La cybersécurité maritime
Si la numérisation et l’automatisation de certaines opérations maritimes facilitent aujourd’hui la fluidité des échanges, ces évolutions techniques et technologiques rendent aussi le navire et les infrastructures portuaires plus vulnérables face à la cyber-menace, qui constitue aujourd’hui un risque émergent.
Qu’il s’agisse de vol d’informations, de sabotage, de piratage voire encore de terrorisme, la navigation maritime est devenue une cible. En droit maritime, la cybersécurité renvoie au « risque cyber », c’est-à-dire au risque, pour une personne morale ou physique, de subir une atteinte d’origine immatérielle à l’accessibilité, la confidentialité, l’intégrité ou la traçabilité de son système d’information. Plus précisément, une cyber attaque peut figurer un acte malveillant qui viserait à atteindre, en créant un dysfonctionnement technologique, un système de communication ou de navigation (virus, crypto logiciels…) ou à porter atteinte au système de données d’un navires, d’un ports ou d’une plateforme pétrolière.
En droit, la cybercriminalité désigne l’ensemble des infractions pénales spécifiques liées aux technologies de l’information et de la communication, ainsi que celles dont la commission est facilitée ou liée à l’utilisation de ces technologies.
Dans le domaine maritime, la cybercriminalité a déjà fait des dégâts. Ainsi, en 2011, le port d’Anvers (Belgique) est victime d’une cyberattaque menée par un cartel de drogue qui, grâce à la numérisation portuaire, a pu repérer et déchargé des conteneurs avant leur contrôle par les autorités douanières. Les ports de Rotterdam, de San Diego et de Mumbai seront aussi visés. Autre exemple : en 2017, la compagnie Maersk est attaquée par un ransomware qui affectera quelque 45.000 ordinateurs, placés dans l’incapacité d’accéder aux données de la compagnie.
Dans la pratique, si la gestion des risques cyber repose principalement sur les armateurs et leurs équipages, il demeure que la gestion de ces risques ne saurait être effective sans une réglementation internationale contraignante mais aussi protectrice et dissuasive. S’il n’existe aujourd’hui aucun instrument international spécialement dédié à la cyber sécurité maritime, la réglementation se développe progressivement aux niveaux international, régional et national.
Droit international. – Il est possible en la matière de s’appuyer sur la Convention SOLAS (1974) et le Code ISPS (2002), qui constituent les instruments principaux pour l’organisation de la sûreté des navires et des installations portuaires. Notamment, le Code impose aux États, de même qu’aux opérateurs privés, un certain nombre de règles, d’équipements et de procédures destinées à assurer la sécurité et la sûreté des activités humaines en mer ; notamment, sous le contrôle de l’État du pavillon, les opérateurs sont tenus d’évaluer les menaces et d’établir en ce sens des plans de sûreté. Malgré l’importance de ces textes, il demeure que la cyber sécurité maritime n’y pas explicitement visée malgré la prégnance de la menace.
Face à ce constat, l’OMI (Organisation Maritime Internationale) se devait de réagir. C’est ainsi, dès juin 2016, qu’a été publiée, sous ses auspices, la circulaire 1526 fixant des « directives sur la gestion des cyber-risques maritimes » (MSC-FAL.1/Circ.3). Cet instrument a pour but de fournir des recommandations exigeantes sur la gestion des cyber-risques maritimes visant à protéger les transports maritimes contre les cybermenaces et vulnérabilités actuelles et émergentes. Il comprend aussi des éléments fonctionnels sur lesquels repose une gestion efficace des cyber-risques. En juin 2017, le Comité de la sécurité maritime a également adopté la résolution MSC.428(98) sur la gestion des cyber-risques maritimes dans le cadre des systèmes de gestion de la sécurité. En 2018, des Directives sur la cyber sécurité et la cyber sûreté à bord des navires seront publiées, notamment par le BIMCO, la Chambre internationale de la marine marchande (ICS) et l’Association internationale des armateurs pétroliers indépendants (INTERTANKO).
Droit régional. – Dans l’Union européenne, on pourra s’appuyer sur la directive NIS (UE) n°2016/1148 du Parlement européen et du Conseil du 6 juillet 2016, qui prévoit la mise en œuvre, par les États et les opérateurs, de mesures destinées à assurer un niveau élevé et commun de sécurité des réseaux et des systèmes d’information.
Droit national. – Au Sénégal, le Ministère de la Communication, des Télécommunications, des Postes et de l’Économie numérique a publié en novembre 2017 la « Stratégie nationale de cybersécurité du Sénégal » (SNC2022). Ce document détermine notamment 5 objectifs stratégiques à atteindre : renforcer le cadre juridique et institutionnel de la cybersécurité au Sénégal ; renforcer la protection des infrastructures d’information critiques (IIC) et les systèmes d’information de l’État ; promouvoir une culture de la cybersécurité ; renforcer les capacités et les connaissances techniques en cybersécurité dans tous les secteurs ; enfin participer aux efforts régionaux et internationaux en la matière.
En France, c’est en 2016 que la Direction des affaires maritimes publie le rapport « Cyber sécurité – Évaluer et protéger le navire », qui vise à sensibiliser aux enjeux de la cybersécurité dans le domaine maritime. Il s’agit à la fois de protéger les systèmes d’information et de développer l’économie du secteur. Sur le fond, le droit français impose désormais d’évaluer les dispositions relatives à la cyber sécurité du navire par le biais de son plan de sûreté (systèmes de communication et d’information). Cette évaluation doit porter, a minima, sur la cartographie logicielle et matérielle du navire ; la définition de ses éléments sensible ; enfin la gestion des vulnérabilités système. En ce sens, plusieurs guidelines et autres documents sont mis à la disposition des opérateurs (exemple : « Cyber sécurité – Évaluer et protéger le navire » ; « renforcer la protection des systèmes industriels du navire »…).
Au-delà des politiques publiques, il est entendu que l’assurance maritime « cyber risques » aura aussi un rôle très important à jouer. Il faut dire que la prise en compte du risque cyber par les assureurs a été progressive. Longtemps en effet, le risque cyber a été exclu des polices d’assurances ordinaires. En 2002, la Fédération Française des Sociétés d’Assurances a ainsi émis une clause d’exclusion pour les risques nucléaires, chimiques, biologiques, électromagnétiques et cybernétiques. Néanmoins, face à la prégnance du risque cyber, sa couverture se présente aujourd’hui sous les traits d’une garantie optionnelle intégrée aux assurances de responsabilité civile ou d’une police spéciale dédiée à la garantie de ce risque : il pourra s’agir, par exemple, d’une assurance de dommage aux biens qui couvrira les incendies causés par une cyberattaque ou, selon les cas, les frais de reconstitution des données, les pertes d’exploitation liées à l’atteinte aux données…
Le cyber-risque est un défi majeur pour l’industrie maritime. Même si le droit maritime a entamé sa mue pour mieux saisir ces nouveaux risques, même si l’assurance maritime propose désormais des solutions aux opérateurs, la réglementation en la matière demeure balbutiante. C’est pourquoi In ExtenSea est très attentif aux évolutions juridiques en la matière pour veiller au mieux à vos intérêts.
