Extrait de la Lettre Cybersécurité & Parlement sur « Cybersécurité & Milieu Maritime » (juin 2015).

Consulter la biographie de Gilbert LE BRIS, Député du Finistère, membre de la Commission de la Défense nationale et des Forces armées

Alors que même de grandes multinationales, pourtant particulièrement acclimatées comme Sony ou encore Orange ont été victimes de cyber-attaques, sans savoir s’en prémunir, comment des décideurs publics peuvent-ils réagir ?

Pour sortir des raisonnements binaires, il est nécessaire de définir, caractériser et comparer les risques et les réponses à y apporter. Au sein de l’Assemblée parlementaire de l’OTAN, nous consacrons beaucoup de temps à ce travail parlementaire, sans lequel aucune réponse sérieuse ne peut être apportée. C’est en ce sens que mon collègue Philippe Vitel a coordonné un rapport remarquable sur « le cyberespace et la sécurité Euro-atlantique » en 2014. Par ailleurs les outils techniques existent également au sein de l’Alliance grâce notamment au Centre d’excellence de cyber-défense de Talinn en Estonie.

 Revenons au secteur maritime, un navire est un objet complexe, qui intègre un nombre important de systèmes d’information et de systèmes industriels qui sont de plus en plus automatisés. Ces systèmes automatiques qui sont en lien avec le monde physique (moteurs, gouvernes, production d’électricité, gestion de la cargaison) sont constitués d’équipements informatiques sensibles à toute la gamme des attaques cyber. Une cyber-attaque sur un tel objet peut avoir des conséquences majeures : naufrage, détournement, accident dans un port, pouvant conduire à des pertes humaines ou des dégâts matériels très importants (explosion, marée noire, …). Par ailleurs ces navires s’inscrivent dans un environnement lui aussi complexe (infrastructures portuaires, trafic maritime) qui est également soumis à des menaces.

 Nous le voyons donc, les conséquences peuvent être sérieuses et il est de la responsabilité des décideurs, de donner aux acteurs du secteur les moyens de s’en prémunir. La stratégie de l’autruche n’est donc pas la bonne.

 Comment alors placer le curseur afin de prendre toutes les mesures nécessaires, sans pour autant s’engager dans une course à l’échalote, motivée par notre ignorance collective. Dans ce cas comme dans beaucoup d’autres, il est utile de regarder en arrière. Une analogie intéressante est celle de la découverte des virus biologiques à la fin du 19ème siècle. S’est alors posée la question de la lutte contre ces ennemis invisibles. La réponse peut parfaitement être adaptée à la lutte contre les menaces invisibles de notre société de la communication. Tout d’abord il fut créé des centres d’expertise, comme l’Institut Pasteur en 1888, qui visaient à disposer des meilleurs experts et installations pour mener la lutte. C’est la réponse par le haut, en ce sens la France s’est dotée d’un pôle d’excellence cyber qui est notamment très actif en matière de sécurité maritime. Par ailleurs, il fallait également atteindre tout un chacun afin qu’ils appliquent des pratiques simples visant à limiter les épidémies. C’est la réponse par le bas, et c’est là que la diffusion des mesures d’hygiène sont devenues prioritaires, non seulement pour les spécialistes, mais également pour l’ensemble de la population. Nous disposons déjà d’un bon tissu de formations à la cyber sécurité destinées aux experts, il nous manque cependant une vrai politique de « santé publique » visant à la diffusion des mesures simples évitant la propagation des vulnérabilités liées au cyber espace. D’ailleurs l’initiative entreprise par les « Rencontres Parlementaires Cyber sécurité & Milieu Maritime” ainsi que la présente lettre, vont dans le bon sens. Je pense cependant qu’il faut aller plus loin dans la sensibilisation de tout à chacun, à des mesures simples permettant de se prémunir contre les risques les plus courants.

 Par ailleurs, les failles utilisées par les cyber-attaquants sont souvent le fruit d’une défaillance au stade de la conception des systèmes. Il me semble donc qu’un dernier point est la mise en œuvre d’un dispositif juridique, renforçant l’obligation de moyens pour les architectes en systèmes d’information au moment de la conception de celui-ci.