En juin 2017, les terminaux conteneurisés opérés par la filiale APMT du groupe AP Moller-Maersk étaient frappés par une cyberattaque à Rotterdam et à New York. Ces menaces qui ciblent des acteurs économiques se sont multipliées ces dernières années. Et les initiateurs de ces attaques virtuelles rivalisent toujours plus d’imagination pour bloquer les systèmes d’information et rançonner leurs victimes. À l’initiative de l’Union maritime et portuaire du Havre (Umep), de Haropa-Port du Havre, du Cybercercle et avec le soutien de la communauté d’agglomération havraise (Codah), la première édition nationale des « Rendez-vous sécurité numérique-sécurité portuaire » s’est déroulée au Havre le 5 avril 2018 sur cette thématique.
Éric Banel, conseiller pour l’économie maritime et portuaire au Secrétariat général de la mer auprès du Premier ministre, a souligné l’importance de fédérer sur ces types de risques. « Il faut mobiliser les énergies. C’est le rôle de l’État mais aussi de tous les acteurs qui peuvent être concernés. Le gouvernement veut développer une réponse adaptée dans le domaine maritime et portuaire ». Pour le responsable, la cybersécurité est un sujet transversal qui doit aboutir au renforcement des systèmes de défense. « Aujourd’hui, la prise de conscience est réelle. C’est un sujet central mais chacun agit de manière dispersée. La réglementation a pour rôle de catalyser les choses et de s’imposer. Mais nous ne devons pas fonctionner sur un mode uniquement répressif ». Éric Banel estime en effet que le fait d’être en pointe en matière de cybersécurité peut devenir un argument qui peut faire la différence pour un port dans un contexte toujours plus concurrentiel. Il a rappelé que, sur la base d’une cartographie, un plan d’action en matière de cybersécurité devrait être proposé au Premier ministre au mois de juin.
Une législation en évolution
La législation, elle, évolue. Au-delà de la loi de programmation militaire (LPM) de 2014 qui concernait uniquement les opérateurs d’importance vitale (OIV), la transcription en mai 2018 dans le droit national français de la directive relative à la sécurité des réseaux et des systèmes d’information (directive NIS, voir ci-contre) va concerner les acteurs portuaires en leur imposant un cadre réglementaire plus exigeant en matière de cybersécurité. Haropa-Port du Havre est bien conscient de la problématique qui se pose ces dernières années. « Un port de commerce est par définition un lieu ouvert qui doit faciliter les flux. Mais aujourd’hui, il faut intégrer le volet cybersécurité. Cela peut être vu comme une contrainte ou, au contraire, comme une opportunité pour faire la différence. Au Havre, nous avons anticipé le cadre réglementaire et nous avons développé une véritable stratégie… La prévention, ce peut être aussi des règles d’hygiène informatique simples pour protéger les systèmes », témoigne Jérôme Besancenot, directeur du service informatique du Grand Port maritime du Havre. « Les systèmes d’information permettent aujourd’hui d’être plus productifs sur les ports mais c’est aussi un point de fragilité. Il faut donc mettre en commun les bonnes pratiques et engager l’ensemble des ports français dans une même dynamique », analyse Hervé Martel, directeur général de Haropa-Port du Havre et président de l’Union des ports de France.
À l’Umep qui représente 600 entreprises et 22 000 salariés, on est également conscient des enjeux. « Nous travaillons en lien avec les services de l’État. Il faut un schéma clair et simple pour répondre aux interrogations des entreprises. La prévention, l’information et la formation sont des éléments-clés. Le fait d’avoir 16 entreprises Seveso seuil haut sur le territoire havrais nous permet d’être moteur et de dupliquer des schémas de sécurité », relève Benoît Emringer, délégué général de l’Umep.
