Semaine thématique sur l’infrastructure maritime et le commerce
Par CDR Michael C. Petta
introduction
Il est largement reconnu que les vulnérabilités en matière de cybersécurité font du système de transport maritime une cible souple. Par exemple, il y a environ 10 ans, un Etude de l’Union européenne ont constaté une «préparation inadéquate face aux cyberrisques» dans le secteur maritime. En 2013, une présidentielle américaine Ordre exécutif a annoncé que les cybermenaces continuent de croître et constituent l’un des défis de sécurité les plus graves pour les infrastructures critiques, telles que les installations portuaires. Quelques années plus tard, un Résolution de l’Organisation maritime internationale (OMI) a reconnu le «besoin urgent» de lutter contre les cybermenaces maritimes. Quelques jours à peine après cette résolution de l’OMI, Maersk, la compagnie maritime mondiale, a subi une cyberattaque majeure, amenant son président à admettre dans une interview que l’industrie maritime avait été naïve en matière de cybersécurité et avait besoin d’une «amélioration radicale».
Malgré la reconnaissance généralisée de ces vulnérabilités, les lois internationales sur la cybersécurité des ports restent souples – inapplicables et discrétionnaires. La communauté internationale devrait prendre des mesures pour durcir ces lois et donc durcir les objectifs.
Cibles souples
Le terme «cible souple» est utilisé dans les domaines de l’application de la loi, de la protection des forces, de la défense nationale et de la sécurité industrielle. Sa définition a des variétés subtiles selon la source. Aux États-Unis, un Plan de sécurité des cibles souples du Département de la sécurité intérieure déclare que les cibles souples comprennent «des endroits facilement accessibles à un grand nombre de personnes et qui disposent de mesures de sécurité ou de protection limitées, ce qui les rend vulnérables aux attaques». D’un point de vue global, un Rapport des Nations Unies sur les menaces contre des cibles souples qualifie les cibles souples de «lieux facilement accessibles et de nature principalement civile, souvent avec des mesures de sécurité limitées en place». Pendant ce temps, un basique dictionnaire en ligne définit le terme comme un lieu qui «peut être attaqué facilement car il ne dispose pas de défenses militaires». Quelle que soit la source, les utilisations du terme portent un thème universel: une cible est douce si elle est vulnérable aux attaques, quelle que soit la raison de sa vulnérabilité.
Certaines cibles souples, comme station d’épuration d’une petite ville, peut sembler évident. D’autres cibles souples, telles que les installations portuaires internationales, pourraient être moins évidentes. En effet, l’infrastructure des installations portuaires bénéficie de mesures de sécurité mondiales, en particulier celles établies dans le Code international de sécurité des navires et des installations portuaires (ISPS). Néanmoins, malgré les avantages du Code ISPS, la cybersécurité reste le cœur mou des installations portuaires.
Ce ventre mou devrait être un motif d’action car les cibles souples sont des cibles faciles. Comme un criminologue écrit, «Les terroristes attaquent généralement là où leurs adversaires sont les plus faibles. En tant que tels, les terroristes se concentrent sur les sites mous. » Le Conseil de sécurité des Nations Unies observe la même tendance, affirmant un mémoire analytique récent que les cibles souples «ont longtemps été les cibles privilégiées des attaques terroristes».
Une perturbation du système de transport maritime (MTS) due à une attaque contre une cible souple pourrait avoir des effets considérables. le échouement récent du porte-conteneurs EVER GIVEN souligne la criticité et la fragilité de ce système commercial mondial. On estime que cette seule perturbation du trafic maritime a bloqué 9 milliards de dollars de commerce mondial par jour. Les effets d’une perturbation MTS cyber-induite iraient au-delà de l’économie. La vie et les moyens de subsistance des gens dépendent de l’essence, des matériaux de construction, de la nourriture et du mazout de chauffage fournis par MTS. La pandémie en cours souligne ce point.
Loi souple
Les installations portuaires restent des cibles souples pour les cyberattaques parce que le code ISPS, le régime mis en œuvre pour protéger les installations portuaires internationales, contient des «lois non contraignantes». Il existe de nombreux débats scientifiques sur la signification du terme soft law. Article de 2008 du professeur Dinah Shelton Loi souple est recommandé à ceux qui souhaitent explorer plus en détail ce domaine du droit international. Par souci d’efficacité, cet article adopte le point de vue selon lequel la soft law est une recommandation et la hard law est obligatoire. Ou, comme pourrait le dire un chef militaire plus succinct, le respect de la soft law est «souhaité mais pas obligatoire».
Le Code ISPS a été établi par les États membres de la OMI pour protéger les infrastructures maritimes et portuaires dans le monde. Entré en vigueur en 2004, le Code ISPS est un régime de sécurité complet et une composante du Convention internationale pour la sauvegarde de la vie humaine en mer (SOLAS). Bien que le code ISPS fasse partie d’une convention contraignante, seul le premier de ses deux segments, la partie A, est obligatoire. La partie B est recommandée.
La partie A du code ISPS exige que chaque installation élabore un plan de sécurité des installations (FSP). Le PSF est la base sur laquelle reposent les mesures préventives d’une installation. La partie A ordonne également aux PSF de traiter des questions de sécurité particulières, telles que les mesures visant à limiter l’entrée d’armes, à contrôler l’accès aux installations, à protéger les zones réglementées et à sauvegarder la cargaison. Ces obligations de sécurité physique de la partie A sont claires et certaines.
Ce qui est également clair dans la partie A est son absence d’exigence de cybersécurité. Il n’est pas obligatoire d’élaborer un plan de cybersécurité distinct. Aucune directive n’exige que la cybersécurité soit abordée dans le PSF déjà mandaté. En fait, la seule référence au cyber dans tout le Code ISPS se trouve dans la partie B, la partie recommandatoire. Plus précisément, il y a quatre dispositions de la partie B, chacune traitant des évaluations de sécurité, que les installations devrait tenir compte des «équipements de radio et de télécommunications, y compris les systèmes et réseaux informatiques» lors de l’évaluation des vulnérabilités.
Étant dans la partie B, ces quatre dispositions sont discrétionnaires. Ces dispositions «cyber» ne sont pas seulement discrétionnaires, elles sont également vagues. Certes, certains peuvent se demander si l’expression «équipement de radio et de télécommunications, y compris les systèmes et réseaux informatiques» est synonyme du terme cyber. En 2015, le Canada a soulevé ce point précis dans le MSC 95/4/2, une communication au Comité de la sécurité maritime (MSC) de l’OMI. Dans sa communication, le Canada a proposé de modifier le Code ISPS pour clarifier la phrase vague. Dans MSC 95/22, le MSC a décidé qu’une modification du Code ISPS n’était pas justifiée à l’époque.
Étant à la fois vague et discrétionnaire, le langage des «systèmes et réseaux informatiques» du Code ISPS est une loi non contraignante inapplicable. Cette loi atténuée s’adapte à un environnement dans lequel la cybersécurité ne fait que subsister et les installations portuaires restent vulnérables aux cyberattaques. Il est temps d’envisager une approche différente.
Durcir la loi, durcir les cibles
Compte tenu des conséquences graves d’une cyber-perturbation sur le MTS, se fier à une loi non contraignante non exécutoire n’est peut-être pas la bonne approche. La communauté internationale peut faire plus pour durcir la loi, et il existe un modèle utile aux États-Unis.
Promulguée en 2018, la loi sur l’amélioration de la sécurité maritime (MSIA), codifiée à 46 USC § 70103 (c) (3) (C) (v), exige expressément que les PSF «incluent des dispositions pour la détection, la réponse et la récupération des risques de cybersécurité». Surtout, cette loi nationale interdit aux installations portuaires de fonctionner aux États-Unis sans un PSF qui traite de telles mesures de cybersécurité.
Ce mandat américain est une loi dure, à la fois claire et exécutoire. Pour remédier de manière significative aux vulnérabilités connues de cybersécurité dans les installations portuaires du monde, les États membres de l’OMI devraient collaborer et modifier la partie A du code ISPS pour inclure un mandat similaire. En durcissant la loi de cette manière, les États membres peuvent établir un cadre d’application cohérent et uniforme et ainsi commencer à renforcer les installations portuaires contre les cyberattaques.
Le commandant Michael C. Petta, USCG, est directeur associé des opérations maritimes et professeur de droit international au Stockton Center for International Law de l’US Naval War College. Les opinions présentées sont celles de l’auteur et ne reflètent pas nécessairement la politique ou la position de la garde côtière américaine, du département de la sécurité intérieure, de l’US Navy, du Naval War College ou du département de la Défense.
Image en vedette: Maersk MC Kinney Moller dans le port (Wikimedia Commons)