De nouvelles règles pour la cybersécurité à bord des navires
De nouvelles règles sur la cybersécurité entrent en vigueur pour tous les navires dont le contrat de construction démarrent après le 1er juillet. Un article de Charlotte David de Mer et Marine.
Les exigences portées par l’Association internationale des sociétés de classification (IACS) concerneront les navires dont les contrats de construction seront signés à partir du 1er juillet. Ces nouvelles règles en matière de cybersécurité visent « à répondre à la nécessité d’améliorer la cyber-résilience des navires », à l’heure où ceux-ci sont particulièrement exposés aux cybermenaces, en raison d’une connectivité accrue, notamment dans le but d’améliorer leur efficacité opérationnelle, et de systèmes anciens. Des mesures qui auraient dû entrer en vigueur au 1er janvier, mais leur mise en œuvre a été repoussée pour tenir compte des commentaires des industriels, après la publication d’une première version.
Une mesure pour les navires de plus de 500GT
Les versions révisées de ces nouvelles règles de l’Association internationale des sociétés de classification (IACS), qui regroupe les principaux organismes de certification (Bureau Veritas, DNV, ClassNK, Rina, ABS, etc.) s’appliqueront finalement aux navires dont les contrats de construction seront conclus à partir du 1er juillet. Seront concernés les navires de marine marchande de plus de 500GT, y compris les navires à passagers, naviguant dans les eaux internationales, les unités mobiles de forage en mer de plus de 500GT et les unités mobiles automotrices engagées dans la construction en mer (installation, entretien et réparation d’éoliennes…), mais pas les navires de moins de 500GT, les navires militaires, les bateaux de pêche ou les navires transportant moins de 12 passagers.
UR-E26 : des exigences unifiées pour la cybersécurité
Baptisées UR-E26 et UR-E27, ces « exigences unifiées » (« unified requirements » – UR) correspondent aux exigences minimales de l’ensemble des membres de l’IACS, ici en matière de cybersécurité. « L’UR E26 vise à assurer l’intégration sécurisée des équipements de technologie opérationnelle (OT) et de technologie de l’information (IT) dans le réseau du navire pendant la conception, la construction, la mise en service et la durée de vie opérationnelle du navire », indique l’IACS. Les systèmes informatiques embarqués utilisés pour gérer la propulsion, la gouverne, les systèmes de détection et d’extinction d’incendie, d’arrêt d’urgence, de sécurité de la cargaison, de détection de gaz, etc. sont concernés par ces nouvelles exigences des organismes de certification, qui couvrent cinq aspects clés : « identification des équipements, protection, détection des attaques, réponse et récupération ».
UR 27 : garantir l’intégrité des systèmes
« Les cyberattaques sont de plus en plus sophistiquées, et les attaques qui ciblent des vulnérabilités inconnues au moment de la construction peuvent entraîner des incidents où le navire est mal préparé à la menace », rappelle le texte de 56 pages. « Un système de surveillance capable de détecter les anomalies dans les réseaux et d’utiliser l’analyse post-incident permet de réagir de manière appropriée et de se remettre d’un cyber-événement », précise-t-il dans le volet « détection des attaques ». L’UR27 vise quant à elle à garantir que « l’intégrité des systèmes est sécurisée et renforcée par des fournisseurs d’équipements tiers », et précise ses recommandations en matière de cyber-résilience de ces systèmes et équipements embarqués, en lien avec les exigences de l’UR-E26.
