Livre bleu de la marétique et cybersécurité maritime

Il y a deux ans, jour pour jour, je publiais un article intitulé "Cybersécurité maritime en Europe : de faible à inexistante". Inspiré par un intéressant rapport de l'ENISA, la carence du secteur maritime était pointée en matière de cybersécurité puisque "la sensibilité à la problématique (cybersécurité) varie de "faible à inexistante". Deux faiblesses majeures étaient perçues : "les standards, méthodologies et outils dédiés à la sécurité maritime sont "monolithiques et se focalisent uniquement sur la sécurité physique". De plus, "les ports commerciaux ne sont pas considérés comme des éléments d'infrastructures critiques et la sécurité des systèmes d'information et de communication n'est pas organisée". Deux années plus tard, et alors que la loi de programmation militaire (LPM) et ses articles portant sur la cybersécurité viennent d'être publiés au Journal Officiel, la problématique cyber est-elle enfin prise en compte ?

Il est évidemment extrêmement difficile si ce n'est impossible de répondre par l'affirmative ou la négative à une question complexe au périmètre vaste. Pour autant, l'actualité 2013 concernant le secteur maritime doit nécessairement interroger les différents responsables publics et privés. D'un côté il y a eu le port d'Anvers qui a subi les affres de la cybercriminalité, mêlant astucieusement piratage informatique, containers et trafic de cocaïne (1). Et qui n'est sans doute pas un cas isolé. De l'autre côté, il y a différents travaux de chercheurs en sécurité démontrant les leurrages possibles du système automatique d'identification (ou AIS (2)) avec un cas a priori détecté d'un tour de passe-passe d'un navire iranien. Enfin, et parce qu'il est nécessaire de rechercher l'exhaustivité, il y a l'intéressant livre bleu sur la marétique (3) publié en juin 2013 (4).

A la lecture de ce document, élaboré en vue de structurer certains actes prioritaires du Cluster Maritime Français (CMF) au travers de l'association marétique @marrer, c'est un sentiment paradoxal qui émerge. Alors que le cœur du sujet est bien la notion de systèmes de transport intelligents (page 42), que reviennent à plusieurs reprises les termes "interopérabilité", "nouvelles technologies numériques", "nouveaux usages" ou "compétitivité", que des projets comme le "On board assistant" (page 31) ou le "système intégré de navigation" (5) apparaissent, la pauvreté en matière de cybersécurité laisse pantois ! A peine évoqué à la page 15 en termes de "bulle sécurité" (6) et omettant les systèmes industriels, il n'est pas concevable que ce livre bleu fasse autant l'impasse de l'axe structurant que représente la protection et la sécurité des systèmes d'information et de communication. Sauf à se penser vivre en vase clos, dans le monde merveilleux de "Oui-Oui et l'absence de malveillances informationnelles" ou à une époque où la communication longue distance était synonyme de signaux de fumée...

(1) http://www.lalibre.be/economie/actualite/comment-anvers-a-ete-pirate-et-s-en-est-sorti-5269e7ea35708def0d93513c

(2) L'Automatic Information System est un système anti-collision combinant positionnement GPS, trajectoire et informations contextuelles (passagers ou marchandises) des 400 000 navires commerciaux dans le monde

(3) "La Marétique (mare - en latin + [informa]tique) est l'ensemble des systèmes informatiques et électroniques utilisés dans la gestion et l'automatisation des opérations relatives aux activités maritimes, fluviales et portuaires" (p6)

(4) http://issuu.com/opteam/docs/seagital-livre-bleu-12112013

(5) service d'e-Navigation + communication terre-mer + entre les navigateurs
(6) "conception, applications informatiques, bases de données" : une vision informatico-centrée qui souligne une absence complète de culture cybersécurité