Entre la « grande déconnexion » du transport maritime, titre donné à un rapport sur les risques cyber dans le secteur, publié en 2022 (et réactualisé en 2023), par la société CyberOwl et le cabinet d'avocats HFW, et le dernier baromètre des risques de l’assureur Allianz, il s’est manifestement passé quelque chose dans la sensibilité du secteur à cette forme de criminalité.
En dépit de l'explosion du nombre d’évènements depuis la très onéreuse attaque de NotPetya contre Maersk en 2017, dont certains médiatisés (HMM, K-Line, CMA CGM, Swire Pacific Offshore, Danaos, Transnet, Port de Houston), de la surface croissante des agressions (du fait de l’importance des flux financiers générés), de l’exposition aux vulnérabilités du secteur (en raison de son interconnexion et numérisation croissantes), des impacts qui touchent au portefeuille, la gestion de la cybersécurité est encore en friche.
Mais dans son baromètre des risques, publié le 15 janvier, le plus grand souscripteur dans le transport tend à montrer une prise de conscience grandissante. Les incidents (interruptions de service et réseau IT, logiciels malveillants/ransomware, violation de données, amendes et sanctions...) figurent au premier rang des préoccupations de l'année pour les grandes, moyennes et petites entreprises en 2025 avec 38 % des réponses. Devant l’interruption d’activité (31 %), qui lui est aussi étroitement lié. Les cyberattaques constituent le risque numéro un dans 20 pays, dont la France, les violations de données étant plus particulièrement redoutées.
Quatre ans après l’adoption à l’OMI de nouvelles dispositions en matière de cybersécurité dans le code international de gestion de la sécurité (ISM) des navires et alors qu’une directive au niveau européen doit être transposée en droit français, les mentalités évoluent donc. Mais sans doute pas aussi vite que les hackers dont les techniques d’infiltration se sophistiquent pour entrer par des portes dérobées, ce qui augmente la fréquence et la gravité potentielle des atteintes.
Ports et navires, des proies faciles
Les navires et les ports sont des candidats idéaux pour les prédateurs informatiques. Leurs systèmes et sous-systèmes sont de plus en plus pilotés numériquement et interconnectés même lorsque les navires sont en pleine mer. Les données mondiales de navigation par satellite (GNSS, global navigation satellite systems), qui donnent la position d'un élément partout et en temps réel, sont des cibles faciles pour piller les identités. Les technologies numériques sont en mesure de tout gouverner, des réseaux de navires aux installations offshore et aux centres de contrôle à terre. Tout est donc à peu près falsifiable. Transportant des marchandises dangereuses et produits chimiques, les navires sont en outre des actifs critiques pour du cybersabotage en cas de tensions géopolitiques exacerbées comme en ces temps-ci. Les actions offensives d’interdiction d’accès au GPS sont devenues monnaie courante dans de nombreuses zones maritimes, de la mer Baltique au canal de Suez.
Selon l'analyse de CyberOwl (2023), une flotte typique de 30 navires subit en moyenne sept cyber violations par mois. Si la majorité n'ont qu'un faible impact, il faut en moyenne 57 jours de traitement. Toujours selon ses données, ces agressions ont coûté aux exploitants 182 000 $ par an.
Des coups, un coût
Ces quatre dernières années, dans le monde entier, 35 compagnies maritimes ont publiquement reconnu avoir été victimes de cyberattaques, relève France Cyber Maritime. En novembre 2023, un opérateur de terminaux portuaires en Australie a été contraint à suspendre les activités de ses terminaux durant plusieurs jours. Cette année-là, un rançongiciel a coûté 85 M$ à un équipementier majeur du secteur. En mai 2021, une arnaque au faux ordre de virement (FOVI) à l’encontre d’un armateur allemand a entraîné le virement de 1,7 M$ vers le compte bancaire d’un cybercriminel.
D'après une analyse de la menace pour le secteur maritime et portuaire conduite en 2022 par le Conseil de cybersécurité du monde maritime pour le Secrétariat général à la mer, la France représentait 10,4 % des attaques cyber mondiales dans le secteur maritime. « Non, la France n'est pas plus ciblée que les autres pays, nuançait toutefois le document. De manière générale, les cybercriminels fonctionnent par opportunité : ils cherchent des portes ouvertes plutôt que des cibles sectorielles spécifiques. Cependant, la richesse de l'écosystème maritime français, l'importance du secteur maritime et portuaire pour notre économie, et certains caractères géopolitiques et stratégiques suscitent l'intérêt de la part de certains acteurs ».
Une nouvelle directive
« Les agressions sont croissantes dans tous les secteurs et au niveau mondial. Le phénomène commence à être documenté, reconnait Armateurs de France (AdF). Et les entités avec lesquelles les transporteurs interagissent sont elles aussi largement victimes de telles attaques, qu’il s’agisse des ports, des acteurs de la logistique, des chantiers navals, des équipementiers, des fournisseurs de services numériques, ou encore des sociétés de classification ou des organismes publics ».
Dans un contexte d’exigences réglementaires croissantes et tensions géopolitiques aiguës, l’organisation professionnelle vient de publier un guide, réalisé conjointement avec France Cyber Maritime et le soutien de la DGAmpa (Affaires maritimes) et de l'Agence nationale de la sécurité des systèmes d'information (ANSSI).
Le document accompagne la transposition en droit français de la directive européenne NIS2 (Network and Information Security), publiée au Journal Officiel de l'Union européenne en décembre 2022, mais dont la promulgation en France a glissé en raison du contexte politique. La réglementation qui étend les règles de cybersécurité à de nouveaux secteurs et entités, représente un changement d’échelle et de paradigme important. La NIS1, adoptée le 6 juillet 2016 et transposée en droit français en février 2018, afin notamment « d’élever la maturité cyber des États membres de l’UE », concernait finalement très peu de compagnies maritimes françaises. Seuls trois ont été identifiés « opérateurs de services essentiels » au sens du décret relatif à la sécurité des réseaux et systèmes d'information.
Avec la version 2, ce sont désormais des milliers d’entités impliquées tandis que les objectifs et le périmètre d’application vont être resserrés. « Cet élargissement est sans précédent en matière de réglementation cyber », indique l’ANSSI. « Plus de 70 % des compagnies de notre organisation vont être concernées », précise AdF, qui compte une cinquantaine d'armateurs français opérant près de 1000 navires de plus de 100 UMS dont plus de 400 sous pavillon français. Les entreprises de plus de 50 personnes dans les domaines de la construction navale et des équipements maritimes se trouvent par ailleurs embarquées.
Mobiliser les directions
Alors qu’il existe un grand nombre de guides et livres blancs sur le sujet, AdF et France Cyber Maritime ont pris le parti de s’adresser plus précisément aux dirigeants et décideurs (membre du Comex) car « c'est bien à ce niveau que le curseur doit être poussé, et pas seulement au niveau technique ». Toutes les études montrent en effet que plus on monte dans la hiérarchie, moins la personne est au fait des mécanismes des intrusions dans les systèmes d’information.
La nouvelle réglementation va exiger une gouvernance élevée de la cybersécurité (avec responsabilité du décideur engagée), seul niveau à même de prendre in fine les décisions structurantes, et prévoit des obligations d’information aux autorités en cas d'incident (avec compte-rendus circonstanciés). Le non-respect des mesures sera passible de sanctions jusqu’à 10 M€ ou 2 % du chiffre d’affaires annuel mondial de la compagnie.
« Mes échanges sont encore très polarisés sur les responsables informatiques, déjà convaincus du risque cyber, confirme Xavier Rebour, directeur de France Cyber Maritime (lire notre entretien). Il y a un plafond de verre pour que la problématique soit appréhendée par le comité exécutif, certains dirigeants en faisant une affaire technique. La cybersécurité, ce n'est pas seulement mettre en place des pares-feux et des antivirus. C’est de la politique (planification de budget), du management (qui fait quoi ? qui est responsable de quoi ?), de l’organisation (quelles sont les ressources humaines à consacrer ?) et de la formation parce que le facteur humain est essentiel ».
« L’idée était de dépasser les enjeux cyber génériques pour recentrer sur les considérations purement maritimes et proposer une mise en lumière sur mesure du risque, indique de son côté AdF. Nous voulions une sensibilisation facile d'accès, avec des cas concrets décrivant la dégradation d'une situation telle qu'elle pourrait se réaliser en cas d'atteintes des systèmes d'information terrestre, de réservation du fret, de communication avec les navires ou les ports…Ce document flèche aussi les questions clés à se poser, les niveaux de responsabilité, les moyens à mobiliser et les ressources disponibles pour aller plus loin dans cette démarche ».
Si le risque est très ancré dans le transport maritime, la cybernétique sort du cadre. « L'envergure des moyens à déployer pour s'assurer que tous les risques sont maitrisés peut rebuter, explique-t-on aussi chez Armateurs de France, où les membres sont majoritairement des PME.
Réglementation en chantier
À l’OMI, la réglementation se limite à la prise en compte de la gestion des risques cyber dans le code ISM, conformément aux lignes directrices adoptées par l’Organisation Maritime Internationale en 2017 et entrées en vigueur en 2021. « Il y des discussions au niveau du Comité de la sécurité maritime (MSC) pour évoluer vers une gestion du risque approfondie parce que l'assurance ne peut pas tout. Sans mesures préventives suffisantes, qu'elles soient demandées par le cadre réglementaire ou commandées par une logique économique ou sectorielle, il y aura une exclusion des risques par les assureurs. Il y a donc aussi un enjeu à faire monter suffisamment le niveau de maturité des acteurs du secteur », explique un connaisseur du dossier chez AdF.
Une approche uniforme au niveau mondial reste aussi embryonnaire même si un consensus semble se dégager pour augmenter le niveau d'exigences des guidelines internationales. Avec toujours la problématique de l’application unilatérale pour ne pas conduire à un déficit de compétitivité, et celle des contrôles. La délégation française plaide en ce sens à l’OMI pour « renforcer l'immunosécurité globale ». Les organisations professionnelles européennes veillent elles à une application homogène, y compris entre les États membres.
Assurance exclue
Outre la réglementation, il reste aussi beaucoup à faire en termes d’assurance. Parmi les reproches récurrents des cyber-souscripteurs : les produits proposés ne couvrent pas de manière adéquate le coût réel des ingérences informatiques, notamment la perte d'activité induite quand un système de réservation par exemple est paralysé, dégradant le fonctionnement des applications de gestion de la flotte et de suivi des navires. Un cas concret décrit dans le guide pour lequel le rétablissement du fonctionnement nominal a pris six mois, au prix d’un lourd préjudice, tant en matière d’image que de chiffre d’affaires.
Il est loin d'être simple de comprendre et d'obtenir une assurance. Des demandes de couverture sont rejetées parce que le système de gestion en place ne répond pas à certaines exigences. D'autre part, les polices d'assurance contre ces intrusions excluent tellement de domaines qu'aucune compensation n'est possible. Et quand le risque cybernétique est intégré, il peut être soumis à des franchises. Lorsque les agresseurs sont parrainés par des États, la définition d’« actes de guerre » n’est pas non plus évidente. Sans doute la jurisprudence y répondra tout ou partie.
Adeline Descamps
>>> Sur ce sujet
Cyberattaques : le transport maritime est la cible parfaite à rançonner
Un rapport sur les menaces cyber dans un contexte de forte augmentation des attaques
En 2022, les cyberattaques ont explosé dans les ports et le secteur de la logistique
Les cyberattaques, un risque croissant pour le transport maritime
Cybersécurité : la grande déconnexion du transport maritime
