Cybersécurité maritime en Europe : de faible à inexistante

On ne le sait peut-être pas assez mais l'Union européenne possède la 2ème façade maritime au monde. Rotterdam, premier port européen, est également l'un des tous premiers ports mondiaux et constitue la première interface maritime de l'Europe et le principal port commercial de la Triade.

Globalement, le trafic de marchandises par voies maritimes pour l'U.E. représente plus de la moitié du trafic total et, sans surprise, dépend de plus en plus de systèmes d'information complexes et interconnectés. Ils n'en sont donc pas moins soumis aux mêmes types de risques et de menaces que n'importe quel S.I.

L'ENISA, pour une fois, fait montre d'originalité (si j'osais j'ose même parler d'avant-gardisme !) en publiant un rapport qui souligne les carences du domaine en la matière où la sensibilité à la problématique cybersécurité varie de "faible à inexistante" ! Pour l'avoir lu attentivement, j'irai donc un peu plus loin que certains* car je trouve ce rapport clair, synthétique et allant à l'essentiel : un constat alarmant mais juste assorti d'une dizaine de recommandations à court, moyen et long terme. 

Je ne les listerai pas en détail puisque l'on retrouve des mesures somme toute assez classiques mais de bon sens : initiation d'un dialogue entre les différents acteurs clé du secteur et connexes (autorités, gouvernement, etc.), faire prendre conscience à tous de la criticité du secteur, sensibiliser et développer les formations, définir les rôles et responsabilités au niveau national et européen, développer des standards et des politiques, etc.

Ce rapport met cruellement en exergue deux faiblesses ayant cours jusqu'à présent et que je trouve assez incroyables : les standards, méthodologies et outils dédiés à la sécurité maritime sont "monolithiques et se focalisent uniquement sur la sécurité physique". De plus, "les ports commerciaux ne sont pas considérés comme des éléments d'infrastructures critiques et la sécurité des systèmes d'information et de communication n'est pas organisée" ! Le rapport insiste pour que le domaine maritime soit traité en problématique "infrastructures critiques" à part entière.

Parmi les recommandations, l'une d'entre elles a attiré mon attention puisqu'elle souligne que les risques ne sont pas suffisamment traités jusqu'à présent du point de vue méthodologique (analyses de risques) : seules l'interruption des moyens critiques de communication ou la divulgation d'informations sensibles sur les navires (parcours, position, équipage, etc.) étaient évalués et traités. Le rapport de l'ENISA recommande donc une approche holistique de la gestion des risques, en évaluant la criticité des services, l'identification et la classification des assets, l'exposition aux risques, etc. 

Même tardive, l'initiative de l'ENISA est à saluer. On peut cependant rester circonspect quant à l'émergence d'une volonté commune. La prise en compte de ses recommandations et leur déclinaison opérationnelle dans les mois qui viennent serviront donc d'anémomètre. 

* même si le jeu de mot est parfait ! ;)