La cybersécurité maritime 2025 en chiffres
Au fil de l’actualité, certains imaginent parfois la menace cyber maritime comme étant exclusivement un risque de navires détournés et de transpondeur AIS trafiqués. En consolidant les incidents de l’année 2025 dans mon propre jeu de données de recherche sur les incidents cyber maritimes, que j’ai constitué lors de mes travaux de doctorat et que je continue à entretenir avec mes propres moyens, j’obtiens une image assez différente, et parfois plus instructive, car basée sur les faits. J’appelle cela de l’incidentologie cyber, non pas pour faire pompeux, mais parce que c’est riche d’enseignements en termes de prévention, de protection et de réaction.
Cet article est aussi disponible en anglais.
Deux petits rappels avant de commencer :
- ces chiffres décrivent ce qui a été observé et documenté publiquement, pas la totalité de ce qui s’est produit. Vous vous en doutez, une bonne partie des incidents ne sort jamais. Et le terme incident, vous le savez, fait débat. Cette synthèse de la menace est donc un indicateur de pression, pas un recensement exhaustif. Cela dit, sur un an et plus de 430 événements relevés, certaines grandes lignes se dégagent.
- on se rappellera aussi de la difficulté quand on fait de la Cyber Threat Intelligence en sources ouvertes : c’est-à-dire, bien souvent, à s’appuyer sur les attaques revendiquées par l’attaquant plus qu’à celles confirmées par les entités attaquées.
Une menace persistante, avec un net rebond en 2025
Après une décennie de hausse continue, le volume d’incidents maritimes recensés s’était installé, en 2023 et 2024, sur un plateau élevé, de l’ordre de 350 par an. En 2025, il repart nettement à la hausse : plus de 430 incidents relevés, un record. Le secteur encaisse donc, chaque année, plusieurs centaines d’attaques, sans le moindre reflux.

En 2025, cette pression s’est répartie de façon assez régulière d’un mois sur l’autre, sans répit marqué. Et elle a un visage très majoritaire : près de deux incidents sur trois sont des attaques par déni de service distribué (DDoS), presque toujours d’origine hacktiviste. Un seul écosystème pro-russe, NoName057(16), pèse à lui seul 221 de mes relevés annuels, soit plus de la moitié du total. Sa cible favorite, ce sont les ports, loin devant les armateurs et les chantiers. La géographie épouse celle de la guerre : l’Italie arrive nettement en tête des pays touchés, suivie de la Pologne, de la Lituanie, de la Finlande et de l’Espagne, au gré des prises de position sur l’Ukraine ou des réunions de l’OTAN ou du G7.

Faut-il s’en alarmer ? Oui et non. Un DDoS sature un site web ou un portail, gêne, fait parler, mais reste réversible et n’atteint presque jamais les systèmes d’exploitation du navire ou du terminal. Le geste est politique ; les opérations, elles, ne sont quasiment jamais touchées. Le risque, ici, est surtout de finir par considérer ces alertes comme du décor, et de baisser la garde sur le reste.
Le bruit ne doit pas masquer la tendance de fond
Sous le tapis de bombardement hacktiviste, la menace rançongiciel poursuit son travail de ravage au sein des PME du maritime. Cette menace représente environ un quart des incidents que j’ai recensé en 2025, en hausse marquée sur un an, et sa progression est plus préoccupante que le pic de DDoS, qui relève surtout du volume.

Les groupes les plus actifs contre le maritime (Akira, Qilin, Play) visent surtout la périphérie des navires : logisticiens, transitaires, manutentionnaires, équipementiers, chantiers. C’est là que se cache, à mon sens, le signal le plus important de l’année. Quand on s’en prend à un fournisseur, on n’atteint pas une seule entreprise : on touche, par ricochet, toute sa clientèle.
L’exemple le plus parlant de 2025 est la compromission, par le rançongiciel Rhysida, d’un équipementier japonais majeur de l’électronique de navigation (RADAR, ECDIS, enregistreurs de données de voyage (Voyage Data Recorder), récepteurs GNSS, pilotes automatiques). Au-delà du vol de données, l’attaque a perturbé le service, les mises à jour logicielles et l’expédition de pièces. Or les équipements de ce fabricant sont installés sur des milliers de navires dans le monde : c’est le risque « un-vers-N » à l’état pur, où la défaillance d’un seul fournisseur se propage à toute une flotte. Dans le maritime, comprendre un système vaut déjà presque intrusion, et compromettre un point d’appui unique peut créer un effet de flotte.
Quand un point unique paralyse 116 navires
S’il fallait une démonstration que le maritime peut être touché bien plus durement qu’avec un simple DDoS, l’année 2025 l’a fournie, côté politique cette fois. En mars, un collectif hacktiviste anti-iranien a revendiqué la coupure des communications SATCOM (VSAT) de 116 navires appartenant à deux armateurs d’État iraniens sous sanctions, soit 50 pétroliers et 66 cargos.
Le détail technique est instructif, et il en dit long sur la fragilité réelle du secteur. Les attaquants n’ont pas visé les navires un par un : ils ont compromis, en amont, le fournisseur iranien de connectivité satellitaire des deux compagnies, puis pivoté depuis le réseau interne de cet opérateur vers les terminaux VSAT embarqués. L’analyse des captures publiées montre des modems iDirect exposés, avec un service d’administration accessible et des identifiants par défaut jamais changés, tournant sur des versions d’OpenSSH et d’OpenSSL en fin de vie depuis des années. Une fois à l’intérieur, les assaillants ont effacé les partitions de stockage des modems, une technique d’effacement (wiper) directement comparable à l’attaque contre Viasat / KA-Sat attribuée au renseignement militaire russe en 2022. La remise en état a été estimée à plusieurs semaines.
On est là très loin du DDoS symbolique : reconnaissance préalable de la flotte, exploitation d’une chaîne d’approvisionnement, charge destructrice synchronisée sur 116 navires. C’est exactement le type d’opération à fort effet de levier qu’il faut surveiller, et c’est aussi ce que permet de distinguer un suivi fin des incidents plutôt qu’un simple comptage.
Et le brouillage/leurrage GPS, alors ?
Les zones habituelles sont toujours touchées, quotidiennement, par des perturbations. Le conflit US/IR et la situation au Proche-Orient n’ont fait que fortement renforcer les zones de brouillage et leurrage GNSS, dans le Golfe persique et en Méditerranée orientale. Ces incidents sont tellement fréquents que de vouloir les compter ne présente plus qu’un intérêt limité ou une volonté de faire peur par les chiffres. Partez du principe que, dans ces zones, la confiance dans les réseaux de position, navigation et temps ne peut qu’être limitée. Avec toutes les conséquences que cela peut avoir à bord (et à terre) Le reste, c’est de la littérature.
Rappelons aussi que les rapports d’incidents liés au GPS s’accompagnent aussi souvent d’approximations. J’ai d’ailleurs montré, à propos de la fameuse collision au large d’Oman régulièrement présentée comme un cas de leurrage GPS, comment une hypothèse commode finit par circuler comme un fait établi. Prudence, donc, avec les récits trop bien ficelés.
Ce qu’il faut retenir, et quoi faire
Si je devais résumer l’année en deux évolutions :
- Le DDoS hacktiviste est devenu le volume dominant (deux incidents sur trois), bruyant mais réversible : il ne doit pas accaparer l’attention. Son bruit de fond nous détourne des priorités. Et notre incapacité à le faire cesser peut légitimement nous préoccuper.
- Le rançongiciel progresse et constitue le vrai risque structurant, en se déplaçant vers la chaîne d’approvisionnement (équipementiers, chantiers, logisticiens, prestataires).
Les modes opératoires (TTP) que l’on retrouve le plus souvent sont stables et peu surprenants : hameçonnage et hameçonnage ciblé (spearphishing) pour l’accès initial ; identifiants volés par des infostealers puis revendus par des courtiers d’accès (Initial Access Brokers) ; exploitation de services d’accès distant exposés (VPN, RDP, SSH) et de systèmes en fin de vie non corrigés ; double extorsion mêlant vol de données et chiffrement ; et compromission de prestataires pour atteindre leurs clients en cascade.
Les vulnérabilités qui reviennent sont, elles aussi, des classiques : identifiants par défaut ou faibles, authentification multifacteur absente ou contournable, surface exposée sur Internet mal maîtrisée, correctifs en retard, équipements et logiciels en fin de vie, segmentation insuffisante entre informatique de gestion et systèmes industriels, et dépendance à un fournisseur unique.
La bonne nouvelle, c’est que les protections les plus efficaces sont connues et accessibles. Par ordre d’impact : déployer une authentification multifacteur résistante au hameçonnage, partout ; réduire et durcir la surface exposée (inventaire, fermeture des accès distants inutiles, gestion rigoureuse des correctifs) ; soigner l’hygiène des identités et surveiller les fuites d’identifiants ; segmenter les réseaux et tester des sauvegardes hors ligne ; se doter d’une protection anti-DDoS et d’un plan de continuité pour ne pas paniquer face au bruit ; et enfin porter des exigences cyber contractuelles vers les équipementiers et les prestataires, car c’est désormais par eux que passe une part croissante du risque.
En pratique, le scénario à préparer en priorité, c’est l’indisponibilité prolongée d’un maillon de la chaîne : un transitaire, un agent maritime ou un fournisseur d’électronique à l’arrêt pendant deux semaines, avec toute l’activité qui en dépend. Ce risque est concret, et déjà courant. Il faut le budgéter et le tester en 2026, bien avant le détournement de navire qui fait les gros titres.
Olivier JACQ, Président et fondateur de CYBERMOOV Consulting.