Par CDR Michael C. Petta
introduction
L’arrivée d’une nouvelle année est souvent prometteuse pour l’avenir. Alors que la pandémie de coronavirus domine le devant de la scène l’année dernière, beaucoup ont les yeux rivés sur de nouveaux départs avec le début de 2021. Pour certains dans l’industrie maritime, en particulier les propriétaires et exploitants de navires commerciaux impliqués dans le commerce international, 2021 apporte un nouvel ensemble des lignes directrices pour la protection des navires – les Organisation maritime internationale (OMI) Lignes directrices sur les gestion des cyberrisques.
Ces nouvelles lignes directrices, une étape importante pour la sûreté et la sécurité maritimes, sont le fruit de la collaboration et du travail acharné des leaders de l’industrie du transport maritime et des États membres de l’OMI. Certains dans l’industrie du transport maritime considèrent cette évolution comme changement de jeu. Que la donne change ou non, la mise en œuvre de ce nouveau modèle est une étape essentielle vers l’élaboration d’une approche uniforme de lutte contre les cybermenaces contre les navires.
Notamment, cependant, les lignes directrices de 2021 laissent une partie tout aussi vitale, et peut-être tout aussi vulnérable, de l’industrie du transport maritime – les installations portuaires – sans un ensemble de principes similaire. Maintenant que les lignes directrices de l’OMI sur les navires sont en phase de mise en œuvre, les États membres et les dirigeants de l’industrie maritime devraient à nouveau donner la priorité à la cybersécurité et collaborer à l’OMI pour élaborer des normes de cybersécurité uniformes pour les installations portuaires.
L’OMI et la réglementation maritime internationale
Avant d’explorer la nécessité de normes de cybersécurité des installations portuaires, il peut être utile de revoir le rôle de l’OMI dans l’élaboration des réglementations internationales. En 1948, les États membres de la Les Nations Unies ont créé l’IMCO, qui a changé son nom en IMO en 1982, pour faciliter la coopération mondiale avec la réglementation et les pratiques de la navigation engagée dans le commerce international. L’objectif de l’OMI est d’assurer une expédition sûre, sécurisée et durable, facilitant le commerce et les relations amicales entre tous les États. Parce que le transport maritime est historiquement et intrinsèquement une entreprise internationale, l’OMI dépend et promeut la coopération entre ses 174 États membres construire règlements uniformes qui soutiennent cet objectif essentiel. La structure de l’OMI est restée durable et inclusive depuis sa création.
Peu de régimes de réglementation maritime illustrent mieux le travail percutant de l’OMI à travers le monde que le Convention internationale pour la sauvegarde de la vie humaine en mer (SOLAS). SOLAS est un traité du début des années 1900 rédigé en réponse, entre autres, au tristement célèbre naufrage du RMS Titanesque. Après son adoption initiale en 1914, SOLAS a encore évolué via de multiples conventions sur de nombreuses années avec la dernière convention adoptée en 1974. Par conséquent, le traité est communément appelé SOLAS 1974.
De façon générale, SOLAS établit des normes de sécurité minimales liés à la construction, à l’équipement et à l’exploitation des navires. Les pays parties au traité veillent à ce que les navires sous leur pavillon respectent les conditions de SOLAS au moyen de programmes de certification administrés au niveau national. Au moment d’écrire ces lignes, 166 pays, représentant environ 99 pour cent du tonnage maritime mondial, étaient parties contractantes à SOLAS 1974.
Bien que la dernière convention SOLAS ait été adoptée en 1974, le traité a été amendé à plusieurs reprises depuis lors par l’intermédiaire de l’OMI.acceptation tacite » procédures. Et comme SOLAS lui-même, ces amendements faisaient souvent suite à une tragédie, comme lorsque le Code international de gestion de la sécurité (ISM) a été ajouté en tant que chapitre de SOLAS après un accident de ferry en 1987 en Belgique tué près de 200 personnes. Parce que les enquêteurs sur les accidents ont constaté que la mauvaise culture de sécurité de l’entreprise avait contribué à l’accident, les États membres de l’OMI ont élaboré le Code ISM, une norme mondiale de gestion de la sécurité, pour lutter contre ce qu’un enquêteur a appelé le «Maladie de la négligence» sur les navires et à terre. Entré en vigueur en 1998, le Code ISM a fait «Expédition plus sûre et plus propre» depuis plus de deux décennies.
Les cyber-directives 2021 de l’OMI
Le code ISM sert de base sur laquelle les États membres de l’OMI ont construit les lignes directrices 2021 pour la gestion des cyberrisques. Les lignes directrices ont été consignées en 2017 via trois déclarations clés. Premier arrivé Résolution MSC.429 (98), Gestion des cyberrisques maritimes dans les systèmes de gestion de la sécurité, l’OMI a affirmé que le Code ISM exige déjà une atténuation des cyberrisques. Selon ce point de vue, la gestion des cyberrisques est déjà incluse dans l’exigence générale existante du code selon laquelle les entreprises établissent des tous les risques aux navires, au personnel et à l’environnement.
La résolution MSC.429 (98) contient également une deuxième déclaration importante. Dans ce document, l’OMI encourageait les pays à «répondre de manière appropriée» à cette exigence préexistante au plus tard le 1er janvier 2021. En termes plus pratiques, maintenant que le date limite prévue pour les directives cybernétiques de l’OMI est arrivé avec le début de cette nouvelle année, l’OMI encourage les États du pavillon à ne pas délivrer de documents de conformité aux navires si les cyberrisques ne sont pas correctement traités dans le système de gestion de la sécurité respectif.
La troisième déclaration importante de l’OMI est dans un Circulaire de juillet 2017, dans lequel l’OMI a annoncé que son comité de la sécurité maritime (MSC) et son comité de facilitation approuvaient conjointement des lignes directrices spécifiques sur la gestion des cyberrisques. Les États membres ont élaboré ces lignes directrices non obligatoires en partenariat avec les leaders de l’industrie du transport maritime afin de promouvoir le respect de l’exigence préexistante du code ISM susmentionnée afin d’atténuer les cyberrisques. Dans le Circulaire de juillet 2017, l’OMI recommande aux navires et aux États du pavillon d’utiliser les directives lors des contrôles de conformité pour évaluer si les cyberrisques ont été correctement traités.
En tant que régime de gestion des risques, le code ISM devrait bien s’adapter à la gestion et à l’atténuation des cyberrisques. Les responsables gouvernementaux et les leaders de l’industrie maritime, expérimentés après environ 18 ans de pratique du Code ISM, devraient relever le défi de l’application du code dans la cyberarène émergente. De plus, en identifiant dans le code ISM une exigence cybernétique préexistante, quoique apparemment en sommeil, puis en complétant cette exigence par des directives sectorielles non contraignantes, les États membres ont évité le long processus de modification de SOLAS 1974 et du code ISM.
Tout cela pour dire que l’exploitation du cadre de gestion des risques du Code ISM pour atténuer les cybermenaces était une approche efficace. En 2021, les États du pavillon commenceront à utiliser cette approche et à œuvrer en faveur d’une uniformité mondiale.
Le travail qui reste pour sécuriser les ports
SOLAS 1974 a été modifié à de nombreuses reprises, souvent pour mettre en œuvre des règlements subsidiaires tels que le Code ISM. Un autre règlement subsidiaire au sein de SOLAS est le Code international de sécurité des navires et des installations portuaires (ISPS), le régime de sécurité obligatoire complet de l’OMI s’est développé après une autre tragédie – les attentats du 11 septembre. Fait intéressant, alors que le nouveau modèle de l’OMI pour lutter contre les cybermenaces était à l’étude, le MSC a signalé, via MSC 97/22, que certains États membres ont estimé que le système ISPS pourrait être plus adapté pour lutter contre les cybermenaces. Néanmoins, apparemment ému par le Affirmation des États-Unis en 2017 que «l’application du Code ISM est suffisamment large pour inclure les risques émergents associés aux systèmes cyber-activés», l’OMI a choisi d’exploiter le Code ISM, et non ISPS, pour promouvoir la cyber normalisation maritime mondiale.
Si l’exploitation du vaste cadre du code ISM était efficace, une telle ingéniosité s’accompagnait également d’une limitation majeure. Contrairement au code ISPS qui couvre certains navires et les installations portuaires qui les desservent, le Code ISM, même avec ses grands concepts de gestion des risques, ne s’applique qu’aux navires. Cette limitation signifie que les propriétaires et les exploitants d’installations portuaires du monde entier ne profiteront pas des avantages de protection réalisés avec la mise en œuvre en 2021 des nouvelles cyber-directives de l’OMI.
Les installations portuaires jouent un rôle vital dans le commerce mondial et dépendent fortement de la technologie pour fonctionner. Comme le démontre l’incident de mai 2020 au terminal portuaire iranien de Shahid Rajaee, une cyberattaque dans une installation portuaire peut être paralysante. Depuis 2017, chacun des les quatre plus grandes compagnies maritimes du monde ont été victimes d’une cyberattaque, avec une attaque récente qui a eu lieu il y a seulement quelques mois en septembre 2020. Compte tenu de ces événements, il ne fait aucun doute que les installations portuaires du monde entier sont actuellement vulnérables aux cybermenaces et que le potentiel d’exploitation de ces vulnérabilités est indéniablement réel.
En gardant à l’esprit la réalité des cybermenaces, les États membres et les dirigeants de l’industrie maritime devraient collaborer à l’OMI pour élaborer des normes de cybersécurité uniformes pour les installations portuaires, tout comme ils l’ont fait pour protéger les navires. Par coïncidence, en 2016, la République islamique d’Iran a proposé cette proposition exacte au MSC. Dans le MSC 97/4, l’Iran a souligné le besoin critique de directives de gestion des cyber risques spécifiques aux ports. Cette proposition, compte tenu quelque peu prophétiquement des événements de 2020 au port de Shahid Rajaee, a souligné les graves conséquences qu’une cyberattaque pourrait avoir sur un port et sur des infrastructures critiques.
Alors que le MSC n’a pas donné suite à la proposition de l’Iran, en décembre 2016, le MSC a expressément remercié l’Iran pour sa recommandation et «a invité les États membres intéressés à soumettre une proposition» pour examen à une future session du MSC. Il n’a été établi qu’aucun État membre ait soumis une telle proposition. Le moment est venu pour les États membres d’accepter l’invitation.
Conclusion
Les lignes directrices de l’OMI pour la gestion des cyberrisques sur les navires sont un développement clé pour l’industrie du transport maritime. Les États du pavillon et les compagnies maritimes du monde entier disposent désormais d’un cadre parrainé par l’industrie à partir duquel évaluer régulièrement les cybersécurité sur les navires. Il reste cependant du travail à faire pour protéger adéquatement le reste du réseau de transport maritime. À l’instar des États du pavillon et de leurs navires, les États du port et leurs ports ont besoin de lignes directrices pour garantir que les cyberrisques sont traités de manière uniforme dans les installations maritimes. Avec 2021 qui inaugure enfin les cyber-normes pour les navires, le moment est venu pour les États membres, en partenariat avec l’industrie maritime, de se réunir à l’OMI et d’élaborer des normes similaires pour sécuriser les ports du monde entier.
Le commandant Michael C. Petta, USCG, est directeur associé des opérations maritimes et professeur de droit international au Stockton Center for International Law de l’US Naval War College. Les opinions présentées sont celles de l’auteur et ne reflètent pas nécessairement la politique ou la position des garde-côtes américains, du département de la sécurité intérieure, de l’US Navy, du Naval War College ou du département de la Défense.
Image en vedette: CMA CGM Benjamin Franklin au port de Los Angeles, le 26 décembre 2015. (Photo via Wikimedia Commons)
