Contenu

Cybersécurité maritime : l'USCG détaille l'évaluation des risques et le régime des dérogations

L’US Coast Guard publie deux guides d’application de sa réglementation cyber maritime : le cadrage des évaluations de risque et le régime des dérogations et équivalences.

Cet article est aussi disponible en anglais.

Deux guides d’application en début de mois

Au cours de la première semaine de juin 2026, l’US Coast Guard a diffusé deux documents d’accompagnement de sa réglementation cyber. Le premier, la Policy Letter 01-26 signée le 2 juin par le capitaine de vaisseau Robert C. Compher (COMDT CG-5PC), porte sur le cadrage initial et le processus de l’évaluation de cybersécurité (Cybersecurity Assessment, CSA). Le second, signé le 3 juin par C. N. Parham, chef du bureau de la politique de cybersécurité maritime (CG-MCP), est une instruction de travail (référence MCP-WI-002) consacrée aux dérogations et aux équivalences. Les deux textes sont des guides d’application. Ils ne créent pas d’obligation nouvelle et précisent la manière de satisfaire celles déjà inscrites dans la sous-partie F du 33 CFR 101.

Ces publications prolongent la trajectoire ouverte par la règle finale « Cybersecurity in the Marine Transportation System », parue le 17 janvier 2025 et entrée en vigueur le 16 juillet 2025. Codifiée au 33 CFR 101 sous-partie F, elle impose aux navires sous pavillon américain, aux installations portuaires et aux installations du plateau continental extérieur soumis au MTSA de désigner un responsable cybersécurité (Cybersecurity Officer, CySO), de conduire une évaluation, puis d’établir un plan de cybersécurité (Cybersecurity Plan, CSP). Après la Policy Letter 01-25 d’octobre 2025 sur la formation et la circulaire NVIC 02-24 CH1 sur le signalement d’incidents, les deux notes de juin éclairent l’amont du dispositif : comment délimiter l’évaluation dont découle le plan, et comment solliciter un allégement lorsqu’une exigence se révèle inadaptée.

L’évaluation conçue comme un filtre de risque

L’apport central de la note de cadrage tient à une inversion de méthode. Plutôt que de partir des systèmes que l’organisation juge d’emblée critiques, l’USCG demande d’inventorier d’abord l’ensemble des systèmes, des dépendances et des interfaces, puis de filtrer ce périmètre par le risque. Le raisonnement assumé est qu’une vision trop étroite gaspille des ressources et laisse subsister des chemins d’attaque non identifiés, tandis qu’un inventaire large permet de valider ou d’invalider les hypothèses initiales sur ce qui compte vraiment.

Le texte prend soin de désamorcer une crainte fréquente chez les exploitants. Un périmètre étendu n’oblige pas à traiter chaque constat par une mesure lourde dès le premier plan. L’évaluation sert de base pour aligner la stratégie de gestion du risque sur les exigences réglementaires, à charge ensuite de valider chaque année que le plan reste cohérent avec les menaces, les vulnérabilités et la tolérance au risque de l’organisation. L’évaluation initiale est décrite comme la première étape d’un processus de maturité continue, alimenté par les mises à jour, audits et exercices.

Internes, externes, interfaces : une cartographie qui assume les dépendances

Pour structurer l’inventaire, la note distingue trois catégories d’actifs. Les réseaux internes regroupent les systèmes que l’entité possède et contrôle techniquement, sur lesquels elle détient les droits d’administration pour appliquer correctifs et configurations : postes d’administration embarqués, systèmes de contrôle de la cargaison, ECDIS, contrôle d’accès physique, vidéosurveillance, jusqu’aux outils d’intelligence artificielle intégrés. Les réseaux externes correspondent aux dépendances que l’exploitant utilise sans les maîtriser, en simple abonné ou utilisateur : fournisseur d’accès, alimentation électrique à quai, navigation et communications par satellite, logiciels en nuage, plateformes de chaîne d’approvisionnement, terminaux personnels (BYOD) et, là encore, modèles d’intelligence artificielle. Les interfaces désignent les points de jonction où les systèmes se connectent et échangent de l’information, qu’ils soient numériques (VPN, accès distant), physiques (ports Ethernet, ordinateurs raccordés par USB), sans fil (Wifi, Bluetooth) ou humains (comptes partagés, intervention de techniciens prestataires).

Deux choix de rédaction méritent l’attention d’un lecteur du domaine maritime. La désignation explicite des communications et de la navigation par satellite comme dépendances externes inscrit les questions de brouillage et de leurrage GNSS dans le périmètre d’analyse, sans détour. Et le fait que l’USCG ne régule pas les réseaux des prestataires ne dégage pas l’exploitant : dès lors qu’un service tiers peut conduire à un incident, à une perturbation opérationnelle ou à un incident de sûreté des transports (Transportation Security Incident, TSI), l’évaluation doit analyser cette dépendance et le plan doit la traiter.

Une démarche qualitative et technique

Le guide annexé déroule une progression en plusieurs temps. La phase de préparation établit un cadre commun (compréhension partagée, tolérance au risque, hypothèses et contraintes), recense les fonctions nécessaires à l’activité, puis dresse l’inventaire et la catégorisation des actifs. La phase de conduite analyse, pour chaque actif, les sources de menace, les vulnérabilités techniques et procédurales, la vraisemblance et l’impact, afin d’en déduire un niveau de risque, d’identifier les actifs prioritaires et de classer les systèmes critiques. Sur ce dernier point, la note retient une posture prudente : lorsque la perte de confidentialité, d’intégrité ou de disponibilité d’un système pourrait « peut-être » provoquer un TSI, l’actif doit être désigné comme critique et faire l’objet d’un examen approfondi. La phase finale documente les résultats dans un rapport conservé avec le plan et traité comme information sensible de sûreté au sens du 49 CFR 1520.

Le texte fixe un seuil d’exigence qui n’a rien d’anodin. Une évaluation complète doit combiner analyse qualitative et analyse technique, et ne peut se satisfaire d’un contrôle visuel ou d’une revue superficielle. Cette double dimension suppose une compétence réelle, que la note rattache à la fonction de CySO et à la responsabilité de l’exploitant de mobiliser l’expertise nécessaire. Le cadrage s’appuie sur les référentiels du NIST (le Cybersecurity Framework, les séries SP 800-30, 800-53, 800-37 et IR 8286) tout en laissant les entités libres d’employer un autre standard d’égale rigueur, à condition de le mentionner dans le rapport.

Dérogations, équivalences et écarts temporaires

L’instruction MCP-WI-002 organise trois voies prévues par le 33 CFR 101.665. La dérogation (waiver) dispense d’une exigence jugée inutile au regard de la nature ou des conditions d’exploitation de l’entité, l’exigence étant alors levée. L’équivalence (equivalency) maintient l’exigence mais autorise une mesure de substitution dont l’efficacité égale ou dépasse celle prévue par le règlement. L’écart temporaire (temporary deviation) couvre l’impossibilité passagère de se conformer, en autorisant la poursuite des opérations le temps de revenir en conformité.

Le point commun aux trois voies structure tout le dispositif : l’évaluation de cybersécurité doit être achevée avant toute demande, car elle en constitue la base probante, y compris lorsqu’elle conclut à l’absence de systèmes à examiner. Le guide insiste sur une distinction utile en pratique : une exigence sans objet, faute du système concerné, ne se demande pas en dérogation mais se documente comme « non applicable » dans le plan, avec justification écrite. L’exemple retenu est celui de l’authentification multifacteur imposée pour les accès distants aux technologies opérationnelles (OT) : un navire dépourvu d’accès distant à son OT ne sollicite pas de dérogation, il inscrit l’exigence comme non applicable.

Le texte ferme par ailleurs plusieurs portes. Une demande ne peut reposer sur le seul coût, les effectifs, la commodité ou la réticence d’un fournisseur, mais doit s’ancrer dans des contraintes techniques, architecturales ou opérationnelles et expliciter le risque accepté. Les dérogations préventives, sollicitées pour des architectures futures hypothétiques, sont exclues. À l’inverse, une équivalence peut s’appuyer sur la conformité à un référentiel de société de classification ou à un cadre cybersécurité reconnu, à condition de fournir une table de correspondance démontrant que les sections invoquées atteignent ou dépassent l’intention des exigences réglementaires, accompagnée de la preuve de certification. Les demandes de dérogation pour les navires et installations sont adressées au commandant du Coast Guard (CG-5P), celles concernant les installations du plateau continental extérieur au commandant de district compétent, et l’instruction fournit en annexe un modèle de lettre simplifié pour les entités à technologie minimale ou inexistante, typiquement à exploitation entièrement manuelle.

Une méthode lisible au-delà du périmètre américain

Ces textes ne s’appliquent qu’aux entités relevant de la juridiction américaine, mais leur valeur pour les acteurs européens tient à la méthode qu’ils rendent explicite plutôt qu’à leur portée contraignante. La logique d’inventaire exhaustif suivi d’un filtrage par le risque, l’attention portée aux dépendances satellitaires et infonuagiques, et le seuil qui écarte l’audit purement visuel recoupent les démarches déjà outillées en France par l’ANSSI autour d’EBIOS Risk Manager, ainsi que les obligations sectorielles que la directive NIS2 fait progressivement entrer dans le quotidien des ports et des armateurs. La voie de l’équivalence, ouverte aux référentiels de sociétés de classification et aux cadres reconnus, offre d’ailleurs un point d’accroche concret : un exploitant déjà certifié ou aligné sur un standard de cyber-résilience peut chercher à faire valoir ce travail plutôt que de le refaire, pour peu qu’il établisse la correspondance avec les exigences visées. Les briques existent donc des deux côtés de l’Atlantique, et l’enjeu se déplace vers leur mise en œuvre effective : disposer de la compétence d’analyse, intégrer réellement la chaîne d’approvisionnement et les services tiers dans le périmètre, et tenir le rythme de réévaluation annuelle. À l’échelle européenne, une convergence des référentiels de cadrage, soutenue par l’ENISA et les échanges entre autorités portuaires, éviterait que chaque État membre reconstruise sa propre granularité d’inventaire et permettrait aux exploitants opérant sous plusieurs régimes de capitaliser sur une analyse unique plutôt que de la dupliquer.

Olivier JACQ

Olivier JACQ, Président et fondateur de CYBERMOOV Consulting.