Depuis deux ans, le bureau de la sûreté portuaire et fluviale travaille de plus en plus sur la question des cyber-risques. « C’est un risque qui se fait de plus en plus présent, avec des attaques importantes ayant visé les ports de Barcelone et de Los Angeles, les armateurs CMA CGM et Maersk, et même récemment l’OMI », souligne Cédric Loescher, qui dirige ce bureau du ministère chargé des transports et intervenait le 8 juin 2021 au cours d’un webinaire de l’Union des ports de France consacré à « la cyber-séurité dans les ports français ».
À l’automne 2019, l’Agence européenne chargée de la sécurité des réseaux et de l’information (Enisa) a publié un guide servant de référence à la cyber-sécurité dans le domaine portuaire. Le bureau de la sûreté portuaire et fluviale, avec un groupe de travail constitué de l’Union de ports de France, de la gendarmerie maritime et de nombreux ports d’État ou décentralisés, a entrepris de traduire ce guide. Traduction de l’anglais vers le français, effectuée au printemps 2020, mais aussi traduction au sens imagé du terme, précise Cédric Loescher : « Il s’agit aussi d’enrichir le guide pour en faire un outil pratique, avec l’apport de l’expérience de différents ports sur des éléments concrets de terrain ». Cela a été fait à travers un questionnaire aux différents acteurs portuaires, diffusé il y a un an, sur lequel s’est appuyé le groupe de travail pour proposer à l’hiver 2020 une version bêta du guide.
Le document vient d’être finalisé et sera publié courant juin sur le site du ministère. Il s’adresse à tous les acteurs de l’écosystème portuaire : autorités portuaires et exploitants d’installations, mais aussi toute entreprise présente sur le port ou entité fournissant des services portuaires. Le guide permettra à ces différents intervenants du monde portuaire d’identifier les cibles possibles, les cyber-menaces et les différents types de cyber-attaques. Il doit aussi les aider à déterminer s’ils bénéficient du bon niveau de protection, à planifier la mise en œuvre d’actions préventives et à gérer les problèmes lorsqu’ils surviennent.
Partage d’expérience
« Le ministère veut faire profiter à tous les ports de l’expérience et de l’expertise des grands ports maritimes, souvent mieux préparés et mieux protégés face aux menaces, indique Cédric Loescher. Notre cœur de cible, ce sont les ports décentralisés de petite taille, qui doivent monter en puissance sur ce sujet. Nous sommes là pour aider leurs équipes et les aiguiller vers l’ANSSI, l’agence nationale de sécurité des systèmes d’information, quand cela s’avère nécessaire ».
L’Union des ports de France, par la voix de son président Jean-Pierre Chalus, par ailleurs directeur général du grand port maritime de Guadeloupe, propose ses services pour identifier les interlocuteurs concernés : « Certains ports sont structurés, avec des équipes constituées pour faire face au risque. Il faut que cette culture de la cyber-sécurité se diffuse auprès de tous nos adhérents ».
Ouverts sur le monde, les ports sont aussi ouverts sur le web, leurs cargo community systems étant utilisés par des professionnels pressés, concentrés sur leur cœur de métier comme l’explique Jérôme Besancenot, responsable de la transition numérique et de la cyber-sécurité de Haropa : « La vulnérabilité est amplifiée par la forte numérisation du smart port, avec des acteurs de toutes tailles jusqu’à présent peu sensibilisés à la cyber-sécurité. Pour les assurances, le risque cyber est devenu le risque numéro un, l’attaque d’un port pouvant avoir un impact local, régional et même mondial ».
Sécuriser l’interface navire-port
L’urgence absolue est de sécuriser l’interface entre les ports, les navires et le système communautaire, selon Jérôme Besancenot, qui rappelle les chiffres de l’ANSSI : le nombre de cyber-attaques a été multiplié par quatre entre février et mai 2020, et par neuf en quatre ans. Il dénonce en particulier des « trous dans la raquette » sur l’interface entre les navires et le port, peu réglementée par l’Organisation maritime internationale, le code ISPS ne s’intéressant pas à la cyber-sécurité. Au niveau de l’Union européenne, la situation réglementaire semble plus avancée. La directive NIS de 2016 sur la sûreté numérique, transposée en droit français depuis 2018, doit d’ailleurs être révisée avant la fin de l’année 2021 pour prendre davantage en compte les chaînes d’approvisionnements et les prestataires de service.
Le principal intérêt de la démarche menée par le ministère, selon Jérôme Besancenot, est justement de mettre en place une réflexion globale sur la cyber-sécurité des ports : « Jusqu’ici, chacun faisait des démarches pour augmenter, ou pas, sa propre cyber-sécurité sans penser à l’ensemble de l’écosystème. Au port du Havre, des exercices de réponses aux alertes ont été faits avec l’ANSSI, mais sans impliquer d’autres acteurs. Il faudrait le faire de façon transverse, à grande échelle, même si c’est coûteux et long à organiser. Rester agile est une des plus grandes difficultés en matière de cyber-sécurité, car les menaces auxquelles nous devons faire face sont extrêmement changeantes. »
