Par CDR Michael C. Petta
introduction
Les dirigeants de l’industrie portuaire ont récemment soumis des directives de cybersécurité au Organisation maritime internationale (OMI) pour examen. Les États membres de l’OMI devraient saisir cette opportunité et modifier le Code international pour la sûreté des navires et des installations portuaires (ISPS) afin d’adopter des normes de cybersécurité pour les ports et les installations portuaires. Plus précisément, les États membres de l’OMI devraient modifier le code, en utilisant les nouvelles directives de l’industrie comme modèle, pour exiger des installations portuaires qu’elles procèdent à des évaluations régulières de la cybersécurité et élaborent des plans de cybersécurité distincts.
Les lignes directrices de l’IAPH sur la cybersécurité pour les ports et les installations portuaires
Plus tôt ce mois-ci, le Association internationale des ports et havres (IAPH), une association professionnelle représentant les ports du monde entier, a annoncé la publication de lignes directrices cyber pour les ports et les installations portuaires. Avec l’aide de la Banque mondiale, l’IAPH a élaboré ces directives de cybersécurité pour atténuer, selon le résumé de la publication, « le principal risque pour les autorités portuaires et la communauté portuaire au sens large ». Un examen de la longue liste des cyberincidents survenus au cours de l’année écoulée, tel que compilé par le Centre d’études stratégiques et internationales, renforce l’opinion de l’IAPH selon laquelle les cyberattaques sont une menace mondiale prééminente. Récemment, dans un discours aux Nations Unies, le président Biden a reconnu l’immédiateté de ce risque, soulignant l’importance de « renforcer notre infrastructure critique contre les cyberattaques » et d’établir « des règles claires… pour toutes les nations en ce qui concerne le cyberespace ». Inutile de dire que les lignes directrices de l’IAPH sont une avancée bienvenue vers une aspiration vieille de dix ans à améliorer la résilience en matière de cybersécurité dans le secteur maritime.
Les récents travaux de l’IAPH sur la cyber-résilience ne sont pas le seul jalon cyber de 2021 dans le secteur du transport maritime. Au contraire, au début de l’année, les directives de l’OMI pour gestion des cyber-risques maritimes, bien qu’adopté près de quatre ans plus tôt, est entré en vigueur pour certaines parties du système de transport maritime (STM). Ce n’est pas un hasard si ces deux séries de lignes directrices ont vu le jour la même année. En effet, ces dernières lignes directrices sont une conséquence nécessaire des premières car l’ensemble antérieur, en fait, ne couvre pas les installations portuaires. Les chefs de port n’avaient d’autre choix que de combler le vide, et ils l’ont fait rapidement.
L’IAPH a fait plus que sauter dans la brèche. Il a également coordonné ses efforts avec l’OMI. Cette coordination substantielle est évidente dans deux soumissions de 2021 à l’OMI Comité de la sécurité maritime (MSC). Dans le MSC 103/92 de mars, l’IAPH, reconnaissant le manque d’installations portuaires, a souligné que « les ports et les installations portuaires bénéficieraient » d’un cadre similaire à celui appliqué aux navires plus tôt dans l’année. L’IAPH a été motivée par les cyber-risques qu’elle considère comme « les menaces les plus importantes pour les ports aujourd’hui », citant une « multiplication par quatre des cyberattaques dans l’industrie maritime » sur une période de quatre mois l’année dernière. L’intensification attendue des cybermenaces de la part des numérisation accélérée des ports, un effort de modernisation en cours déclenché par, entre autres, la pandémie de coronavirus.
Poussé par ces risques de longue date et qui se multiplient, l’IAPH a déclaré au MSC son intention de développer «un seul ensemble complet de directives personnalisées pour les ports et les installations portuaires». De manière impressionnante, à peine quatre mois plus tard, via le MSC 104/7/1, l’IAPH a annoncé l’achèvement de son travail – le Lignes directrices de l’IAPH sur la cybersécurité pour les ports et les installations portuaires.
Le guide de 73 pages contient de nombreuses mesures de cybersécurité utiles et instruit les opérateurs d’installations sur de nombreux sujets fondamentaux pour la sécurité dans le cyberdomaine. Il s’agit notamment de l’adhésion de la direction, de la formation du personnel, de l’évaluation des risques, de la dotation en personnel appropriée, de la détection des menaces et de la réponse aux incidents. Bien que cet article n’ait pas l’intention d’explorer chaque disposition en profondeur, la mise en évidence de quelques caractéristiques est utile pour illustrer l’utilité des lignes directrices. Par exemple, le guide approuve expressément les installations portuaires qui organisent une formation, des exercices et des exercices uniques en matière de cybersécurité. En outre, il encourage les exploitants d’installations à partager les cyberinformations avec les régulateurs gouvernementaux et les partenaires de l’industrie. Les lignes directrices reconnaissent en outre l’importance d’une réponse et d’un signalement planifiés des incidents de cybersécurité. Enfin, et c’est peut-être le plus important, les nouvelles directives de l’IAPH favorisent les installations portuaires effectuant des évaluations régulières de la cybersécurité et l’élaboration de plans de cybersécurité distincts.
Pour intégrer de telles mesures dans un cadre gouvernemental international, l’IAPH a demandé à l’OMI d’examiner les nouvelles directives et mesures lors de la prochaine session du MSC, qui doit avoir lieu la première semaine d’octobre, la semaine prochaine.
Modification du Code international pour la sûreté des navires et des installations portuaires
Les précédentes cyber-directives de l’OMI, celles adoptées en 2017 et entrées en vigueur en 2021, ont été considérées changement de jeu. Certes, ils constituaient une étape vitale vers une approche uniforme pour lutter contre les cybermenaces dans l’industrie du transport maritime. Notamment, les États membres de l’OMI se sont appuyés sur le Code international de gestion de la sécurité (ISM) comme fondement juridique de ces lignes directrices. Le code ISM est un système de gestion de la sécurité adopté en 1987 pour aider les leaders de l’industrie maritime à gérer les risques de sécurité. Peu importe qu’un sécurité système de gestion est le meilleur instrument pour atténuer Sécurité menaces, ce n’est pas le bon outil pour promouvoir la cybersécurité dans les installations portuaires. En effet, le code ISM, fondamentalement, ne s’applique qu’aux navires, pas aux installations portuaires.
Heureusement, il existe un instrument international spécialement conçu pour protéger les installations portuaires des attaques : le Code international pour la sûreté des navires et des installations portuaires (ISPS). Il y a vingt ans ce mois-ci, des acteurs subversifs exploitaient les vulnérabilités du système de transport mondial et attaquaient des emplacements civils à travers les États-Unis. Le code ISPS a été développé en réponse directe à ces attaques et est devenu le « complet régime de sécurité obligatoire. L’un des objectifs explicites du code est d’évaluer et de détecter les « menaces à la sécurité des… installations portuaires… [and] mettre en œuvre des mesures de sécurité préventives contre de telles menaces. En fin de compte, si les États membres de l’OMI ont l’intention de de manière globale sécuriser les installations portuaires contre les attaques provenant du cyberdomaine, ils doivent se tourner vers le code ISPS.
Même si le code ISPS est le bon outil à tirer de la boîte à outils internationale, l’instrument doit d’abord être étalonné. En effet, les dispositions existantes, bien qu’implicites, du code en matière de cybersécurité sont des directives non contraignantes, non contraignantes et inapplicables. Une telle loi douce sur la cybernétique fait des installations portuaires des cyber-cibles souples. Au cours des dernières semaines, des acteurs subversifs soutenus par une nation étrangère, selon le témoignage du directeur de la US Cybersecurity and Infrastructure Agency, a piraté des serveurs et implanté un code malveillant dans une installation portuaire de Houston, au Texas. En discutant de cette récente violation, un expert en cybersécurité a prédit que de tels incidents entraîneraient un cadre « beaucoup plus réglementaire » au lieu du modèle « ambitieux » actuel.
Le Code ISPS comporte deux parties : une partie A obligatoire et une partie B recommandable. Il est à noter qu’il n’y a pas de dispositions de cybersécurité, explicites ou implicites, dans la partie A. Pendant ce temps, la partie B fait allusion à la cybersécurité car elle encourage les installations portuaires à considérer « la radio et les équipements de télécommunications, y compris les systèmes et réseaux informatiques » lorsqu’ils évaluent les vulnérabilités de la sécurité physique. Encourager les installations à envisager certaines menaces est une aspiration notable, mais ce n’est pas une règle de cybersécurité claire et exécutoire. Tout cela pour dire que le Code ISPS, promulgué dans le but précis de prévenir les attaques contre le MTS, est le bon outil pour le travail, mais pour être un instrument efficace contre les menaces dans le domaine cyber, il doit être amendé.
Certes, la modification du Code ISPS nécessitera une réflexion approfondie. Un ajustement que les États membres de l’OMI pourraient envisager est de modifier la section 18 de la partie B pour englober la formation, les exercices et les exercices spécifiques à la cybersécurité. De telles exigences spécifiques au cyberespace n’existent pas actuellement. La section 9 des lignes directrices de l’IAPH fournit des exemples utiles. En outre, les États membres pourraient envisager de modifier la section 15 des parties A et B pour exiger expressément une évaluation de la cybersécurité sur la base des facteurs du modèle de l’IAPH. L’évaluation de la cybersécurité serait distincte et complémentaire de l’évaluation de la sécurité des installations déjà requise par l’article 15 du code.
Un autre ajustement du code ISPS qui mérite d’être sérieusement pris en compte est une modification de la section 16 des parties A et B pour exiger que les installations portuaires se préparent et que les gouvernements approuvent des plans de cybersécurité distincts. L’IAPH fournit un modèle comme référence. À l’instar de l’évaluation de la cybersécurité, le plan de cybersécurité serait un document indépendant, un complément au plan de sécurité des installations déjà requis. Ce ne sont là que quelques exemples d’ajustements potentiels du Code ISPS qui peuvent être utilisés pour intégrer efficacement les travaux de l’IAPH dans le droit international.
Dans un 2020 Note de cybersécurité de la communauté portuaire, l’IAPH semble reconnaître la nécessité de modifier le code. Au chapitre cinq de la note, l’IAPH conclut avec perspicacité « que le rôle de la [Port Facility Security Officer] doit évoluer pour englober la cybersécurité… plutôt que de se concentrer uniquement sur les menaces physiques. On peut soutenir que, parce que le rôle de l’agent de sécurité des installations portuaires est contrôlé par le code ISPS, il s’ensuit que pour faire évoluer ce rôle, les États membres de l’OMI doivent faire évoluer le code. De plus, l’IAPH semble reconnaître que tout ajustement doit être global. Comme il l’affirme dans la note 2020, en raison de « l’imprévisibilité et [sic] nature des cybermenaces… une approche limitée ou partielle ne suffira probablement pas.
Conclusion
Le MSC de l’OMI se réunit la première semaine d’octobre. L’IAPH a fourni au MSC des directives entièrement élaborées en matière de cybersécurité des installations portuaires et a demandé au MSC de les prendre en considération. Cette invitation doit être consciencieusement acceptée et utilisée comme tremplin pour promulguer les normes de l’OMI au niveau international. Les cybermenaces et les vulnérabilités sont bien connues et devraient se multiplier avec la numérisation continue à travers le MTS. Le moment est venu pour les États membres de l’OMI d’agir. Lorsqu’ils se réuniront la semaine prochaine, ils devraient s’appuyer sur l’élan de l’IAPH et entamer le processus de modification du code ISPS, en accordant la plus grande attention à l’obligation d’effectuer des évaluations régulières de la cybersécurité et des plans de cybersécurité distincts.
Le commandant Michael C. Petta, USCG, est vice-président, directeur des opérations maritimes et professeur de droit international au Stockton Center for International Law de l’US Naval War College. Les opinions présentées sont celles de l’auteur et ne reflètent pas nécessairement la politique ou la position de la US Coast Guard, du US Department of Homeland Security, de l’US Navy, du Naval War College ou du US Department of Defense.
Image en vedette : Porte-conteneurs Houston Express à Hambourg, en Allemagne. (Crédit : Prosertek)
