteneurs, par exemple, des stations de pilotage et de remorquage qui, en France, sont indépendants des autorités portuaires mais indispensables aux navires? Même question pour les opérateurs des cargo community systems. D’autant que l’on sait que le CCS d’Anvers a été infiltré pour permettre la sortie discrète de conteneurs contenant de la drogue.
Les maritimistes risquent de s’interroger en lisant que l’audit d’homologation de la sécurité de chaque système d’information d’importance vitale peut être réalisé par l’opérateur lui-même ou un prestataire qualifié selon un référentiel. Pourquoi faudrait-il alors qu’un navire soit obligatoirement classé par une société de classification (certes choisie par l’armateur) et non pas par l’armateur lui-même qui certifierait, en toute rigueur, que son navire est parfaitement conforme aux normes?