jeu. Juil 2nd, 2026

La Garde côtière des États-Unis (USCG) a publié une règle finale le 17 janvier 2025, concernant la cybersécurité dans le système de transport maritime (la “Règle Finale”). Celle-ci a pour objectif de réduire les incidents de sécurité liés à la cybersécurité dans le transport maritime en établissant des exigences visant à améliorer la détection, la réponse et la récupération face aux risques cybernétiques. Cette Règle Finale, qui entrera en vigueur le 16 juillet 2025, s’appliquera aux navires battant pavillon américain ainsi qu’aux installations offshore et terrestres concernées par la Loi sur la sécurité du transport maritime de 2002 (MTSA). De plus, l’USCG cherche à recueillir des avis sur un éventuel report de l’application de deux à cinq ans pour les navires battant pavillon américain. Les commentaires doivent être soumis avant le 18 mars 2025.

Contexte

La nécessité de renforcer les protocoles de cybersécurité au sein du système de transport maritime est reconnue depuis longtemps. La MTSA a posé les bases pour faire face à diverses menaces de sécurité en 2002, en conférant à l’USCG une large autorité pour agir et établir des exigences afin de prévenir les incidents de sécurité liés à la cybersécurité. La MTSA a été modifiée en 2018 pour préciser que les risques liés à la cybersécurité pouvant engendrer des incidents de sécurité sont bien compris dans le cadre de la MTSA et de l’autorité de l’USCG.

Au fil des ans, l’USCG et l’Organisation maritime internationale ont consacré des ressources et publié des lignes directrices pour faire face aux menaces croissantes en matière de cybersécurité, alors que la technologie pénètre de plus en plus tous les aspects du système de transport maritime. L’USCG a renforcé ses efforts pour lutter contre les menaces cybernétiques par le biais de sa dernière réglementation, avec la publication de l’Avis de proposition de règlement (NPRM) le 22 février 2024. Ce dernier a suscité une forte réaction du public, ce qui a conduit à l’élaboration de la Règle Finale.

Règle Finale

La Règle Finale prend en compte les nombreux commentaires reçus concernant le NPRM et établit des exigences minimales en matière de cybersécurité pour les navires battant pavillon américain et les installations concernées.

Formation. Dans les six mois suivant la date d’entrée en vigueur de la Règle Finale, une formation doit être dispensée sur la reconnaissance et la détection des menaces de cybersécurité ainsi que sur tous les types d’incidents cybernétiques, les techniques utilisées pour contourner les mesures de cybersécurité, et les procédures de signalement. Le personnel clé doit suivre une formation plus approfondie.

Évaluations et plans. La Règle Finale exige que les propriétaires et opérateurs de navires battant pavillon américain et des installations concernées réalisent une évaluation de cybersécurité, développent un plan de cybersécurité et un plan de réponse aux incidents cybernétiques, ainsi que désignent un responsable de la cybersécurité, et ce dans un délai de 24 mois après l’entrée en vigueur. Le plan de cybersécurité devra inclure des mesures pour la sécurité des comptes, la protection des appareils, la sauvegarde des données, la formation, des exercices, des pratiques de gestion des risques, des stratégies pour atténuer les risques de la chaîne d’approvisionnement, des tests de pénétration, la planification de la résilience, la segmentation des réseaux, des protocoles de signalement, et des mesures de sécurité physique. De plus, le plan de réponse aux incidents cybernétiques doit fournir des instructions sur la façon de répondre à ces incidents et préciser les rôles, responsabilités, et autorités décisionnelles parmi le personnel.

Approbation des plans et audits. La Règle Finale impose que les plans de cybersécurité soient soumis à l’USCG pour examen et approbation dans les 24 mois suivant l’entrée en vigueur de la Règle Finale, sauf si une dérogation ou une équivalence est accordée. La règle donne également à l’USCG le pouvoir d’effectuer des inspections et des audits pour vérifier la mise en œuvre des plans de cybersécurité.

Signalement. La Règle Finale exige que les incidents cybernétiques “signalables” soient rapportés au Centre national de réponse sans délai. Cette exigence de signalement prendra effet immédiatement le 16 juillet 2025. De plus, la Règle Finale modifie la définition de “condition dangereuse” pour y inclure expressément les incidents cybernétiques.

Dérogations potentielles. La Règle Finale permet des dérogations limitées ou des déterminations d’équivalence. Une dérogation peut être accordée si le propriétaire ou l’opérateur démontre que les exigences en matière de cybersécurité ne sont pas nécessaires compte tenu de la nature spécifique ou des conditions d’exploitation. Une détermination d’équivalence peut être accordée si le propriétaire ou l’opérateur prouve que le navire ou l’installation battant pavillon américain est conforme aux conventions ou normes internationales offrant un niveau de sécurité équivalent. Chaque demande de dérogation ou d’équivalence sera évaluée au cas par cas.

Retard potentiel dans la mise en œuvre. En raison de plusieurs commentaires reçus concernant la capacité des navires sous pavillon américain à respecter le calendrier de mise en œuvre, la Règle Finale sollicite des avis sur la pertinence d’un report de deux à cinq ans supplémentaire.

Conclusion

À mesure que l’automatisation et la numérisation continuent de progresser dans le secteur maritime, il est essentiel d’élaborer des stratégies de cybersécurité adaptées aux besoins spécifiques de gestion et d’exploitation de chaque entreprise, installation et navire. Les propriétaires et opérateurs de navires sous pavillon américain et d’installations relevant de la MTSA sont encouragés à examiner de près les nouvelles réglementations et à commencer à se préparer aux nouvelles exigences en matière de cybersécurité dès que possible. Les parties prenantes sont également invitées à soumettre leurs commentaires avant le 18 mars 2025, concernant le potentiel report de mise en œuvre pour les navires battant pavillon américain.


[1] Un incident cybernétique signalable est défini comme un incident qui entraîne, ou qui peut raisonnablement entraîner, l’un des éléments suivants : (1) perte substantielle de confidentialité, d’intégrité ou de disponibilité d’un système d’information, d’un réseau ou d’un système de technologie opérationnelle ; (2) perturbation ou impact significatif sur la capacité de l’entité de rapport à exercer ses activités ou à fournir des biens ou services, y compris ceux ayant un potentiel d’impact significatif sur la santé ou la sécurité publiques ou pouvant causer des blessures graves ou la mort ; (3) divulgation ou accès non autorisé, directement ou indirectement, à des informations personnelles non publiques d’un nombre significatif d’individus ; (4) autres perturbations potentielles opérationnelles sur des infrastructures ou actifs critiques ; ou (5) incidents pouvant autrement entraîner un incident de sécurité tel que défini par 33 C.F.R. 101.105.

Bon à savoir

  • Les exigences en matière de cybersécurité visent à protéger non seulement les navires mais aussi les installations portuaires.
  • Le processus de formation inclut divers niveaux de sensibilisation et des compétences spécifiques selon le rôle de chaque employé.
  • La mise en conformité est un processus continu et nécessitera des mises à jour régulières des plans de cybersécurité.

En conclusion, la cybersécurité dans le secteur maritime représente un défi qui demande une vigilance constante. Les entreprises doivent s’adapter à un environnement technologique en évolution rapide tout en équilibrant la gestion des risques associés. Ce sujet mérite d’être approfondi, en impliquant également des discussions sur les méthodes innovantes qui pourraient renforcer davantage la sécurité dans le transport maritime.


Partager : X Facebook WhatsApp LinkedIn Reddit
3 thoughts on “Règle finale de l’USCG sur la cybersécurité dans le transport maritime : un enjeu crucial !”
  1. La cybersécurité dans le transport maritime est cruciale. C’est encourageant de voir des initiatives pour protéger nos navires et installations. Préparez-vous dès maintenant !

  2. La nouvelle règle sur la cybersécurité maritime est essentielle ! Avec la technologie qui évolue si vite, protéger nos navires et nos ports n’a jamais été aussi crucial.

  3. Il est essentiel que le secteur maritime prenne la cybersécurité au sérieux. La créativité dans les solutions pourrait vraiment faire une différence !

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *