Catégories
Fleuves et rivières

Cybersécurité dans les installations portuaires: l'établissement de règles nécessite une réglementation

Par le CDR Michael C. Petta, USCG

À la suite des attentats du 11 septembre 2001, la Garde côtière américaine a ouvert la voie à la sécurité maritime en élaborant de nouvelles règles internationales, des lois nationales et des réglementations nationales pour protéger le transport maritime et l'infrastructure. Ces changements ont établi la norme dans la lutte mondiale contre les menaces pesant sur les installations portuaires et ont servi de modèle pour les nouveaux régimes négociés au Organisation maritime internationale (OMI).

Pourtant, ces dernières années, les réglementations nationales américaines n'ont pas suivi le rythme des risques toujours croissants posés par les menaces émergentes en mer, en particulier les cyberrisques. En conséquence, l'infrastructure maritime américaine est devenue plus vulnérable aux menaces perturbatrices et destructrices dans le domaine cybernétique.

En février 2020, la Garde côtière américaine a publié des lignes directrices pour les installations portuaires pour faire face à ces menaces. Les nouvelles directives étaient nécessaires, mais elles ne suffisent pas. La Garde côtière américaine devrait, pour s'acquitter de son obligation légale de protéger le système de transport maritime, dynamiser le processus d'élaboration des règles nationales afin d'adopter des règles de cybersécurité uniformes et exécutoires pour les installations maritimes.

Le problème cybernétique des installations portuaires

Avant de passer à la nécessité d'une réglementation de la Garde côtière américaine, il est important de souligner le problème à résoudre –les cybermenaces contre les installations portuaires sont à la fois importantes et réelles. Malheureusement, l'industrie maritime n'est toujours pas préparée. Les universitaires, les chefs de file de l'industrie et les représentants du gouvernement ont depuis longtemps sonné l'alarme et mis en garde à plusieurs reprises contre les menaces, les vulnérabilités et les conséquences néfastes associées aux cyberattaques. Ces risques reconnus depuis longtemps persistent, et ils sont susceptibles de se développer à l'avenir à mesure que les cybercapacités malveillantes deviennent de plus en plus disponibles en tant qu'outil peu coûteux pour subvertir les systèmes commerciaux et gouvernementaux.

En 2011, l'Union européenne (UE) a étudié la menace croissante des cybermenaces et le manque général de sensibilisation à la cybersécurité dans le secteur maritime. Soulignant les conséquences désastreuses qu'une cyber-perturbation significative aurait sur le commerce international, l'étude a reconnu le besoin croissant de sécuriser les infrastructures maritimes. L'étude de l'UE a été validée dans un Résolution de l'OMI 2017, qui reconnaît expressément un «besoin urgent de sensibiliser aux cybermenaces et aux vulnérabilités pour soutenir une expédition sûre et sécurisée.»

Pendant des années, les dirigeants américains ont également mis en garde contre la cyber-menace croissante. Le plus en évidence, ancien Le président Barack Obama mis en garde dans un décret de 2013 que «(r) les cyber-intrusions répétées dans les infrastructures critiques démontrent la nécessité d'améliorer la cybersécurité.» Le président Obama a poursuivi en disant que «(l) a cyber-menace contre les infrastructures critiques continue de croître et représente l'un des défis de sécurité nationale les plus graves auxquels nous devons faire face». Quatre ans plus tard, le président du Comité de la Chambre des États-Unis sur la sécurité intérieure, Michael McCaul (R-Texas), a expliqué lors d'un audition sur le terrain que les installations portuaires «se trouvent dans la ligne de mire des pirates informatiques internationaux et des États-nations voyous», et il a déclaré que les États-Unis «doivent faire davantage pour renforcer la cybersécurité et ces hubs maritimes essentiels».

Les responsables des agences maritimes ont été tout aussi prudents. Par exemple, le Stratégie cybernétique 2015 de la Garde côtière américaine met en garde contre les cybermenaces «réelles et croissantes» dans la communauté maritime. À l'instar de l'étude de l'UE de 2011, la stratégie cybernétique de la Garde côtière américaine explique que les cyber-perturbations dans le commerce maritime pourraient avoir de graves conséquences pour les économies locales, régionales, nationales et mondiales. Pour protéger le transport maritime et réduire les vulnérabilités en matière de cybersécurité, la CyberStratégie déclare «intégrer la cybersécurité dans les programmes d'application et de conformité existants».

Malgré des années de discours, les principaux responsables maritimes continuent de croire que les installations portuaires restent vulnérables et non préparées aux cybermenaces. Par exemple, dans un Avis du Federal Register de mars 2020, le commandant de la Garde côtière américaine, l'amiral Karl L. Schultz, a lancé des avertissements similaires à ceux de la cyber-stratégie de cinq ans de l'agence. L'amiral Schultz décrit la cybersécurité comme «l'un des défis économiques et de sécurité nationale les plus graves pour l'industrie maritime». Plus récemment, lors d'un Webinaire de septembre 2020 sur la sécurité maritime, Le contre-amiral Mark H. Buzby, de l'US Navy (ret.), L'administrateur de l'administration maritime américaine, a reconnu la lutte de longue date pour résoudre les risques de cybersécurité, expliquant: «Ce qui est devenu assez évident au cours des dernières années, c'est que (la cybersécurité maritime ) a vraiment besoin d'une orientation opérationnelle… a vraiment besoin d'une approche stratégique à un problème très épineux et croissant. Le contre-amiral Buzby a en outre expliqué que la résolution du problème de la cybersécurité maritime «est absolument vitale non seulement pour notre sécurité économique, mais aussi pour notre sécurité nationale».

La sécurité physique de la réglementation américaine

La résolution de la Garde côtière américaine de protéger le système de transport maritime est encore plus durable que le problème de la cybersécurité maritime, en particulier après les événements tragiques du 11 septembre. Après les attentats terroristes, le La Garde côtière américaine a établi de nouvelles exigences mondiales en matière de sécurité maritime. Au niveau international, les exigences ont été exprimées dans Code international de sécurité des navires et des installations portuaires (ISPS) de l’OMI. Au niveau national, les exigences ont été codifiées dans le Loi de 2002 sur la sécurité du transport maritime (MTSA), que la Garde côtière américaine a mis en œuvre par le biais de règlements figurant au titre 33 du Code of Federal Regulations (CFR). L'élaboration et l'adoption d'un régime de gouvernance aussi complet ont nécessité des efforts herculéens et ont confirmé le rôle de premier plan de la Garde côtière américaine dans la protection des installations maritimes.

Les attentats du 11 septembre ont généré l'énergie nécessaire pour établir des lois et des règlements de sécurité complets. Cependant, en raison de la nature cinétique des attaques, ces lois et règlements se sont largement limités aux mesures de sécurité physique destinées à contrôler l'accès aux installations et à protéger le personnel et les biens contre les dommages physiques et les préjudices. Comme l'a écrit un universitaire en 2013, les exigences des États-Unis pourraient «se résumer vaguement à des armes à feu, des portes, des gardes et des cartes d’identité». En d’autres termes, lorsque le Code ISPS, la MTSA de 2002 et les réglementations nationales de la Garde côtière américaine ont été rédigés, ils n’ont pas abordé les problèmes de cybersécurité actuels. Étant donné que les cyberrisques opèrent dans un domaine relativement nouveau et non physique, l'atténuation des cyberrisques nécessite une énergie et une stratégie renouvelées.

Bien que le Code ISPS et le régime MTSA n'envisagent pas ouvertement la cybersécurité, la Garde côtière américaine n'a pas été impuissante à produire des cyber-normes. Au contraire, avec le MTSA de 2002 et le Loi sur l'amélioration de la sécurité maritime (MSIA) de 2018, le le pouvoir de l’agence de réglementer la cybersécurité dans les installations portuaires est clair. Une telle autorité pourrait être utilisée pour moderniser la réglementation de la Garde côtière américaine et incorporer des règles centrées sur la cybersécurité dans ses programmes d'application et de conformité. Plutôt que de franchir cette étape autoritaire, l'agence a pris une décision plus subtile en février 2020 en proposant une interprétation cyber-centrée moderne de la réglementation de l'agence en vigueur depuis 17 ans. Il faudrait peut-être faire plus.

La règle cybernétique dormante

Les règlements de sécurité des installations maritimes des États-Unis, tels qu'ils sont mis en œuvre dans le cadre de la MTSA de 2002, résident dans Partie 105 du titre 33 du CFR. Comme mentionné précédemment, le mot «cyber» est absent de ces règlements. Pour certains, cette absence pourrait indiquer que la réglementation de la Garde côtière américaine a omis la cybersécurité. Dans son février 2020 Circulaire d'inspection de la navigation et des navires (NVIC), «Guidelines for Addressing Cyber ​​Risks at Maritime Transportation Security Act (MTSA) Regulated Facilities, NVIC 01-20», La Garde côtière américaine a annoncé une nouvelle interprétation de la partie 105 dans laquelle elle prend ostensiblement la position que les exigences de cybersécurité n'ont pas été omises de la partie 105 – elles étaient en sommeil.

Une brève description de la partie 105, intitulée «Sécurité maritime: installations», aide à mettre en contexte les règles cybernétiques apparemment latentes. La Garde côtière américaine a adopté la partie 105 en octobre 2003 harmoniser les réglementations nationales avec les mesures de sécurité adoptées par l'OMI (je.e., Code ISPS). Combinant les exigences internationales et la politique intérieure existante, la partie 105 est vaste. Il comprend cinq sous-parties distinctes, 54 sections individuelles et un peu plus de 100 pages de texte réglementaire. En clair, la partie 105 est le règlement de la garde côtière américaine pour la sécurité dans les installations maritimes américaines.

Un mandat essentiel de la partie 105 est l'exigence que les installations portuaires effectuent périodiquement une Évaluation de la sécurité des installations (FSA). En règle générale, la FSA évalue les menaces, les vulnérabilités et les mesures de protection d’une installation afin d’informer l’élaboration du plan de sécurité de l’installation (FSP). Le responsable de la sécurité des installations (FSO) est responsable de l'élaboration et de la mise en œuvre du PSF. Lors de la préparation du FSP, le FSO doit analyser certains facteurs énumérés dans la partie 105. Bien que la partie 105 n'impose pas expressément au FSO de prendre en compte les vulnérabilités en matière de cybersécurité, parmi les facteurs énumérés, le FSO est tenu de prendre en compte les équipement de télécommunications, y compris les systèmes et réseaux informatiques. » Cette disposition est la source des règles cybernétiques apparemment dormantes de la partie 105. En bref, la NVIC 01-20 interprète la disposition relative aux «équipements de radio et de télécommunications» comme englobant la cybersécurité, car elle utilise l'expression «systèmes et réseaux informatiques». Selon cette interprétation, la partie 105 oblige les FSO à évaluer et à traiter les vulnérabilités de cybersécurité depuis sa promulgation en 2003.

La voie à suivre: exigences cybernétiques holistiques et affirmatives

Reconnaître cette disposition tacite de cybersécurité est une étape significative, mais la cyber provision dormante reconnue par NVIC 01-20 est trop ambiguë et inopérante pour incarner le degré de gouvernance suffisant pour atténuer les cyberrisques connus. La Garde côtière américaine devrait examiner si elle pourrait faire plus pour intégrer la cybersécurité dans son régime de sécurité maritime. Si le Service vise à mieux intégrer la cybersécurité dans les programmes d'application et de conformité existants, il pourrait tirer parti de la réglementation nationale pour mettre en œuvre des normes exécutoires et uniformes.

Un FSO doit envisager des mesures de protection des équipements radio et de télécommunications, y compris les systèmes et réseaux informatiques, lors de l'élaboration d'un PSF. Bien que cette exigence semble claire au premier abord, un examen plus approfondi révèle une ambiguïté qui peut dérouter ceux qui tentent de comprendre sa portée et son application. Compte tenu de l'importance de l'évaluation de la partie 105 pour atténuer les cybermenaces potentiellement catastrophiques, toute confusion n'est pas souhaitable. Heureusement, il peut être relativement facile d’améliorer cette confusion.

Comme le reconnaît la Garde côtière américaine dans NVIC 01-20, l'industrie maritime utilise actuellement des cybersystèmes pour diverses fonctions critiques (e.g., administration, opérations, ingénierie, sûreté, sécurité et navigation). Directives de l'OMI sur Gestion des cyberrisques maritimes reconnaissent également que les cybersystèmes modernes sont utilisés à des fins de technologie de l'information (TI) et de technologie opérationnelle (OT). L'OMI considère cette variété de fonctions cybernétiques «essentielles au fonctionnement et à la gestion de nombreux systèmes essentiels à la sûreté et à la sécurité de la navigation et à la protection du milieu marin». Il convient de noter que les directives de l'OMI de 2017 identifient les «systèmes de communication» comme l'un des nombreux types de cyber-systèmes. Malgré la variété des cybertechnologies intégrales, la partie 105, à première vue, implique des systèmes et des réseaux informatiques utilisés dans un seul but:radio et télécommunications. Tout cela pour dire que, sur la base d'une lecture simple du texte de la partie 105, on peut raisonnablement conclure que le FSO n'est tenu de prendre en compte que les vulnérabilités des systèmes informatiques utilisés pour la communication, et non les systèmes informatiques utilisés pour exécuter la variété d'autres TI et OT critiques. fonctionne dans les installations maritimes.

Mettre en évidence cette ambiguïté dans la partie 105 est plus qu'une critique textuelle académique. Cela souligne un problème de réglementation fondamental – un manque de normes claires – qui nuit à une application et une conformité efficaces. Cette ambiguïté est suffisamment importante pour que Le Canada l'a porté à l'attention de l'OMI il y a plus de cinq ans et a recommandé une mise à jour du code ISPS.

La garde côtière américaine a déjà le pouvoir de remédier aux problèmes d’application et de conformité causés par l’ambiguïté du cyber-langage dormant de la partie 105. Dans le cadre du processus d'élaboration de règles nationales, l'agence peut modifier la partie 105 pour créer une exigence distincte en matière de cybersécurité qui englobe une variété de systèmes informatiques. Par coïncidence, dans la MSIA de 2018, le Congrès américain fournit un échantillon d'une cyber-exigence moderne. Plus précisément, la MSIA, codifiée à 46 U.S.C. § 70103 (c) (3), exige expressément que les PSF «incluent des dispositions pour la détection, la réponse et la récupération des risques de cybersécurité…» et la violation de cette règle soumet l'installation à un sanction civile. Ce mandat de 2018 dans la loi est clair et exécutoire. Son utilisation expresse du terme courant et actuel de «cybersécurité» sans se limiter à un seul cyber-système évite toute confusion causée par des interprétations innovantes. Les règlements de la Garde côtière américaine pourraient être modifiés pour atteindre un degré de clarté égal à celui de la loi.

Hormis l'ambiguïté, l'exigence dormante reconnue par le NVIC est également largement inopérante. Comme l'indique la NVIC 01-20, bien que les FSO doivent évaluer et traiter les vulnérabilités de cybersécurité, l'installation a le pouvoir discrétionnaire de décider comment elle identifie, évalue et traite ces vulnérabilités. À la lumière de ce pouvoir discrétionnaire, il n'existe pratiquement aucun cadre réglementaire sur lequel fonder des décisions uniformes en matière d'application et de conformité. Le modèle actuel de cybersécurité des installations portuaires des États-Unis s'apparente à une loi sur la vitesse de sécurité qui permet aux conducteurs de définir et de synchroniser leurs propres vitesses. Cette approche peut convenir à certains domaines réglementaires, mais elle est insuffisante pour se prémunir contre une menace aussi grave pour l’économie mondiale et la sécurité nationale. Le contraste entre la quantité d'efforts consacrés à la sécurité physique dans les ports et la faible portée de la gouvernance désormais envisagée pour la cybersécurité illustre ce point.

Les attaques cinétiques du 11 septembre ont conduit à des règles complètes, tant au niveau national qu'international, sur la sécurité physique maritime. La mise au point de ces règles a nécessité des efforts colossaux de la part de la Garde côtière américaine. Aujourd'hui, l'agence a une opportunité similaire avec la cybersécurité. Il y a vingt ans, la partie 105 aurait pu être distillée en une seule ligne –Les FSO doivent évaluer et traiter les vulnérabilités de sécurité physique lors de l'élaboration des PSF. De toute évidence, la Garde côtière américaine a opté pour une approche plus globale, choisissant un modèle de gouvernance holistique et affirmatif. Cette approche pourrait être appliquée aujourd'hui à la cybersécurité. Il y a trop d'exemples contrastés d'exigences de sécurité physique pour les énumérer ici, mais un résumé de Sous-partie B de la partie 105 est utile.

La sous-partie B comprend 25 sections réglementaires intitulées collectivement «Exigences en matière de sécurité des installations». Ces sections contiennent, entre autres, des exigences sur les responsabilités du personnel; connaissances et formation du personnel; tenue de registres; fouilles physiques; exercices et exercices; contrôler l'accès; l'embauche d'employés; dépistage des individus; armer les gardes; la désignation des zones réglementées; terrains de police; entretien et essais des équipements; manutention de marchandises; livraison de magasins; et recevoir des passagers, des marchandises dangereuses et des barges. Surtout, à travers ces exigences, la sous-partie B comprend environ 175 dispositions unique à la sécurité physique.

En ce qui concerne la cybersécurité, même avec NVIC 01-20 dans les livres, les réglementations existantes ne semblent pas établir d'exigences explicites. Il n'y a pas d'exigences cybernétiques uniques liées aux responsabilités du personnel (e.g., responsabilités en matière de sécurité du personnel informatique ou OT). De même, il n'y a pas d'exigences distinctes en matière de cyberformation ou de connaissances (e.g., exigeant que l'OFS soit familiarisé avec la terminologie informatique et ergothérapeute ou obligeant les employés à suivre un cours de base en hygiène informatique). Il n'y a pas de règles affirmatives liées aux cyber-exercices, aux cyber-exercices ou à la cyber-tenue de dossiers. Contrairement aux systèmes utilisés pour la sécurité physique, il n'existe actuellement aucune exigence de maintenance ou de test propre aux systèmes IT ou OT. Plus important encore, contrairement à la gouvernance sans équivoque des éléments fondamentaux de la sécurité physique (e.g., contrôles d'accès, zones réglementées, contrôle du personnel), la partie 105 est silencieuse sur tout élément associé et adapté à des programmes de cybersécurité efficaces.

Conclusion

Revenant à la métaphore de la loi sur la vitesse de sécurité, certains pourraient prétendre que le cyber-modèle actuel ne s'apparente pas seulement à permettre aux conducteurs de régler et de chronométrer leur propre vitesse, il leur donne également une telle discrétion, mais sans exiger d'eux qu'ils possèdent une expérience de conduite, complète cours de formation des conducteurs, entretenir ou tester les systèmes de véhicules, consulter les rapports de circulation ou obtenir des permis de conduire.

Une cybersécurité efficace, à l'ère des cybermenaces omniprésentes et en expansion, bénéficie d'une gouvernance holistique et explicite. Tout comme il l'a fait pour la sécurité physique après les attentats du 11 septembre, la Garde côtière américaine pourrait à nouveau tirer parti du processus d'élaboration des règles nationales pour mettre en œuvre un régime de cybersécurité clair, uniforme et plus rigoureux. Ce faisant, la Garde côtière américaine serait à nouveau le porte-étendard, ouvrant la voie à la lutte mondiale pour protéger les installations portuaires.

Le commandant Michael C. Petta, USCG, est directeur associé des opérations maritimes et professeur de droit international au Stockton Center for International Law de l'U.S. Naval War College. Les opinions présentées sont celles de l'auteur et ne reflètent pas nécessairement les vues de la Garde côtière américaine, du département de la sécurité intérieure, de la marine américaine, du Naval War College ou du département de la Défense.

Image en vedette: porte-conteneurs Evergreen dans le port de Los Angeles (Wikimedia Commons)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *