Contenu

Que retenir du rapport 2025 des USCG ?

Cinquième édition du rapport CTIME des gardes-côtes américains sur la cybersécurité maritime: constats attendus, éléments nouveaux et écarts avec le cadre réglementaire européen… Décryptons ensemble.

Cet article est aussi disponible en anglais.

/que-retenir-rapport-cyber-2025-uscg-ctime/ctime-2025-cover.jpg

Le 10 juin 2026, le commandement cyber (Coast Guard Cyber Command, CGCYBER) des gardes-côtes américains (United States Coast Guard, USCG) a publié la cinquième édition de son rapport annuel Cyber Trends and Insights in the Marine Environment (CTIME), consacré à la cybersécurité du système de transport maritime américain (Marine Transportation System, MTS). Le document, classé TLP:CLEAR et librement diffusable, couvre l’année civile 2025 et repose sur les observations des Cyber Protection Teams (CPT) et de la Maritime Cyber Readiness Branch (MCRB). Deux limites de méthode sont à garder en tête avant toute lecture : les échantillons sont réduits (42 incidents signalés, 23 missions d’évaluation, sept observations de plateformes d’IA, trois missions sur des systèmes portuaires) et le périmètre reste largement déclaratif, les missions des CPT étant menées à la demande des partenaires.

Le tableau de bord, et des chiffres qui ne viennent pas des USCG

Le rapport s’ouvre sur un tableau de bord (scorecard) qui mélange deux sources de nature différente, ce que le lecteur a intérêt à repérer d’emblée. Une partie des chiffres provient bien des opérations des CPT : 47 % de réussite au cassage de mots de passe, 39 % de missions où des comptes de service à privilèges ont été cassés, 53 % d’accès initiaux obtenus par hameçonnage, 62 % de missions incluant un périmètre OT (Operational Technology, systèmes industriels), 273 vulnérabilités connues et exploitées détectées. Mais deux chiffres mis en avant ne sont pas issus des données des USCG : le coût moyen d’une violation de données, affiché à 4,4 millions de dollars, et la part de 97 % associée à un incident de sécurité lié à l’IA proviennent du rapport Cost of a Data Breach 2025 d’IBM.

La nuance est importante, en particulier pour le second chiffre. Dans le rapport d’IBM, ce taux de 97 % ne désigne pas la proportion d’organisations ayant subi un incident lié à l’IA, mais, parmi celles qui en ont subi un, la part de celles qui ne disposaient pas de contrôles d’accès appropriés pour leurs systèmes d’IA. IBM précise par ailleurs que les organisations concernées par un incident lié à l’IA restent minoritaires, de l’ordre de 13 %. Le tableau de bord du CTIME reprend le chiffre en omettant cette qualification, ce qui peut laisser croire à une prévalence très supérieure à la réalité mesurée. Quant au coût moyen de 4,4 millions de dollars, il s’agit d’une moyenne mondiale tous secteurs confondus, sans rapport direct avec le maritime. Ces deux indicateurs gardent un intérêt de contexte, mais ils ne disent rien des incidents du MTS et méritent d’être lus pour ce qu’ils sont. Surtout quand ils proviennent d’un fournisseur de solutions cyber (je n’ai rien contre IBM, c’est juste sur le principe).

42 incidents, c’est beaucoup ou très peu ?

Le rapport recense 42 incidents cyber signalés en 2025. Le chiffre peut sembler élevé, mais il prend un autre sens rapporté à la taille de l’écosystème. Le MTS représente, selon le rapport lui-même, une industrie de 4 700 milliards de dollars, et près de 40 % de la valeur du commerce extérieur américain transite par voie maritime. Derrière chaque port gravitent des centaines d’acteurs : terminaux, manutentionnaires, transitaires, logisticiens, transporteurs routiers et ferroviaires, prestataires informatiques, fournisseurs d’équipements. Au regard de cette densité, 42 incidents ne décrivent pas l’état réel de la menace mais ce qui a été signalé à un canal précis, le National Response Center, puis qualifié comme tel par la MCRB.

Reste d’ailleurs à savoir ce qu’est un incident. Le règlement final du 17 janvier 2025 en donne une définition précise : le 33 CFR 101.615 qualifie de reportable cyber incident un incident qui entraîne, ou peut raisonnablement entraîner, une perte substantielle de confidentialité, d’intégrité ou de disponibilité d’un système d’information ou OT couvert, une perturbation significative des opérations ou de la fourniture de biens et services, une divulgation ou un accès non autorisé à des données personnelles non publiques d’un nombre significatif de personnes, une autre perturbation d’infrastructures critiques, ou tout incident susceptible de conduire à un transportation security incident. Mais le décompte de 42 porte sur les incidents remontés à la MCRB sur l’ensemble de 2025, alors que ce signalement n’est devenu obligatoire que le 16 juillet 2025 : le chiffre ne recouvre donc pas exactement cette définition. Le périmètre dépend aussi de ce que les entités acceptent de déclarer et de leur capacité à détecter une intrusion. Un hameçonnage bloqué, une compromission de compte sans impact, le chiffrement d’un serveur de paie ou une atteinte à un système de navigation ne pèsent pas le même poids opérationnel, et n’entrent pas forcément tous dans le décompte. Le nombre est donc à lire comme un indicateur de remontée d’information, pas comme une mesure de la sinistralité réelle du secteur. Par contre, ce genre de tests de mots de passe grandeur nature reste pertinent. Ça me rappelle des souvenirs d’il y a bien longtemps.

Ce qui ne devrait pas nous surprendre

L’essentiel des constats confirme les éditions précédentes. Le hameçonnage et l’ingénierie sociale demeurent le principal vecteur d’accès initial : présents dans 43 % des incidents signalés contre 25 % l’année précédente, avec une sophistication accrue et une montée du hameçonnage vocal (vishing), illustrée par un cas attribué au groupe Scattered Spider. Du côté des évaluations techniques, les faiblesses relevées sont celles que l’on connaît : segmentation insuffisante entre réseaux bureautiques et industriels, systèmes en fin de vie (jusqu’à des serveurs Windows Server 2008), mots de passe faibles ou réutilisés. Les équipes ont récupéré 7 857 mots de passe sur 16 709 tentés, soit 47 % de réussite, et certains ne comptaient que quatre caractères. Le rapport le dit lui-même : le détail des techniques évolue, mais leurs ressorts fondamentaux changent peu en cinq ans.

Ce qui sort du lot

Deux éléments se détachent des constats habituels. Le premier est la première observation, par les CPT, de plateformes de cybersécurité fondées sur l’IA, rencontrées sur sept missions. Les résultats sont contrastés : dans un cas, chaque action des testeurs a été détectée et bloquée en moins de trente secondes, y compris des charges conçues pour échapper aux antivirus ; dans d’autres, l’outil n’a rien repéré. Avec sept observations, aucune conclusion solide ne peut être tirée, mais le constat opérationnel est clair : l’efficacité dépend de la configuration et de l’entraînement de l’outil sur le réseau, pas du seul investissement.

Le second tient au ton du rapport. Un document technique des USCG qui consacre plusieurs passages à l’investissement de 24,5 milliards de dollars voté en juillet 2025, à la stratégie cyber de l’administration américaine et au vocabulaire institutionnel du moment. Ce cadrage politique, plus marqué que dans les éditions précédentes, mérite d’être noté par un lecteur européen.

À bord d’un navire de la flotte fantôme

/que-retenir-rapport-cyber-2025-uscg-ctime/ctime-2025-helico.jpg

La section la plus inédite décrit les opérations menées à bord de navires de la flotte fantôme (Dark Fleet), ces bâtiments qui opèrent en marge des règles internationales pour contourner les sanctions. À partir de décembre 2025, dans le cadre d’opérations d’interdiction maritime conduites avec les forces de l’ordre et le Département de la Guerre (nom secondaire utilisé par le Département de la Défense américain depuis un décret de septembre 2025), des équipes spécialisées, les Cyber Control Teams, ont été héliportées à bord de navires arraisonnés pour prendre le contrôle de leur terrain numérique le temps de l’opération.

/que-retenir-rapport-cyber-2025-uscg-ctime/ctime-2025-ais-cable.jpg

La visite de ces navires livre des observations concrètes. Le leurrage AIS reposait sur un logiciel de test d’instruments marins, exécuté depuis un ordinateur portable et relié au port de données du système AIS par un câble soudé sur mesure ; ce logiciel sert normalement à générer des trames NMEA-0183 simulant le GPS, l’AIS et le RADAR. Plusieurs transpondeurs AIS équipaient un même navire, lui permettant de changer à volonté le nom diffusé, et les équipes ont retrouvé des guides détaillant d’autres méthodes pour injecter de fausses positions. Sur la plupart des postes étaient installés des logiciels d’accès distant (AnyDesk, TeamViewer, ScreenConnect) en mode persistant et sans surveillance, donc utilisables à distance sans présence à bord ; des administrateurs ont d’ailleurs tenté d’effacer des données à distance pendant l’opération. Les équipages s’appuyaient sur des logiciels piratés téléchargés via un forum torrent russophone spécialisé dans le maritime, sur des outils d’activation illégale de Windows (Ratiborus KMS) maintenus par des tâches planifiées, et sur des ECDIS et gestionnaires de routes piratés. L’un des postes était infecté par l’infostealer Lumma Stealer. Enfin, si les systèmes de navigation et de contrôle moteur étaient isolés, cet isolement était rompu ponctuellement par des clés USB de mise à jour ou par des ordinateurs portables branchés directement sur l’ECDIS. Ces constats sont solides, mais ils s’inscrivent dans un récit d’application de la loi et de politique étrangère qu’il faut lire comme tel.

Les écarts avec le cadre européen

C’est peut-être là que le rapport est le plus instructif pour un lecteur européen, par contraste. Aux États-Unis, la règle finale du 33 CFR Part 101 Subpart F, entrée en vigueur en juillet 2025 au titre du MTSA (Maritime Transportation Security Act), place sous un même régime de cybersécurité les navires sous pavillon américain, les installations portuaires et les installations offshore : désignation d’un responsable cybersécurité, plan de cybersécurité, exercices, tenue de registres, signalement obligatoire des incidents depuis le 16 juillet 2025, première évaluation et plan à soumettre d’ici le 16 juillet 2027. Les navires sous pavillon étranger en sont exclus et relèvent, comme en Europe, du contrôle par l’État du port à l’entrée. Un même régulateur, le Coast Guard, couvre ainsi une large part du bord et de la terre.

Le cadre européen est organisé différemment, et il reste pour partie en construction. La directive NIS2 prévoit de couvrir les acteurs maritimes à terre (organismes gestionnaires de ports et leurs installations portuaires, entités exploitant des équipements dans les ports, compagnies de transport par voie d’eau et opérateurs de services de trafic maritime), mais elle exclut explicitement les navires eux-mêmes exploités par ces compagnies. Surtout, elle n’est à ce jour pas transposée en droit français, de sorte que ses obligations ne s’appliqueraient qu’une fois cette transposition aboutie. La cybersécurité à bord relève quant à elle d’un autre ensemble : la résolution MSC.428(98) de l’OMI (intégrée au code ISM depuis le premier audit du Document de conformité postérieur au 1er janvier 2021), la surveillance des États du pavillon et des sociétés de classification, le code ISPS, et le contrôle par l’État du port (Mémorandum de Paris) pour les navires faisant escale. Ce sont donc des leviers d’inspection et de gestion de la sécurité, non une réglementation cyber dédiée comparable au Subpart F.

L’écart ne se limite pas aux textes. Il est aussi budgétaire, humain et organisationnel. Le CGCYBER s’appuie sur des Cyber Protection Teams permanentes, projetables sur demande, capables de mener évaluations, traque (hunt) et réponse à incident, et désormais de monter à bord de navires arraisonnés. Cette capacité opérationnelle n’a pas d’équivalent direct côté européen - en tous cas pas à notre connaissance publique. En France, une intervention de ce type relèverait de l’ANSSI, agence d’un niveau d’expertise exceptionnel mais sans véritablement de compétence maritime ou portuaire dédiée (avec toute la considération que j’ai pour eux). Au niveau de l’UE, le mandat de l’EMSA (European Maritime Safety Agency) a été révisé en 2025 pour couvrir la résilience cyber et les menaces hybrides, avec des moyens humains et financiers renforcés, et l’agence anime déjà des ateliers, des exercices sur table, une orientation sur le contrôle de la cybersécurité à bord et un groupe de travail dédié au leurrage de l’AIS. Mais ces activités relèvent du soutien et de la coordination, non d’équipes d’intervention projetables. C’est ce chaînon qui manque le plus : des experts maritimes cyber dédiés et mobilisables, mutualisés à l’échelle européenne et adossés par exemple à l’EMSA, capables d’appuyer concrètement un port, un armateur ou une autorité lors d’un incident.

Mise en perspective

Au-delà des chiffres, la valeur du CTIME 2025 tient à ce qu’il rappelle des priorités déjà identifiées et à ce qu’il éclaire des manques européens. Les mesures qui réduisent le risque sont connues et stables d’une année sur l’autre : segmentation des réseaux, hygiène des identités et des mots de passe, authentification multifacteur correctement déployée, gestion des correctifs, résistance au hameçonnage et chiffrement des échanges. Sur le volet à terre, elles recoupent ce que portent déjà les guides de l’ANSSI, la méthode EBIOS Risk Manager, l’II 230 du SGDSN (voir la page Liens) et le travail de France Cyber Maritime, et ce que NIS2 pourrait renforcer une fois transposée.

Côté ports, ce relèvement de niveau reste donc à venir en France, où la transposition se fait attendre et où la capacité d’évaluation de terrain demeure en retrait du modèle américain. La comparaison désigne par ailleurs deux chantiers plus structurels : la couverture de la cybersécurité à bord, que l’Europe laisse à l’OMI, aux pavillons, aux sociétés de classification et au contrôle par l’État du port, sans réglementation cyber européenne dédiée au navire, et la capacité opérationnelle, là où les USCG alignent des équipes projetables. Le mandat révisé de l’EMSA et son groupe de travail sur le leurrage de l’AIS ouvrent une voie qu’il resterait à prolonger par des experts maritimes cyber dédiés et mobilisables, mutualisés au niveau européen. C’est à cette condition, davantage qu’à l’adoption de nouvelles normes, que l’Europe maritime transformerait des recommandations déjà disponibles en résilience effective dans les années à venir.

Source : U.S. Coast Guard Cyber Command, 2025 Cyber Trends and Insights in the Marine Environment (CTIME), TLP:CLEAR, juin 2026 (PDF). Illustrations : U.S. Coast Guard.

Olivier JACQ

Olivier JACQ, Président et fondateur de CYBERMOOV Consulting.