AccueilDroitActualité du droitLa première règlementation globale en matière de gestion des cyberrisques maritimes bientôt en vigu

La première règlementation globale en matière de gestion des cyberrisques maritimes bientôt en vigu

Alors que le transport maritime de marchandises ne cesse de croître en cette période de pandémie de Covid-19, les cyberattaques se multiplient contre les acteurs du monde maritime et portuaire.
La première règlementation globale en matière de gestion des cyberrisques maritimes bientôt en vigu
© DR

DroitActualité du droit Publié le ,

Le 28 septembre dernier, CMA CGM, leader du transport conteneurisé, a été victime d'une cyberattaque par le logiciel Ragnar Locker(1). Deux jours plus tard, l'Organisation Maritime Internationale (OMI) a annoncé l'interruption de ses services en ligne suite à une cyberattaque sophistiquée(2).

La cyberattaque est une manœuvre offensive qui vise les systèmes informatiques (IT) et opérationnels (OT), les réseaux industriels informatiques et/ou les dispositifs informatiques personnels et qui tente de compromettre, de détruire ou d'accéder aux systèmes et données des entreprises et des navires(3). Elle se traduit par des actes tels que le piratage ou l'introduction de logiciels malveillants. Elle se distingue du cyber incident qui correspond aux effets indésirables d'actes internes involontaires et bénins tels que le partage d'informations d'identification des utilisateurs.

La menace d'une cyberattaque qui pèse sur toute l'industrie maritime s'est intensifiée au cours des dernières années avec les processus de digitalisation, d'interconnexion et d'automatisation du secteur. C'est pourquoi en 2017, l'OMI a publié les « directives sur la gestion des cyber-risques maritimes »(4)
et adopté la résolution MSC.428 (98)(5). Cette dernière résonne particulièrement en cette fin d'année puisqu'elle enjoint notamment aux administrations de vérifier que les entreprises ont intégré le cyber risque dans leur système de gestion de sécurité à partir du 1er janvier 2021.

Pour permettre aux acteurs de l'industrie maritime et portuaire de faire face à la cybermenace (I), l'OMI a fourni des recommandations permettant d'intégrer le risque cybernétique dans les systèmes de sécurité (II). A compter du 1er janvier 2021, ces recommandations imposeront une obligation de cyber-résilience (III).

L'industrie maritime et portuaire face à la cybermenace

« Imaginez une entreprise dont les navires, transportant entre 10 000 à 20 000 conteneurs, entrent dans un port toutes les 15 minutes. Imaginez maintenant qu'elle n'ait pas accès à son système informatique pendant 10 jours »(6). C'est exactement ce qui s'est produit en juin 2017. Pendant plus d'une semaine, l'entreprise danoise A.P. Møller-Mærsk qui réalise près de 20% du transport international de marchandises dans le monde n'a pu coordonner ses opérations via son système informatique pour cause de contamination par le logiciel malveillant NotPetya. Cette cyberattaque a nécessité la réinstallation de l'ensemble de l'infrastructure informatique de l'entreprise soit 4 000 serveurs, 45 000 ordinateurs et 2 500 applications. Ce qui aurait pu prendre plus de 6 mois aura pris 10 jours, mais la perte est colossale : 300 millions de dollars de chiffre d'affaires(7).

Le cas de A.P. Møller-Mærsk est certainement le plus frappant en matière de cybersécurité maritime. Malheureusement ce n'est pas un cas isolé. Citons, entre autres, l'armateur chinois COSCO (2018), l'américain Carnival (2019), le constructeur naval Austal (2018), les ports de San Diego (2018), Vancouver (2018), la compagnie d'exploitation pétrolière Pemex (2019) et plus récemment encore l'armateur MSC (avril 2020), le port de Shahid Rajaee en Iran (mai 2020), l'armateur CMA CGM (septembre 2020), l'OMI (octobre 2020) et l'armateur Hurtigruten(8) (novembre 2020).

On distingue généralement deux types de cyberattaques, indifféremment des motivations politiques ou économiques de l'auteur. D'une part, les attaques non-ciblées dans lesquelles les systèmes et les données de l'entreprise ou du navire sont une des cibles potentielles. En fait, l'attaquant cherche à découvrir et exploiter des failles généralisées, quelle que soit l'entreprise. Ces attaques se fondent sur l'utilisation d'internet et se traduisent le plus souvent par des logiciels malveillants (malware), la demande d'informations sensibles ou confidentielles par courriels (phishing) ou la création d'un faux site web pour exploiter les visiteurs (water holing). D'autre part, il existe des attaques ciblées qui visent précisément les systèmes ou les données d'une entreprise ou d'un navire déterminé. Pour ce faire, l'auteur emploie des techniques spécialement créées pour l'attaque, telles que l'ingénierie sociale qui manipule les employés via les réseaux sociaux (social engineering), la force brute qui craque les mots de passe en essayant toutes les combinaisons possibles jusqu'à réussir (brute force), la subversion de la chaîne d'approvisionnement qui compromet les équipements, les logiciels ou les services d'assistance fournis à l'entreprise ou au navire (subverting the supply chain), etc(9).

Lorsqu'elle est menée contre une entreprise maritime ou portuaire, la cyberattaque peut avoir des effets dévastateurs, allant de la perte des marchandises jusqu'à la mise en danger de la navigation. Pour protéger les transports maritimes contre les cybermenaces, l'OMI a identifié au moins 8 systèmes potentiellement vulnérables à bord des navires et publié des recommandations qui s'imposeront aux entreprises à partir du 1er janvier 2021.

L'intégration du cyber-risque dans les systèmes de gestion de sécurité maritime

Les directives de l'OMI en matière de gestion du cyber-risque sont apparues après que les associations et les organisations de professionnels aient initié une réflexion en la matière.

On trouve donc également sur ce sujet les directives sur la cybersécurité à bord des navires(10) produites par le Baltic and International Maritime Counsel (BIMCO) conjointement avec l'Association internationale des lignes de croisière (CLIA), la Chambre internationale de la marine marchande (ICS), l'Association internationale des transporteurs de marchandises solides (INTERCARGO) et l'Association internationale des armateurs pétroliers indépendants (INTERTANKO) ; la norme ISO/IEC 27001 sur les technologies de l'information, les techniques de sécurité, les systèmes de management de la sécurité de l'information réalisée par Organisation Internationale de Normalisation (ISO) en partenariat avec la Commission Electrotechnique Internationale (CEI)(11) ; et le Cadre NIST pour l'amélioration de la cyber-sécurité dans les infrastructures critiques établies par le National Institute of Standards and Technology des États-Unis.

Toutes ses directives recommandent généralement le même processus de gestion du cyber-risque :

  • Identifier les systèmes, les biens, les données et les capacités qui présentent des risques pour les opérations des navires en cas de perturbation ;
  • protéger et assurer la continuité des opérations contre une cyberattaque grâce à des procédure de contrôle des risques et l'élaboration de plans d'urgence ;
  • détecter les cyber incidents rapidement et dans la mesure du possible avant qu'ils ne se produisent ;
  • répondre à une cyberattaque en rétablissant les systèmes nécessaires aux opérations et poursuivre sans interruption l'activité ; et
  • récupérer et rétablir un retour à la normale en identifiant les mesures de sauvegarde et de restauration des systèmes nécessaires.

Ces étapes constituent la base de la cyber-résilience des acteurs maritimes. Dans les faits, la cyber-résilience suppose une sensibilisation et une préparation aux cyber-risques de tous les individus, aussi bien à terre qu'en mer. Elle exige l'établissement de processus d'analyse des risques liés à l'activité et leur mise à jour permanente. Enfin, elle repose sur l'emploi des technologies et des capacités des systèmes informatiques et opérationnelles dont disposent les entreprises. Le véritable défi tient à ce que la cyber-résilience dépend des risques spécifiques de chaque entreprise, obligeant ainsi chacune à bâtir son propre système de cybersécurité.

L'obligation juridique de cyber-résilience

Jusqu'à aujourd'hui, aucune règlementation internationale en matière de cyber-sécurité n'était obligatoire mais dès le 1er janvier 2021, le code ISM (International Safety Management) renforcé par la résolution MSC.428(98) de l'OMI, exigera des propriétaires et des gestionnaires de navires qu'ils évaluent le risque cybernétique et mettent en œuvre les mesures pertinentes dans toutes les fonctions de leur système de gestion de la sécurité. La contrainte de l'intégration du risque cybernétique était commerciale, appuyée par exemple par la clause de cybersécurité BIMCO 2019(12) qui exige des parties contractantes à la charte de notifier tout cyber incident. Elle est conçue pour traiter les cas où une partie est frappée par un incident de cybersécurité qui affecte la réalisation des obligations contractuelles. Le guide TMSA3 (Tanker Management Self-Assessment) de l'OCIMF (Oil Companies International Forum) constitue également une obligation commerciale de cybersécurité pour les opérateurs du transport de pétrole. Néanmoins, ces exigences reposent sur la volonté des parties.

Dorénavant, les navires seront soumis à la vérification de l'intégration du risque cybernétique par les sociétés de classifications. Les agences DNV-GL et Bureau Veritas entre autres ont élaboré des classes « cyber ». A défaut de validation par la classe, les navires pourront être immobilisés lors des contrôles par l'Etat du port.

La cyber-résilience des armateurs pourra également se révéler déterminante en matière d'assurance. En effet, il n'est pas impossible que les P&I Clubs, chargés d'assurer la responsabilité civile des propriétaires et des gestionnaires de navires, refusent de couvrir des réclamations consécutives d'un cyber incident et qui seraient dues à un niveau d'intégration du risque cybernétique insuffisant. Les membres devront être capables de démontrer que toutes les mesures raisonnables ont été prises en conformité avec les dispositions du Code ISM.

Rappelons tout de même que l'évaluation de la cyber résilience des acteurs de l'industrie maritime va au-delà de la simple conformité à la loi. Les enjeux sont énormes, plus encore en cette période de pandémie mondiale. Comme le déclarait J. Stawpert, responsable environnement et commerce au sein du département de la Chambre Internationale du Shipping (ICS) « avec 400 000 marins actuellement bloqués en mer à travers le monde, toute nouvelle perturbation, qu'elle soit cybernétique ou autre, ne devrait pas seulement inquiéter la communauté maritime mais aussi chaque individu impliqué dans la chaîne de valeur mondiale ».

Chronique « Droit, Juriste et Pratique du Droit Augmentés »

Cette chronique a pour objectif, de traiter de questions d'actualité relatives à cette transformation. Dans un contexte où le digital, le big data et le data analytics, le machine learning et l'intelligence artificielle transforment en profondeur et durablement la pratique du droit, créant des « juristes augmentés » mais appelant aussi un « Droit augmenté » au regard des enjeux et des nouveaux business models portés par le digital.

Avec son Augmented Law Institute, l'EDHEC Business School dispose d'un atout majeur pour positionner les savoirs, les compétences et la fonction du juriste au centre des transformations de l'entreprise et de la société. Il se définit autour de 3 axes de développement stratégiques : son offre de formations hybrides, sa recherche utile à l'industrie du droit, sa plateforme de Legal Talent Management. https://www.edhec.edu/fr/ledhec-augmented-law-institute

(1) https://gcaptain.com/container-shipping-group-cma-cgm-resumes-online-services-after-cyber-attack/
(2) https://imo-newsroom.prgloo.com/news/imo-web-services-update-02102020
(3) Définition BIMCO : https://www.ics-shipping.org/wp-content/uploads/2020/08/guidelines-on-cyber-security-onboard-ships-min.pdf
(4) https://wwwcdn.imo.org/localresources/en/OurWork/Security/Documents/MSC-FAL.1-Circ.3%20-%20Guidelines%20On%20Maritime%20Cyber%20Risk%20Management%20(Secretariat).pdf
(5) https://wwwcdn.imo.org/localresources/fr/OurWork/Security/Documents/MSC%2098-23-Add.1.pdf
(6) Jim Hagemann Snabe, Le Forum Economique Mondial : https://www.youtube.com/watch?v=Tqe3K3D7TnI
(7) https://www.lefigaro.fr/flash-eco/2017/08/16/97002-20170816FILWWW00030-maersk-en-perte-apres-la-cyberattaque.php -
(8) https://www.meretmarine.com/fr/content/hurtigruten-victime-dune-grave-cyber-attaque
(9) https://www.ics-shipping.org/wp-content/uploads/2020/08/guidelines-on-cyber-security-onboard-ships-min.pdf
(10) https://www.ics-shipping.org/wp-content/uploads/2020/08/guidelines-on-cyber-security-onboard-ships-min.pdf
(11) https://www.iso.org/fr/isoiec-27001-information-security.html#SMSI - (12) https://standard-club.com/risk-management/knowledge-centre/news-and-commentary/2019/06/web-alert-new-cyber-security-clause-from-bimco-now-available.aspx

Partager :

Auteur

Ses derniers articles

Articles similaires
Abonnez-vous

  • Abonnement intégral papier + numérique

  • Nos suppléments et numéros spéciaux

  • Accès illimité à nos services

S'abonner
Journal du 31 mars 2023

Journal du31 mars 2023

Journal du 24 mars 2023

Journal du24 mars 2023

Journal du 17 mars 2023

Journal du17 mars 2023

Journal du 10 mars 2023

Journal du10 mars 2023

S'abonner
Envoyer à un ami
Connexion
Mot de passe oublié ?