
Cybersécurité dans les infrastructures maritimes : nouveau décret
Pendant et après la situation d’urgence liée à la pandémie de COVID-19, nous avons tous appris à quel point les chaînes d’approvisionnement mondiales peuvent être fragiles. Et le récent effondrement du pont Francis Scott Key à Baltimore, dans le Maryland, qui devrait affecter durablement le transport maritime dans le secteur automobile, nous rappelle brutalement que ces chaînes d’approvisionnement dépendent fortement d’infrastructures sécurisées.
La collision qui a provoqué l’effondrement du pont semble très probablement due à un accident. Mais tout porte à croire qu’en cas de crise ou de conflit international, le sabotage délibéré des infrastructures portuaires serait un moyen efficace d’infliger des dommages stratégiques. Or, ces infrastructures sont de plus en plus automatisées et dépendantes de l’informatique, ce qui les rend potentiellement vulnérables aux cyberattaques.
Nouveau décret
Le 21 février dernier, l’administration Biden-Harris a annoncé un nouveau décret visant à renforcer la cybersécurité des infrastructures maritimes des États-Unis.
Le décret comporte plusieurs éléments :
- L’autorité du ministère de la sécurité intérieure (DHS) est renforcée pour faire face aux menaces de cybersécurité maritime et donne aux garde-côtes américains le pouvoir d’exiger et d’appliquer des normes de cybersécurité spécifiques pour les navires de transport et les installations portuaires. Les cyberincidents impliquant des systèmes technologiques maritimes (MTS) doivent désormais être signalés à la Garde côtière, qui obtient également le pouvoir de contrôler les mouvements des navires considérés comme présentant une menace pour la cybersécurité.
- Conformément au décret, les garde-côtes américains ont publié un avis de proposition de réglementation sur la cybersécurité dans le système de transport maritime afin d’établir des exigences minimales en matière de cybersécurité qui répondent aux normes internationales et aux normes reconnues par l’industrie pour gérer au mieux les cybermenaces.
- Le décret enjoint également la Garde côtière de publier une directive sur la sécurité maritime exigeant des mesures spécifiques de gestion des risques de cybersécurité en ce qui concerne les grues de navires à quai fabriquées en République populaire de Chine (RPC).
En ce qui concerne la Chine
L’attention particulière portée aux grues fabriquées en Chine est intéressante. Elle se fonde sur le constat que ces grues, qui sont utilisées dans un grand nombre de ports à travers le monde, y compris aux États-Unis, présentent des vulnérabilités qui pourraient être exploitées par des acteurs malveillants.
En outre, la crainte est que les logiciels de ces grues comportent des portes dérobées ou d’autres types de malwares conçus pour permettre aux entités gouvernementales chinoises de prendre le contrôle de ces équipements critiques ou de les saboter en cas de crise ou de conflit.
Le ministère américain des Transports a également publié un nouveau document consultatif qui explique la nature spécifique de ces préoccupations. L’avis note que la plus grande partie des grues navire-terre sont fabriquées par ZPMC (Shanghai Zhenhua Heavy Industries Company Limited) et qu’elles sont conçues pour être contrôlées, entretenues et programmées à distance, en fonction de leur configuration.
L’avis souligne également les risques liés à l’intégration et à l’utilisation croissantes de la plateforme de gestion logistique LOGINK, qui regroupe des données logistiques provenant de nombreuses sources, y compris des données potentiellement protégées et sensibles concernant l’expédition et le transport.
Enfin, l’avis signale les risques liés à l’utilisation d’équipements d’inspection de sécurité fabriqués par Nuctech Company, Ltd, une entité contrôlée par l’État chinois. Le fait que ces équipements soient dotés de capacités d’intelligence artificielle et de reconnaissance faciale très sophistiquées, entre autres, présente des risques potentiels importants pour la sécurité nationale. De plus, le gouvernement américain a estimé que les équipements moins performants de Nuctech pouvaient nuire aux efforts déployés par les États-Unis pour intercepter le trafic international de matières nucléaires et d’autres matières radioactives.
Le document se termine par une longue liste précise de mesures recommandées à tous les propriétaires ou exploitants d’équipements MTS, notamment l’amélioration des contrôles des accès, de la segmentation et de la surveillance des communications.
Coûts et avantages
Ces nouvelles règles imposeront des coûts importants aux propriétaires et aux opérateurs d’équipements maritimes et portuaires. Cependant, une grande partie de ces coûts sera compensée par le financement fourni par la loi bipartisane de 2023 sur les infrastructures et la réduction de l’inflation (Bipartisan Infrastructure Law and Inflation Reduction Act).
En outre, le gouvernement octroie des fonds pour soutenir l’externalisation de la fabrication d’équipements MTS par des entreprises américaines, afin de permettre le remplacement à moindre coût des équipements vulnérables fabriqués en Chine par des équipements fabriqués dans le pays plus sûrs dans la durée.
En ce qui concerne le bien-fondé de ces mesures, le principal avantage évident sera la réduction des risques cyber pour les chaînes d’approvisionnement américaines et mondiales. Ces mesures se traduiront également par de nouveaux emplois manufacturiers pour les travailleurs américains.

Rapport 2025 sur les ransomwares
Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée
Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter