Il faut faire preuve de patience pour arriver à télécharger ce guide, compte tenu du fonctionnement perfectible du site Internet de l’Anssi. Dans la matinée du 5 octobre, il était inopérant. Victime de son succès? On voudrait le croire.
Fabien Caparros a rappelé que la cybersûreté est une affaire d’analyse de risques et non pas un dossier technique. Cette approche présente l’intérêt d’impliquer toute l’entreprise, à commencer par sa direction générale, et d’éviter la relégation du problème à un expert, plus ou moins écouté. Il ne faut cependant pas surestimer le suivi des règles « d’hygiène informatique » par les cadres dirigeants. Lors d’un précédent colloque portant sur le même sujet, il a été souligné que les tablettes professionnelles des cadres dirigeants n’ont pas vocation à être confiées à leurs enfants.
À défaut du guide pratique de l’Anssi, les compagnies maritimes peuvent toujours se reporter aux Guidelines on cyber security onboard ships publiées en janvier par le Bimco, la Clia, l’ICS Intercargo et Intertanko. Il se télécharge très facilement. Par ailleurs, Fabien Caparros a précisé que les « principaux » ports de France étaient considérés comme des opérateurs d’importance vitale.
Niveau « élevé commun de sécurité »
Depuis la fin juillet est entrée en application la directive 2016/ 1148 concernant des mesures destinées à assurer un niveau « élevé commun de sécurité » des réseaux et des systèmes d’information dans l’UE. Elle s’applique notamment aux transports par « voie d’eau » dont font partie également les services de gestion du « trafic maritime ». On en conclut donc que tous les éléments du transport maritime sont concernés. Chargée de la mise en œuvre de la directive, l’Anssi mènera, directement ou non, une analyse de risques navire en 2017.
*