Cybersécurité des navires : résolution OMI MSC.428(98)

Depuis le 1er janvier 2021, la résolution MSC.428(98) de l'OMI impose à toutes les compagnies maritimes d'intégrer la gestion des cyber-risques dans leur système de gestion de la sécurité (SGS), conformément au Code ISM. Pour les armateurs de transport côtier de passagers, dont les navires sont de plus en plus connectés et digitalisés, cette exigence est désormais incontournable^[1].

À retenir

Les systèmes vulnérables à bord d'un ferry côtier incluent la navigation (ECDIS, GPS, AIS), la propulsion (automates de contrôle moteur, BMS des batteries), la gestion des passagers (billettique, comptage), et les communications (VHF, satellite, wifi). Une cyberattaque pourrait compromettre la sécurité de la navigation, désactiver les systèmes de propulsion, ou voler les données des passagers.

Exigences de la résolution

L'OMI n'impose pas de standard technique spécifique mais exige que l'armateur identifie les systèmes IT et OT (operational technology) à bord, évalue les risques cyber pour chaque système, mette en place des mesures de protection (pare-feu, segmentation réseau, mises à jour), prépare un plan de réponse aux incidents, et forme les équipages à la vigilance cyber. Ces éléments doivent être documentés dans le SGS et vérifiés lors des audits ISM^[2]. Un navire opérant en France est soumis simultanément aux normes internationales (OMI), européennes (UE) et françaises — c'est la plus restrictive des trois qui s'applique.

Menaces spécifiques au transport côtier

Les ferries côtiers sont exposés au GPS spoofing (fausse position transmise au système de navigation), aux ransomwares ciblant les systèmes de billettique ou de gestion, au phishing visant les équipages (accès aux systèmes via des mails frauduleux), et à la compromission des systèmes de gestion de batteries (BMS) sur les navires électriques.

Cadre européen : NIS2

La directive NIS2 (UE 2022/2555), transposée en droit français, classe le transport maritime comme secteur « essentiel » soumis à des obligations renforcées de cybersécurité : notification des incidents, audits de sécurité, et responsabilité de la direction. Les armateurs de transport côtier de passagers sont concernés au-delà d'un certain seuil de chiffre d'affaires ou d'effectifs^[3].

Les risques cyber en milieu maritime côtier

La digitalisation croissante des navires côtiers (ECDIS, AIS, systèmes de gestion de l'énergie, billetterie connectée, WiFi passagers) élargit la surface d'attaque cyber. Un scénario redouté : la compromission du système de navigation ECDIS qui afficherait une position erronée, ou le blocage des systèmes de gestion de l'énergie d'un ferry hybride en pleine traversée. Les navires côtiers sont particulièrement vulnérables car ils combinent des systèmes industriels (OT — Operational Technology) hérités de l'ère pré-numérique avec des systèmes informatiques modernes (IT), souvent interconnectés sans segmentation réseau adéquate.

La résolution MSC.428(98) en pratique

Adoptée en 2017 par l'OMI, la résolution MSC.428(98) exige que les systèmes de gestion de la sécurité (ISM Code) intègrent la gestion des risques cyber à partir du 1er janvier 2021. Concrètement, chaque armateur doit identifier ses systèmes critiques, évaluer les risques, mettre en place des mesures de protection (pare-feu, segmentation réseau, mises à jour), détecter les incidents, et disposer d'un plan de réponse et de récupération. Pour les petites compagnies côtières — qui n'ont souvent ni DSI ni budget cybersécurité — c'est un défi organisationnel majeur. Les sociétés de classification (Bureau Veritas, DNV) proposent des notations cyber et des audits spécifiques pour accompagner la mise en conformité.