Depuis 2025, les États-Unis imposent au transport maritime un cadre cyber fédéral contraignant. Historique, exigences et lecture européenne d’un dispositif désormais inspectable.
La MARAD publie une version actualisée de son avis sur les risques cyber et physiques liés aux équipements portuaires d’origine chinoise, annulant l’avis 2025-013 et valable jusqu’au 21 octobre 2026.
Je ne sais pas vous, mais moi j’aime bien les cartes. Récemment, une carte qui devrait figurer dans un atlas maritime a attiré mon attention. Pour une raison simple : elle s’intéresse aux câbles sous-marins. Elle apportait une tendance désormais plutôt bien installée dans les analyses géopolitiques contemporaines : la mise en visibilité de la vulnérabilité des câbles sous-marins à travers une lecture centrée sur la conflictualité.
Cette représentation n’est pas erronée. Elle est cependant incomplète, et peut conduire à des interprétations biaisées si elle n’est pas replacée dans une réalité opérationnelle beaucoup plus large. En effet, depuis 2024, plusieurs incidents ont effectivement affecté des câbles sous-marins. Certains dans des zones de conflictualités. Pour d’autres (et la marjorité) pas du tout : ils ne relèvent ni du sabotage, ni d’opérations hybrides, ni même d’intentions hostiles documentées.
Le fort épisode d’interférences électromagnétiques actuellement observé dans le détroit d’Ormuz ne révèle vraiment pas un angle mort technologique ni une nouveauté (on en parlait déjà ici il y a… 6 ans). Il s’inscrit dans une séquence désormais bien documentée, observable depuis plusieurs années dans des zones beaucoup plus proches du continent européen, notamment en mer Baltique, en mer Noire et en Méditerranée orientale, y compris à proximité de l’entrée du canal de Suez.
Le dernier rapport annuel de NORMA Cyber a le mérite de replacer la cybersécurité maritime là où elle se joue désormais vraiment : dans un espace saturé de tensions géopolitiques, d’interdépendances logistiques et de brouillage entre cyber, physique et informationnel. Sa vision principale pour 2026 (pour celles et ceux qui croient en la boule de cristal cyber), le risque structurant n’est pas tant la « grande attaque » destructrice que l’accumulation d’opérations de renseignement, de perturbations opportunistes et d’effets hybrides sur des chaînes logistiques et opérationnelles déjà très tendues. C’est, au fond, un rapport moins catastrophiste qu’il n’y paraît au première abord, et c’est probablement sa meilleure qualité.
Dans le secteur maritime comme dans d’autres secteurs critiques, où les systèmes IT et OT, les chaînes logistiques et les infrastructures sont fortement interconnectés, la gestion des vulnérabilités cyber dépasse largement le cadre technique. Elle engage la continuité des opérations, la sûreté des infrastructures, voire la sécurité des personnes (sans parler des enjeux juridiques et d’image).
Face à la découverte de vulnérabilités cyber, deux approches coexistent aujourd’hui.
La première est celle de la publication. Certaines entreprises de “cybersécurité” diffusent des analyses globales issues d’audits de surface “passifs” : volumes de vulnérabilités détectées, taux de non-conformité, exposition supposée d’un secteur entier. L’exercice peut sembler utile pour sensibiliser. Pour vous qui êtes des lecteurs exigeants, vous vous doutez que ce type d’exercice doit être regardé avec un minimum de recul, car laisser penser que la cybersécurité du secteur maritime se limite à cela, c’est quand même assez réducteur.