Vous aussi, comme saine lecture estivale, vous avez lu le document « Addressing State-Linked Cyber Threats to Critical Maritime Port Infrastructure » du CCDCOE ?
Non ?
Aller, je vous propose dans cet article une petite réflexion personnelle sur et autour du sujet de la cybersécurité portuaire.
En ce beau mois de juillet 2025, le NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE) a émis un document de type Policy Brief, intitulé « Addressing State-Linked Cyber Threats to Critical Maritime Port Infrastructure« .
Je vous propose, dans cet article une petite analyse personnelle.
En préambule, une petite note de rappel : il n’existe pas de port « générique », comme il n’existe pas de navire « générique ». Tous les ports sont différents, que l’on parle de numérique ou pas. Et ce, d’autant plus que les pays eux-mêmes ont des niveaux de maturité et des organisations différents. Je suis donc toujours très prudent, voire mal à l’aise, pour parler de « niveau de cybersécurité des ports » et d’en tirer des conclusions hâtives car trop génériques.
Ceci étant dit…
Un pour tous, ou pas ?
Tout d’abord, arrêtons-nous peut-être sur le titre du brief, dont l’analyse en elle-même est intéressante. Assez logiquement, l’OTAN concentre ce document sur la menace dite « étatique », ou « pseudo-étatique » (state-linked). Nous l’avons déjà évoqué, la ségrégation « habituelle » des sources de risques (ou sources de menace, pour les nostalgiques) en trois catégories (étatique, cybercriminelle, « hacktivisme ») que l’on utilise/utilisait souvent est donc ici relativement effacée, du moins dans l’accroche du document, probablement pour s’accrocher au contexte géopolitique complexe que l’on connait.
En effet, si le CCDCOE s’intéresse en premier lieu à la menace étatique, c’est parce qu’il a bien raison (elle est, par nature, plus sournoise, plus difficile à détecter, et potentiellement plus dévastatrice). Et pouvoir l’imputer à un état, c’est « intéressant ». Pour autant, dans la suite du brief, rassurons-nous, les sources de risques cybercriminelles et hacktivistes sont évoquées.
De la saine lecture des panoramas de la menace à leur analyse nécessairement précautionneuse
On peut noter quelques points sur ce sujet (page 3 du document) :
aussi bons qu’ils soient, et quels que soient leurs émetteurs, les panoramas de la menace ont généralement les mêmes sources (plutôt ouvertes), même si la « comptabilité » (le périmètre et la manière de compter les incidents) et l’analyse qui peuvent être faites peuvent varier : ils voient donc, à peu de chose près, les mêmes évènements. S’ils veulent être plus précis, ils doivent disposer de plus d’éléments, c’est-à-dire disposer de capteurs de terrain efficaces ou d’information privilégiées. Mais attention au risque de prisme dans les analyses et conclusions qui peuvent être tirées de la lecture (toujours intéressante) de ces panoramas. Ainsi, on n’a probablement pas tout vu. Les récentes revendications d’attaques potentielles à l’encontre d’acteurs de la « BITD navale » (sur lesquelles je ne me suis volontairement pas prononcé) en sont un exemple : les opérations d’influence pourraient se multiplier. Et elles vont « user » de la ressource cyber pour l’analyse (vous avez tout mon soutien). Il faudra donc, un jour, réfléchir autrement et de manière « originale » pour comprendre la menace et pour se défendre ;
une partie des sources de risques ont des revendications politiques, ou du moins partisanes, et les attaques étatiques sont généralement connues avec du retard (si jamais elles le sont). Pour autant, une attaque par rançongiciel peut aussi hypothétiquement bloquer le fonctionnement d’un port mal sécurisé. Un vol d’identifiant par un infostealer ou par un simple phishing, qui pourrait être qualifié d’attaque criminelle, pourrait aussi être annonciateur d’une attaque de plus haut niveau à venir, si la cible est d’intérêt. Il convient donc d’être prudent sur l’existence de « petites » attaques, éléments précurseurs auxquels on pourrait ne pas prêter une grande attention au profit de menaces étatiques. Se limiter volontairement à un type de menace en oubliant les autres serait donc une erreur. C’est aussi ce qui me motive toujours pour réaliser des analyses de la menace et à « injecter » de l’incidentologie sectorielle dynamique en complément des analyses de risques ;
pour donner des chiffres, d’après mes calculs (forcément savants, j’ai un doctorat 😉 ), le groupe mentionné en figure 1 du brief a revendiqué 112 victimes dans le secteur maritime en 2024, pour un équivalent total revendiqué de 344 jours continus d’attaques DDoS à l’encontre du secteur, dont 56 % à l’encontre des infrastructures portuaires. Dans les faits, nombre de ces attaques n’ont pas fonctionné, ou n’ont fonctionné qu’une seule fois. C’est la différence entre s’intéresser au buzz des revendications ou à la réalité et aux impacts de l’attaque. Qui influe qui ?
Au bilan, si on regarde sur les dernières années, sur les événements rendus publics (cf https://www.m-cert.fr/admiral, notamment), la menace cybercriminelle et hacktiviste a assez durement frappé les ports. Le groupe hacktiviste anti-OTAN mentionné dans ledit brief et récemment annoncé défunt (ou pas ?) a largement contribué à dominer l’activité médiatique cyber (et les craintes) à l’encontre des ports. Les acteurs cybercriminels ont également été nombreux à viser (opportunément) les ports et, plus largement surtout, le secteur de la logistique. En effet, un port c’est aussi tout un écosystème (soyons clair : énorme) à sécuriser. Ne s’intéresser qu’à l’opérateur à proprement parler de la place portuaire est donc potentiellement opportuniste (car simpliste) mais forcément limitant. Ne serait-il pas temps de passer de l’étape « vous avez vu, encore un port vulnérable qui s’est fait avoir » à « sécuriser tout l’écosystème portuaire, c’est comme pour la BITD, c’est vraiment pas simple ! » ?
Donc, et même si le niveau et les moyens « en face » peuvent varier, quand on sécurise un port pour faire face à une menace « étatique » ou « pseudo-étatique », on doit le faire contre un ensemble de menaces et de TTPs. Et ce, d’autant plus que lutter contre un seul type de menace n’a pas forcément de sens (en termes de moyens de protection) et que, à l’inverse, la mise en place de moyens pertinents permet de couper des chemins d’attaque à plusieurs types d’acteurs.
Pour ne pas faire trop long, rappelons aussi les risques liés à la menace interne éventuelle, et aux dépendances numériques des ports vis-à-vis d’autres acteurs (fournisseurs de logiciels, hébergeurs, prestataires divers). Je me rappelle, il y a quelques années, avoir faire un graphe de dépendance d’une seule application portuaire vis-à-vis de l’extérieur : il y en avait 40 ! Dommage que ce ne soit pas trop évoqué.
Des cadres normatifs, réglementaires, législatifs et bonnes pratiques
Face à une menace protéiforme (je l’ai placé), travaillant sur des opérations hybrides (je l’ai placé) et l’arrivée de nouveaux outils pour les attaquants comme l’IA (je l’ai placé) et les risques liés au post-quantique (je l’ai placé), il faut reconnaître que les défenseurs (je me mets dans le panier aussi) regorgent d’idées documentaires pour tout régler.
Si on se met aujourd’hui à la place d’un(e) (chanceuse/chanceux, ou pauvre, ça dépend du point de vue) RSSI d’un port (prenons le cas de la France, en Europe), elle/il est à la croisée d’un nombre de documents et de donneurs d’ordre (ou de conseils) assez impressionnant. Je n’en liste que quelques uns (je vous dispense, de ce fait, du cadre du NIST et des règlements des USCG, des normes ISO et IEC, notamment) :
Les réglementations issues de l’OMI, et notamment le code ISPS, qui impose historiquement l’intégration des risques numériques dans les PFSA (Port Facility Security Assessment). On peut probablement reprocher à l’OMI un certain manque d’ambition et de précision en cybersécurité (cf MSC.428(98), MSC.FAL1 Circ3 Rev. 3 entres autres pour le périmètre concerné), mais est-ce à l’OMI de rentrer dans le détail des mesures technologiques ou opérationnelles cyber à mettre en oeuvre dans un port ? A l’inverse, si elle ne le fait pas, quid d’une homogénéité et d’une équité concurrentielle à l’échelle mondiale, OTANienne ou ne serait-ce qu’européenne ?
Les travaux issus des associations et organisations professionnelles : on peut penser à l’IAPH, qui a émis le document IAPH Cybersecurity Guidelines for Ports and Port Facilities dès 2021.
Au niveau européen, au-delà de la NIS (v1, v2) et consorts, on peut notamment parler du règlement CE 725/2004, relatif à l’amélioration de la sûreté des navires et installations portuaires, mais aussi au guide de bonnes pratiques de l’ENISA sur la cybersécurité des ports.
Au niveau français, on peut évoquer le décret d’application de la Loi de Programmation Militaire (LPM) s’appliquant aux Opérateurs d’Importance Vitale (OIV) du secteur maritime, du guide « Ports cybersécurisés » de la Direction Générale des Infrastructures, des Transports et de la Mobilité (DGITM) ou encore de l’II 230.
Est-ce trop ? Trop peu ? Qu’en pense la/le RSSI de ces documents, face aux moyens qui sont les siens ? Chacun(e) aura son avis. En tous cas, on ne peut pas dire qu’il n’y a « rien ». Bien sûr, il faut séparer ce qui est réglementaire du reste. Mais ne serait-ce pas plutôt signe que notre obligation en soutien de ces acteurs devrait être ailleurs que dans une énième production documentaire, fut-elle réglementaire ?
Quant à la/au RSSI, lorsqu’elle/il existe, lui-donne t-on simplement les moyens de répondre à l’ensemble de ces exigences ? Quel est son niveau de charge ? Quelles sont ses difficultés ?
Recommandations
Pour revenir au brief en question, voici trois principales recommandations émises par le CCDCOE :
intégrer la cybersécurité comme composant fondamental dans le cadre de la révision de la stratégique maritime de l’OTAN dont la dernière version date de… 2011. Engager un dialogue, voire même un protocole pour l’engagement de l’OTAN durant des incidents cyber significatifs… et notamment par une utilisation renforcée des officiers de liaison des différents pays et l’intégration de scénarios cyber portuaires dans des exercices de l’OTAN ;
mettre en place des réseaux structurés de partage d’information. Un peu déçu, peut-être, que le travail précurseur mené par France Cyber Maritime ne soit pas mentionné ;
le développement de groupes de travaux de cybersécurité maritime sous les auspices de l’OMI pour développer des standards de sécurité spécifiques pour le maritime, notamment en développant des mises en oeuvre sectorielles spécifiques de cadres comme celui du NIST ou de NISv2.
Conclusions
Doit-on se préparer, alors que la NISv2 n’a pas encore été transposée dans tous les états de l’UE, et encore moins mise en oeuvre, à une volonté de déclinaison sectorielle, alors que de nombreuses bonnes pratiques et autres documents, issus de longs groupes de travail, ont déjà été rédigés ? Quand on voit la difficulté de transposition à l’échelle nationale de la directive, imaginez le travail à mener si on descend à l’échelon sectoriel… Vous me direz, les navires étant hors du périmètre de la NIS2, on limiterait quand même un peu le périmètre et la complexité. En tous cas, je n’ai jamais entendu parlé d’une telle déclinaison sectorielle de la NIS2.
Comment prendre en compte les aspects concurrentiels entre les ports, les différences de statuts, de moyens financiers et humains, l’exposition numérique, notamment dans le contexte du partage d’information à une échelle internationale ? La cybersécurité a un coût. Certes, elle renforce les opérations et la valeur du port qui s’y engage, mais est-on sûr de l’égalité ?
Dans le contexte géopolitique que nous connaissons, comment s’assurer d’une coordination efficace des différents acteurs qui travaillent au profit des ports ? Agences nationales, CERTs sectoriel et régionaux, associations, agences internationales, administrations et directions nationales ou européennes, entreprises privées, soutien militaire national ou OTAN ?
Bon, même à l’époque de l’IA, je n’ai heureusement pas réponse à tout, mais je lance deux propositions factuelles :
on court (toujours) après l’ennemi, et on a souvent une longueur de retard (au moins) sur lui. Dès lors, ne vaudrait-il mieux pas se concentrer sur la résilience réglementaire du cœur des opérations portuaires plutôt que de la conformité réglementaire à une kyrielle d’exigences qui se recouvrent ou sont parfois incompatibles ? Exemple : exiger réglementairement une preuve que les opérations portuaires sont résilientes face à certains scénarios stratégiques adaptés et mis à jour. Une forme d’obligation de résultats opérationnels plutôt qu’une hypothétique conformité totale ?
s’économiser du temps passé dans des énièmes groupes de travail et passer le temps (et l’argent) économisé, d’une part, à analyser l’existant et faire des matrices de compatibilité entre les règlements, normes et bonnes pratiques existant et, d’autre part, à investir l’argent en question dans la résilience opérationnelle des ports et son évaluation.
My 2 cents, comme diraient nos camarades anglo-saxons.
Et vous, quel est votre avis ? D’autres défis ? D’accord / pas d’accord ?
