Le secteur maritime La marétique Les risques Actualités Liens À propos Services Contact EN

Contenu

MARAD Advisory 2026-007 : les équipements portuaires d'origine chinoise restent sous haute surveillance

 inclus dans  Actualités cybersécurité maritime
   1009 mots   5 minutes 

La MARAD publie une version actualisée de son avis sur les risques cyber et physiques liés aux équipements portuaires d’origine chinoise, annulant l’avis 2025-013 et valable jusqu’au 21 octobre 2026.

Un avis reconduit… et pas seulement recyclé

Le 24 avril 2026, la MARAD (U.S. Maritime Administration) a émis l’avis 2026-007, qui annule et remplace l’avis 2025-013. Le document couvre les mêmes vecteurs de risque que ses prédécesseurs - le logiciel LOGINK, les scanners Nuctech et les grues automatisées de portique — mais il intègre des éléments de contexte réglementaire qui en font davantage qu’une simple reconduction formelle.

La longévité de ce dossier mérite d’être soulignée. La série d’avis consacrés aux équipements portuaires chinois remonte à l’avis 2023-009. Leur renouvellement régulier traduit non seulement la persistance des préoccupations américaines, mais aussi l’absence de résolution pratique sur le terrain : les grues ZPMC (Shanghai Zhenhua Heavy Industries) représentent toujours la part de marché mondiale la plus importante en termes de chiffre d’affaires, et leur remplacement à court terme dans les ports américains n’est pas à l’ordre du jour.

Trois vecteurs, une logique commune

L’avis articule sa lecture des risques autour de trois catégories d’équipements ou de logiciels, que relie une même préoccupation : la collecte potentielle de données sensibles au profit d’acteurs étatiques chinois.

LOGINK est une plateforme logistique à guichet unique développée par le ministère chinois des Transports, qui agrège des données en provenance de ports, d’armateurs, d’affréteurs et de bases de données publiques. Au moins 24 ports mondiaux auraient conclu des accords de coopération avec cette plateforme. Son utilisation est interdite aux entités gouvernementales américaines et aux entreprises bénéficiant de financements fédéraux depuis la loi de défense nationale pour l’exercice 2023. L’avis rappelle également que la Chine fait activement la promotion de standards logistiques conçus pour favoriser l’adoption de LOGINK à l’international.

Nuctech, filiale contrôlée par l’État chinois, fabrique des équipements d’inspection de sécurité — plateformes à rayons X, rétrodiffusion, détection d’explosifs, reconnaissance faciale — déployés dans des nœuds logistiques critiques à travers le monde. L’entreprise figure sur la liste des entités du département du Commerce américain depuis décembre 2020, en raison d’activités contraires aux intérêts de sécurité nationale des États-Unis. Le risque identifié est structurel : ces équipements collectent des données biométriques, des informations d’identification personnelle, des données de fret et des métadonnées de géolocalisation dans des environnements portuaires.

Les grues de portique constituent le troisième vecteur, et celui qui a donné lieu au traitement réglementaire le plus abouti. L’avis 2026-007 introduit un élément de contexte significatif : il précise que ZPMC est une filiale de la China Communications Construction Company (CCCC), que le département américain de la Guerre a identifiée comme une société militaire chinoise opérant sur le territoire américain. Cette précision n’était pas formulée aussi directement dans les versions antérieures. Les grues ZPMC peuvent, selon leur configuration, être contrôlées, entretenues et reprogrammées à distance, ce qui constitue le vecteur d’exposition principal décrit dans le document.

La directive MARSEC 105-5 comme cadre de référence opérationnel

La nouveauté réglementaire la plus substantielle par rapport aux versions précédentes de l’avis est l’intégration explicite de la directive USCG MARSEC 105-5, publiée au Federal Register en novembre 2024. Cette directive, qui succède à la 105-4 émise en février 2024, établit les exigences de gestion des risques cyber applicables aux grues de portique fabriquées par des entreprises de la République populaire de Chine.

L’avis 2026-007 reprend et développe les recommandations techniques issues de ce cadre. La logique d’ensemble repose sur quatre principes : la segmentation des réseaux, la supervision des flux, le contrôle strict des accès distants et la préférence accordée aux interventions physiques sur site pour toute mise à jour des composants logiciels ou matériels.

Sur le plan de la segmentation, le document recommande d’isoler le réseau de gestion des grues des autres systèmes portuaires, de séparer les fonctions de gestion (diagnostics, mise à jour des automates programmables, modification de programmes) des systèmes opérationnels, et d’utiliser des VLAN distincts pour les dispositifs critiques d’une part, et les équipements non critiques tels que les caméras de surveillance d’autre part. Les systèmes provenant de fournisseurs non certifiés doivent eux aussi être isolés sur un VLAN dédié.

En matière de supervision, l’avis recommande une surveillance exhaustive de l’ensemble du trafic entrant et sortant du réseau de la grue, y compris les flux transitant par le système de gestion à distance. Les activités des postes de gestion opérationnelle doivent également faire l’objet d’une surveillance des hôtes.

Le point sans doute le plus notable sur le plan pratique concerne les mises à jour fournisseurs : l’avis recommande explicitement d’exiger que les interventions de mise à jour soient réalisées lors de visites physiques sur site, et de décourager les mises à jour à distance. Cette recommandation témoigne d’une préoccupation concrète quant à l’intégrité de la chaîne d’approvisionnement logicielle, au-delà du seul vecteur réseau.

Une posture qui s’installe dans la durée

La publication régulière de ces avis depuis 2023, combinée à l’émergence d’un corpus réglementaire spécifique aux grues ZPMC via les directives MARSEC, dessine une posture américaine qui s’inscrit dans le long terme. L’avis 2026-007 s’appuie également sur le rapport de l’USTR relatif à l’enquête au titre de la section 301 sur le ciblage chinois des secteurs maritime, logistique et de construction navale — un document qui ancre la préoccupation cyber dans une stratégie industrielle et géopolitique plus large.

Pour les opérateurs portuaires non américains, cet avis n’a pas de portée réglementaire directe, mais il constitue une référence utile. Les recommandations techniques qu’il contient — segmentation, supervision du trafic sur les réseaux opérationnels, contrôle des accès distants, préférence pour les interventions sur site — s’appliquent indépendamment de l’origine nationale des équipements concernés. Plusieurs de ces mesures figurent d’ailleurs dans les lignes directrices de l’OMI sur la gestion des cyber-risques à bord des navires (MSC-FAL.1/Circ.3) et dans les orientations de l’ENISA sur la cybersécurité des infrastructures portuaires. La question de la disponibilité des ressources humaines et techniques pour les mettre en œuvre reste centrale, en particulier pour les ports de taille intermédiaire dont la maturité cyber est encore limitée.

Mis à jour le 26/05/2026
 USPortVulnérabilitésCybersécuritéOT
Retour | Accueil