Ce matin-là, une centaine d'adhérents de l'Union Portuaire Rouennaise (UPR) sont réunis dans une salle de conférence à l'invitation conjointe de leur interprofession et de Haropa Port : l'établissement public qui chapeaute les trois grands ports de la Seine. Au menu de la demie journée dont on nous précise qu'elle sera suivie d'autres, un seul thème : la cybersécurité portuaire. Avec en guise de mantra, cette formule répétée à l'envi par tous les intervenants : « ne vous demandez pas si vous serez attaqués mais quand ».
Ceux qui en doutent sont invités à regarder les slides qui défilent sur l'écran du fond de la salle. Ils montrent l'ampleur du phénomène en progression spectaculaire depuis la crise Covid. Les chiffres sont édifiants. Selon le panorama de la cybermenace maritime édité par l'association France Cyber Maritime, les attaques sur les opérateurs et les infrastructures ont augmenté de 900% (!) entre 2019 et 2021 au plus fort de la pandémie. La pression n'est pas retombée avec le déclenchement de la guerre en Ukraine. En 2022, la même association a dénombré « 90 incidents majeurs » dans les ports. Un nombre sans doute très éloigné de la réalité puisqu'il ne recouvre que les intrusions rendues publiques.
Des interfaces vulnérables
La racine du mal remonte en réalité au début des années 2000 avec l'automatisation des flux d'entrées et de sorties des marchandises. Depuis, les connexions virtuelles entre les opérateurs n'ont cessé de croître jusqu'à atteindre un niveau d'interdépendance et d'exposition inédit. En témoigne la montée en puissance de concepts tels que la e-navigation ou les smart ports dont « personne ne sait très bien où ils commencent et où ils s'arrêtent », comme l'admet Dominique Ritz, directeur du port de Rouen.
Toutes pilotées informatiquement, les manœuvres d'accostage, de déchargement, de stockage où les opérations de déclaration des marchandises constituent autant de portes d'entrée possibles pour les hacktivistes, les cyberterroristes ou les Etats voyous. Dès lors, comment s'en prémunir ? En réponse, le responsable de la transformation digitale d'Haropa appelle à compléter la réglementation en déployant à l'échelle de la vallée de Seine « une sorte de cercle de confiance pour se sensibiliser les uns les autres ».
« L'écosystème portuaire repose, par essence, sur un service d'interfaces. Le problème est que ces interfaces sont un no man's land qui n'est pas traité collectivement parce que nous travaillons trop en silos », argumente t-il.
Selon Jérôme Besancenot, remonter systématiquement les incidents éviterait notamment aux DSI de sur-réagir en cas d'intrusion malveillante quelque part dans la chaîne d'approvisionnement... « Dans certaines situations, le médicament est plus toxique que le mal », note-t-il en connaisseur. Gilles Kindelberger, président de l'UPR souscrit à l'analyse. Pour lui aussi, il convient de faire bloc contre la menace. « Il faut échanger les expériences. Comme un viol, une cyberattaque est souvent vécue comme une honte que l'on cache alors que c'est le contraire qu'il faudrait faire ».
Un enjeu de réputation
L'appel des intéressés à serrer les rangs (et les coudes) s'adresse autant aux grands armateurs et logisticiens qu'aux centaines de PME et TPE sous-traitantes qui gravitent dans leur orbite. Moins acculturées aux gestes barrière que les multinationales, celles-ci sont de plus en plus souvent la cible des cybercriminels. « La menace tend à se déporter vers les entités les moins bien protégées de la supply chain », alerte Bénédicte Pilliet, fondatrice du CyberCercle.
C'est dans ce climat anxiogène que paraît ces jours-ci le « premier cyber-guide des places industrialo-portuaires de l'axe Seine ». Edité par Haropa Port et l'alliance Seine Port Union, ce répertoire de bonnes pratiques d'une vingtaine de pages constitue la première marche vers « une démarche de sensibilisation collective », expliquent ses auteurs en préambule.
L'enjeu n'est pas seulement technique ou financier pour l'ensemble normando-francilien qui cherche à combler son retard sur Rotterdam et Anvers, il est aussi d'ordre réputationnel. « Certains armateurs font désormais de la robustesse de la cybersécurité un élément différenciant lorsqu'il s'agit de choisir les places portuaires auxquelles ils font appel », insiste le patron du port de Rouen. A bon entendeur.
Nucléaire : après 12 ans de retard, EDF va enfin mettre en service l’EPR de Flamanville
Il n'y a actuellement aucun commentaire concernant cet article.
Soyez le premier à donner votre avis !