La cybersécurité pour les dirigeants du maritime, par Priorisk Group
La structuration de la cybersécurité dans le domaine maritime est une bonne chose selon le groupe priorisk, pour qui cette responsabilité incombe surtout au dirigeant et au management, notamment dans les TPE et PME.
Les dirigeants du maritime et la cybersécurité
La vie du dirigeant s'articule autour de la gestion des risques pour son entreprise : financiers, humains, industriel, accidentels, …. Il gère ce risque pour fiabiliser l'existence de son entreprise parfois incité ou contraint par la réglementation. Quelle que soit la méthode, réduire le risque a toujours un coût humain et financier : processus, équipement ou assurance.
Parmi ces risques à gérer, le monde maritime et portuaire a l'obligation d'anticiper un panel de malveillances, comme le vol, la piraterie ou le terrorisme, à partir de l'évaluation d'un ensemble de scénarios redoutés en application du code ISPS, référence de sûreté de l’OMI, et du corpus réglementaire de sûreté national et européen.
Aujourd’hui, la numérisation du monde maritime impose la prise en compte du risque de la malveillance numérique caractérisée par les cyberattaques. La réponse à cette menace se structure avec une réglementation en cybersécurité qui se densifie et le rapprochement national des acteurs concernés, comme au sein de FRANCE CYBER MARITIME basée à Brest.
Par exemple, les armateurs doivent progressivement intégrer la cybersécurité dans les systèmes de management de navires s’ils sont soumis aux règles de l’OMI. Les ports et opérateurs portuaires sont contraints ou encouragés selon les cas à suivre les recommandations, émises par l’Agence de Cybersécurité européenne, l’ENISA, ciblées pour les activités portuaires.
Au-delà de l’incitation réglementaire, la confiance que l’on inspire à ses clients, partenaires et collaborateurs représente néanmoins l’enjeu majeur de la cybersécurité.
Les quatre objectifs de cybersécurité à atteindre sont :
- La DISPONIBILITE et la continuité des services fournis à terre comme en mer ;
- L’INTEGRITE des données et des processus numériques ;
- La CONFIDENTIALITE des informations partout où elle est exigée ;
- La PREUVE que l’on respecte les trois premiers objectifs à travers le respect de norme reconnues.
Alors quel est le besoin des TPE/PME pour se préparer aux cyberattaques ?
En première approche, aucun puisqu’une entreprise dispose naturellement d’un dirigeant qui gère les risques et fixe le cap. Le fait d’intégrer le risque de cyberattaque, donc d’agression contre ses systèmes d’information le conduira à répondre logiquement en fixant et priorisant ces quatre objectifs : DISPONIBILITE, INTEGRITE, CONFIDENTIALITE et PREUVE pour chacune des missions vitales de son entreprise. Comme pour sur d’autres sujets, il sait s’entourer des bons conseils lorsqu’il n’en a pas l’expertise.
Pour adhérer à cette démarche, dans le secteur maritime ou ailleurs, il doit se forger la conviction que :
- Le risque de cyberattaque n’est pas purement technique car l’impact est global sur ses activités : c’est lui qui décide de l’intégrer et de le positionner dans ses sujets clés ;
- Il peut prendre en compte le risque à son niveau sans connaissance informatique et fixer des priorités en appliquant aux cyberattaques la même démarche intellectuelle que pour les accidents ou les difficultés de trésorerie ;
- Il gagnera vite à développer une culture de la cybersécurité adaptée aux emplois et aux besoins de chacun car l’humain reste au centre de la prévention ;
- Il peut être aidé à hauteur de ses besoins et de ses moyens.
De cette démarche, il intégrera ses besoins chiffrés en cybersécurité dans son plan d’action général et pourra décider des investissements humains, techniques et financiers avec les échéances par arbitrage avec la réduction des autres risques.
La qualité de sa décision sera essentiellement conditionnée par la justesse de son analyse sur la gravité d’une cyberattaque comme :
- L’Indisponibilité de son système logistique plus de 3 jours ;
- Le Vol de son fichier client ;
- Le dérèglement de ses processus industriels ;
- L’usurpation de son site internet.
A cette étape, l’essentiel est fait car il saura où placer les ressources pour augmenter sa capacité de protection et de réponse à incident. Il lui restera à trouver des partenaires de confiance au sein ou à l’extérieure de l’entreprise pour l’accompagner vers les objectifs : là aussi, c’est une tâche qu’il maîtrise.
Ainsi, considérer le risque de cyberattaque comme un autre, dans le secteur maritime comme dans toute activité, sera pour le dirigeant la ligne de conduite qui lui permettra de mettre en action son écoute, son leadership et sa clairvoyance pour bâtir la cybersécurité de l’entreprise qu’il veut mener au succès.
Le Groupe Priorisk, votre partenaire pour la cybersécurité maritime
GROUPE PRORISK, qui accompagne les armateurs, opérateurs et entreprises depuis 16 ans pour réduire le risque de malveillance, dans le cadre du code ISPS, a développé depuis 5 ans ses compétences pour leur permettre d’intégrer ce risque numérique sur leurs activités maritimes.
Par le conseil, GROUPE PRORISK aide le management à prendre en compte les scénarios de cyberattaques dans l’anticipation jusqu’à la préparation des réponses à incident. Elle accompagne le monde maritime pour lui permettre d’atteindre et tenir les objectifs de cybersécurité.
Centre de formation certifié QUALIOPI, GROUPE PRORISK intègre cette nouvelle menace dans les formations réglementaires maritimes de sûreté et propose des contenus dédiés pour l’ensemble des acteurs opérationnels depuis le management jusqu’aux collaborateurs et marins. Ces formations sont proposées en mode présentiel ou sur une plate-forme collaborative, incluant la possibilité de créer des formations numériques en cybersécurité personnalisées.
GROUPE PRORISK va proposer bientôt un service de Responsable de la Sécurité des Systèmes d’Information (RSSI) mutualisé et externalisé pour le monde maritime comme il le réalise aujourd’hui dans d’autres secteurs d’activités comme le commerce ou la santé. Les marins expérimentés de GROUPE PRORISK ont vécu l’effet accélérateur de la mutualisation de la prévention des menaces, de la veille et du retour d‘expérience.
Propos de Pascal LE CLAIRE, Directeur Général Délégué de GROUPE PRORISK
Activités secteurs maritime sur www.groupe-prorisk.com
Activités cybersécurité sur www.prorisk-cyber.com