Rapport NORMA Cyber 2026 : une menace maritime surtout géopolitique, plus hybride que spectaculaire
Le dernier rapport annuel de NORMA Cyber a le mérite de replacer la cybersécurité maritime là où elle se joue désormais vraiment : dans un espace saturé de tensions géopolitiques, d’interdépendances logistiques et de brouillage entre cyber, physique et informationnel. Sa vision principale pour 2026 (pour celles et ceux qui croient en la boule de cristal cyber), le risque structurant n’est pas tant la « grande attaque » destructrice que l’accumulation d’opérations de renseignement, de perturbations opportunistes et d’effets hybrides sur des chaînes logistiques et opérationnelles déjà très tendues. C’est, au fond, un rapport moins catastrophiste qu’il n’y paraît au première abord, et c’est probablement sa meilleure qualité.
L’essentiel tient en quelques lignes : NORMA Cyber place, comme à son habitude, le risque d’espionnage au premier rang des préoccupations, avec un accent très net sur la Russie, la Chine et, dans une moindre mesure pour les acteurs nordiques, l’Iran. Le rapport insiste aussi sur la banalisation des attaques perturbatrices de faible intensité, surtout les dénis de service distribués, sur la montée des interférences GNSS comme problème opérationnel concret (même si les cas de la Batique ou du Grand Nord, notamment, ne sont pas nouveaus), et sur la persistance d’une cybercriminalité très industrielle, centrée sur le vol ou l’usurpation d’identités, le hameçonnage et les rançongiciels. En revanche, les opérations franchement destructrices restent présentées comme peu probables pour la flotte commerciale dans son ensemble, ce qui est une appréciation plutôt mesurée.
Quelques chiffres donnent de la texture au tableau. En 2025, NORMA Cyber a relevé 182 attaques par déni de service distribuées attribuées à l’écosystème DDoSia de NoName057(16), dont 138 contre des ports ou entités portuaires. Il dit avoir eu connaissance de 60 attaques par rançongiciel dans le secteur maritime mondial et avoir notifié 77 entreprises compromises via des contournements de l’authentification multifacteur. Sur le plan technique, il a recensé 1 122 vulnérabilités touchant les technologies opérationnelles maritimes. Ce sont moins des chiffres de rupture que des marqueurs de densité : le secteur est visé, ou en tous cas « travaillé », pourrait-on dire, en continu, sur plusieurs couches, par des acteurs très différents (et probablement motivés).
Le point le plus intéressant du rapport, à mes yeux, n’est pourtant pas là. Il tient dans l’idée que le cyber maritime devient de moins en moins un sujet purement informatique (même si vous en êtes déjà convaincus si vous êtes là). NORMA Cyber décrit bien la convergence entre intrusion numérique, surveillance physique, exposition des équipements périphériques, dépendances fournisseurs et exploitation du contexte géopolitique. Les caméras IP autour des nœuds logistiques, les équipements en bordure, les services satellitaires à terre, les terminaux, les documents techniques des équipementiers : tout cela compte parfois autant que les réseaux embarqués eux-mêmes. Le rapport est convaincant lorsqu’il montre que la valeur du maritime, pour un acteur étatique, réside moins dans les scénarios d’arrêt ou de détournement spectaculaire d’un navire que dans l’obtention d’une image fine des flux, des escales, des cargaisons et des dépendances logistiques, pourquoi pas par du prépositionnement.
La partie sur les interférences GNSS est probablement la plus concrète. NORMA Cyber ne parle pas d’un risque théorique, mais d’un phénomène déjà opérationnel, avec des zones de pression identifiées en Baltique, en mer de Barents, en mer Rouge et dans le Golfe. Le rapport souligne surtout une évolution qualitative : on ne serait plus seulement dans le brouillage simple, mais dans des schémas hybrides mêlant brouillage et leurrage sur plusieurs constellations. C’est important, car cela déplace le sujet du confort de navigation vers la continuité d’exploitation. La hausse signalée par l’administration suédoise, de 55 incidents en 2023 à 733 en 2025, est de ce point de vue un indicateur parlant. Même si, comme d’habitude, faisons attention aux chiffres.
Là où je suis un peu plus mitigé, c’est sur le sujet de la « menace interne ». NORMA Cyber consacre plusieurs pages à ce thème et l’illustre principalement par la découverte, en décembre 2025, d’un Raspberry Pi Zero équipé d’un modem cellulaire, physiquement connecté au réseau bureautique d’un navire à passagers (nous en avons déjà parlé ici). Le cas est intéressant, sérieux, et il mérite clairement l’attention. Mais le saut analytique entre ce cas et l’idée d’une intensification générale de la menace interne donne le sentiment d’aller un peu vite, ou de ne pas assez étayer ses dires, en tous cas. Dans le texte, l’argument repose surtout sur ce cas, puis sur une extrapolation : parce qu’une tactique a été vue et médiatisée, elle deviendrait plus probable. Ce n’est pas absurde, mais cela reste un raisonnement par signal faible, pas encore un changement d’époque démontré.
Surtout, cette menace n’a rien de neuf dans le maritime. Le rapport lui-même rappelle que des acteurs liés à la Chine continueraient à utiliser des clés USB piégées comme vecteur initial, y compris pour franchir des environnements cloisonnés. Autrement dit, l’exploitation du physique, du geste humain et de la périphérie matérielle appartient déjà depuis longtemps à la boîte à outils de l’espionnage. Le démantèlement judiciaire mené par le Department of Justice américain en janvier 2025 autour du logiciel malveillant PlugX rappelle d’ailleurs que cette famille, attribuée à des acteurs soutenus par Pékin, a été diffusée à grande échelle via des périphériques USB infectés et utilisée depuis au moins 2014 contre des gouvernements et des entreprises en Europe, en Asie et aux États-Unis (communiqué officiel). La nouveauté n’est donc pas l’existence d’un vecteur « humain + matériel ». La nouveauté, au mieux, est sa visibilité accrue dans des environnements maritimes documentés publiquement.
L’autre précédent utile est, en effet, Anvers. On se souvient surtout de l’affaire comme d’un dossier de narcotrafic, mais elle éclaire très bien le sujet. Europol documentait déjà le recours à des hackers par des réseaux criminels pour infiltrer des systèmes portuaires et suivre des conteneurs, avec une combinaison très révélatrice de compromissions numériques, d’accès physiques et de complicités humaines (rapport Europol sur le crime organisé). Dans un rapport plus récent, Europol explique aussi que l’infiltration des ports européens par le crime organisé passe par la corruption de personnels, l’accès aux systèmes d’information et l’appropriation de codes logistiques, notamment à Anvers et Rotterdam. Mais je pense que tous les cadres d’analyses de risques cyber, français ou autres, prennent en compte la menace interne, qu’elle puisse être considérée volontaire ou involontaire (accidentelle), sa cotation et les moyens de réduction des risques étant d’autre sujets passionants. En d’autres termes, la frontière entre « menace interne », « sous-traitance compromise », « facilitateur logistique » et « cybercriminalité » est poreuse depuis longtemps dans les environnements portuaires.
C’est là que le rapport NORMA Cyber gagne à être lu avec un peu de recul. Il n’a pas tort sur le fond : l’accès physique reste redoutablement efficace, surtout quand il contourne les contrôles réseau classiques. Mais il surjoue un peu l’effet de nouveauté. Le maritime connaît depuis longtemps des formes d’intrusion qui passent par les sous-traitants, les personnels de maintenance, les équipements temporaires, les ordinateurs de service, les clés USB, les accès distants laissés en place et les acteurs logistiques corrompus. Le vrai sujet n’est donc pas l’émergence soudaine d’une menace interne. Le vrai sujet est que cette menace devient plus documentée, plus outillée à bas coût, et peut désormais s’articuler plus facilement avec des objectifs d’espionnage, de criminalité organisée ou de prépositionnement hybride.
Pour le reste, le rapport est plutôt juste lorsqu’il insiste sur les dépendances de la chaîne industrielle. La partie la plus sous-estimée n’est peut-être pas la menace interne, mais l’exposition des équipementiers, intégrateurs et fournisseurs de services (la fameuse supply chain). NORMA Cyber note que des fuites de documentation technique, de code source et de schémas fonctionnels ont touché plusieurs acteurs en 2025. C’est un angle très pertinent : dans le maritime, comprendre un système vaut déjà presque intrusion. La compromission d’un fournisseur iranien de connectivité satellitaire, illustrée par le cas des VSAT de navires sous sanctions, rappelle au passage qu’un point unique à terre peut créer un effet de flotte. Ce n’est pas spectaculaire, mais c’est structurellement important.
La tonalité générale du rapport reste, heureusement, plus constructive qu’alarmiste. NORMA Cyber souligne une montée en maturité du secteur, avec un engagement accru des directions générales, l’effet d’entraînement des nouvelles exigences réglementaires et la valeur d’un partage d’information sectoriel. C’est un aspect qu’il faut conserver dans la lecture. À force de commenter les menaces, on oublie parfois que la normalisation de la cybersécurité maritime est déjà en cours. Le secteur regarde désormais ses fragilités avec davantage de méthode.
Au total, ce rapport mérite donc d’être lu pour ce qu’il montre vraiment. Il ne dit pas que le maritime serait au bord d’un basculement cyber apocalyptique. Il dit quelque chose de plus utile : la menace maritime est de plus en plus hybride, granulaire et imbriquée dans les réalités géopolitiques. L’espionnage compte davantage que le sabotage visible. Les perturbations modestes mais répétées comptent souvent davantage que les scénarios extrêmes. Et la « menace interne » doit être prise au sérieux, non parce qu’elle serait nouvelle, mais parce qu’elle demeure une vieille constante du secteur, désormais mieux documentée et plus facile à industrialiser.
Donc vigilance, sans dramatisation.