Le secteur maritime n’est pas épargné par lesimpératifs de compétitivité et de rentabilité au seind’une économie mondialisée. Pour conserver unepertinence face à leur concurrents internationaux,les acteurs du milieu maritime peuvent trouver desgains d’efficience dans une stratégie de numérisationdes flottes. Dans cette logique, nombreux sont ceuxà s’être emparés des innovations numériques enmodernisant leur système de gestion des cargaisons,les outils de navigation, les systèmes de contrôle oualors les outils de surveillance. Les systèmes infor-matiques permettent en effet aux navires de navigueravec des équipages réduits, et d’assurer ainsi lesmêmes missions à moindre coût.

Toutefois, cette modernisation expose également lesecteur maritime à de nouveaux cyber-risques. Lamise en réseau croissante des systèmes d’informationles rend vulnérables face à d’éventuelles intrusions,via les communications internet ou des clés USBnotamment. Le domaine de la défense a déjà saisices enjeux depuis plusieurs années, mais le secteurcivil peine encore à les intégrer dans ses démarchesde sécurité. Par ailleurs, une véritable prise deconscience s’opère dans l’enseignement avec, parexemple, la création de la chaire de cyberdéfensedes systèmes navals à l’École navale de Brest.

Pour faire face à ces nouvelles menaces, il estimpératif, d’une part, de procéder à une évaluationet une certification des systèmes de sécurité et,d’autre part, à un accompagnement et à une sensi-bilisation des acteurs maritimes à la transition nu-mérique. Sur le premier point, une uniformisationdes règles à l’échelle internationale est indispensableet l’Organisation Maritime Internationale (OMI) jouece rôle au sein de l’ONU. Son Code dresse un certainnombre de lignes directrices et contient une série de

recommandations en vue d’une meilleure gestiondu risque cyber. Les lignes directrices constituent laprincipale base règlementaire de la cyber sécurité del’industrie maritime, et elles font l’objet d’une incor-poration en droit français sous l’égide de la Directiondes affaires maritimes.

Ces textes, de rang réglementaire pour la plupart,ont d’abord attribué à la Direction des affaires mari-times la responsabilité de l’approbation du plan desûreté des navires, la délivrance, le renouvellementet le visa des certificats de sûreté des navires assujettisau code ISPS. L’approche retenue est globale : elle in-tègre également la gestion de menaces telles que lacybercriminalité et le terrorisme maritime. Dans cecadre, l’évaluation doit nécessairement formaliserles mesures adoptées par la compagnie en matièrede protection des systèmes de communication etd’information au niveau du plan de sûreté du navire.Ces mesures portent sur le résultat de l’évaluation,le seuil de probabilité d’accident, les systèmes clefsdu navire, ainsi que les conclusions d’ordres politiqueet techniques relatives à la cyber sécurité du navire.Elles permettent déjà une certaine mise à niveaudes capacités cyber des acteurs maritimes. Et le ren-forcement récent des exigences réglementaires àl’échelle européenne ne viendra que parachever cettedynamique.

En premier lieu, l’entrée en vigueur du RGPD exigeune vigilance particulière des armateurs sur l’intégritéde leurs systèmes d’informations et de leur flux dedonnées. Les compagnies maritimes sont très concer-nées par ce texte, au champ d’application large, enraison du caractère transnational de leurs relationscommerciales qui les conduit régulièrement à contrac-tualiser avec des acteurs européens. Par ailleurs, ladéfinition de la « donnée personnelle » est très large

et inclut certains dispositifs de la marétique.

En second lieu, la directive NIS conduit à un renfor-cement accru des capacités des acteurs maritimesdans la gestion du risque cyber, en ce qu’elle imposeà toute entreprise nouant une relation commercialeavec l’UE de mettre en œuvre les moyens matériels,logiciels et humains nécessaires pour prévenir et at-ténuer l’occurrence des cyberattaques.

Cela étant, la règlementation ne fait pas tout. Si lesderniers textes comportent de très fortes incitationsà la prise en compte du risque cyber, ils peuvent trèsvite se transformer en contrainte si les acteurs neprennent pas la mesure du changement culturel né-cessaire et adaptent leurs pratiques en conséquences.Un défi demeure toujours en matière d’acculturationpour que la règlementation devienne un véritablelevier de compétitivité. La transition numériqueévolue d’une manière exponentielle, et surtout plusrapidement que la maitrise des nouvelles technologies.Il ne faut rien céder sur les mesures de sensibilisationaux bonnes pratiques d’hygiène numérique, sansquoi les dernières exigences risqueraient bien demanquer leur cible.

Eric BothorelDéputé

des Côtes d’Armor

Édito

➤

➤

➤

➤

➤

➤

➤

➤

Vincent BOUVIERSecrétaire général de la mer

Thibaut MARRELCoordonnateur sectoriel, ANSSI

Bruno BENDERCoordinateur Cyber pour le monde maritimeSecrétariat Général de la Mer

Capitaine de vaisseau BOUBÉEcoordinateur cybersécurité, Etat-major de la marine Jusqu’en septembre 2018

Stéphane MEYNETPrésident, CERTitude NUMERIQUE

Vincent DENAMURsous-directeur sécurité maritime directiondes Affaires maritimes ministère del'Environnement, des Transports et de la Mer

François LAMBERTDélégué Général GICAN

Lieutenant de vaisseau Olivier JACQChef de l’antenne de Brest Centre Support Cyber-défense de la Marine nationale (CSC)

Franck GICQUELChargé de mission, cybermalveillance.gouv.fr

2 5 8

96

7

2

3

4

SÉCURITÉ et Politiques PubliquesL

ET

TR

E

LA CYBERSÉCURITÉ DANS LE MILIEU MARITIME :

UN IMPÉRATIF STRATÉGIQUE

N°1 - OCTOBRE 2018

cybercercle.com

Le monde maritime est en train de vivre unerévolution. La numérisation en cours dusecteur est d’ores et déjà une réalité et necesse de s’amplifier. C’est un atout et un

élément de compétitivité pour l’économie maritime,qui est aujourd’hui un secteur clé du développementcommercial de la France. Mais elle l’exposera encored’avantage à une menace cyber que la plupart desgrands acteurs internationaux ont déjà affronté. Pour mieux répondre aux enjeux de sécuriténumérique de ce secteur, les organismesgouvernementaux, avec en premier lieu l’AgenceNationale de la Sécurité des Systèmes d’Information(ANSSI), ont mis en place un plan de défense dessecteurs stratégiques dans le cadre de la loi deprogrammation militaire, afin de garantir la sécuritédes systèmes vitaux. Avec la récente directive NIS(Network and Information Security) de l’UnionEuropéenne, ce sont les services essentiels qui devronts’armer face au risque cyber. D’ores et déjà, à l’occasion du Comité interministérielde la mer du 17 novembre 2017, le Gouvernement adécidé de s’appuyer sur le Comité France Maritime,placé auprès du Secrétariat général de la mer, pourstructurer une filière française de la cybersécuritémaritime. Le Comité France Maritime associel’ensemble des acteurs maritimes et les régions. Sapremière mission est d’effectuer un état des lieux dela filière et des acteurs maritimes de la cybersécurité.Force est de constater que les entreprises maritimesprennent en compte les enjeux de cybersécurité defaçon très inégale et que de multiples structures sesont créées au fil des ans sans réelle coordination. Ilest aujourd’hui indispensable d’en appréhender lesrouages dans un contexte international pour endésamorcer les pièges futurs et pour en capter lesopportunités.

Dans un second temps, le Comité France Maritimeproposera une feuille de route avec des axes dedéveloppement pour la cybersécurité maritime. Laconstruction de cette feuille de route associeral’ensemble des acteurs privés et publics du secteur(administrations, acteurs économiques etprofessionnels de la sécurité). C’est une dynamiqueinnovante et originale dans son approche, qui doitgarantir la prise en compte des spécificités du mondemaritime tout en la reliant aux autres secteurs

essentiels de notre économie. Elle doit aussi s’inscriredans les travaux en cours de l’Union, en particulierceux de l’Agence européenne chargée de la sécuritédes réseaux et de l'information (ENISA), des agencesde classification et des assureurs. L’objectif estd’accroître la compétitivité de la place portuairefrançaise et du pavillon français, dans un secteurfortement concurrentiel et déjà largementstandardisé.

La France, dans le secteur de la cybersécurité dumonde maritime, dispose aujourd’hui d’une doublelégitimité en tant que puissance maritime de niveaumondial et comme Nation déjà en pointe dans ledomaine Cyber. Cette légitimité forte en Europe etdans le monde lui est conférée par une expertisereconnue et des savoir-faire, en particulier dans lesecteur naval de défense, qui a su tirer parti descapacités d’innovation des PME de la sécurité. Cettelégitimité est une force, elle nécessite d’être portéeau sein des organismes européens et des instancesmondiales.Les vieux marins avaient tendance à dire que « le bienne fait pas de bruit, et que le bruit ne fait pasforcément le bien ». C’est là, résumé, également leparadigme de la cybersécurité. Car bien plus encorequ’ailleurs, la réussite dans ce domaine expose celuiqui se montre trop. Il faut pourtant porter nos savoir-faire, les exposer en cela, afin d’en tirer les bénéficespour nos entreprises. Tant celles qui protègent quecelles qui cherchent à se protéger.

Le secteur du transport maritime a engagédepuis quelques années une numérisationà marche forcée. Les systèmes d’infor-mation et les réseaux informatiques ont

progressivement envahi tant les ports que les navires,qui se retrouvent de plus en plus intimementconnectés au cyberespace. Si cette transformation estnaturellement gage de performance, d’attractivité etde croissance pour le transport maritime, dont lechiffre d’affaire global est appelé à doubler d’ici à2050 selon l’OCDE, elle concourt à l’émergence denouveaux risques : intrusion au sein d’un réseau, volde données sensibles, prise de contrôle à distance desystèmes informatiques, etc. La prise de conscience du risque cyber par les grandsacteurs du secteur est d’ailleurs bien réelle. Lacybersécurité fait ainsi désormais systématiquementl’objet d’interventions lors des conférences etmanifestations en lien avec le maritime. Certainesorganisations ont produit des guides[1] ou des projetsde normes en matière de cybersécurité. Lesformations aux métiers du secteur intègrent peu àpeu des sensibilisations aux enjeux cyber. Enfin, enmai 2017, un chantier naval coréen majeur a livré lepremier navire – un gazier – bénéficiant d’unecertification cyber, délivrée par une société declassification britannique.Cette prise de conscience a récemment été renforcéepar la cyberattaque mondiale du 27 juin 2017(généralement désignée par « cyberattaqueNotPetya »), qui a gravement affecté l’activité de lacompagnie danoise Maersk et provoqué une onde dechoc au sein du secteur. Au niveau français, les travaux menés par l’Agencenationale de la sécurité des systèmes d’information(ANSSI) avec les opérateurs d’importance vitale (OIV)

du transport maritime, dans le cadre de la mise enœuvre de l’article 22 de la Loi de programmationmilitaire 2014-2019, ont été concrétisés par lapublication en août 2016 d’un arrêté imposantl’application de 20 règles de sécurité aux systèmesd’information les plus critiques des principaux ports

français. La loi exige en outre des OIV qu’ils déclarentleurs incidents de cybersécurité à l’ANSSI. Deux ansaprès la publication de l’arrêté, force est de constaterque la plupart des acteurs concernés ont désormaisbien compris leur intérêt à se protéger d’une menacebien réelle et se sont mis en ordre de bataille afin dese mettre à niveau. Au niveau européen, la directive Network andInformation System Security (NIS), largement inspirée

de la réglementation française sur la cybersécurité, aété adoptée en juillet 2016 par le Parlement européenet le Conseil de l’Union européenne. Sa transpositionen droit français est en voie d’achèvement. Elle fournitainsi un cadre complémentaire pour renforcer lacybersécurité du transport maritime, au-delà des seulsopérateurs d’importance vitale. Son périmètred’application a été précisé par un décret du 23 mai2018 et concerne de nouveaux types d’acteurs, lesopérateurs de service essentiel (OSE). Ces OSE, telsque les logisticiens, les transitaires et les compagniesmaritimes, fournissent un service essentiel dontl’interruption aurait un impact significatif sur lefonctionnement de l’économie ou de la société. Ilsseront désignés par le Premier ministre et devront, àl’instar des OIV, déclarer leurs incidents de sécurité àl’ANSSI et appliquer des règles de cybersécurité, quiseront prochainement précisées par un arrêté. Enfin, l’ANSSI se mobilise également pour lacybersécurité des navires – qui n’entrent pas dans lepérimètre de ces deux réglementations – notammentau travers d’actions de sensibilisation et de conseilenvers les armateurs.

CONCLUSION :Face à une menace en forte augmentation et auxobligations réglementaires qui s’imposent à unnombre croissant d’acteurs, le monde maritime nepeut plus faire l’économie d’un engagement résoludans la voie de la cybersécurité. Il doit pouvoir fairede cet engagement un élément stratégique et decompétitivité au niveau international.

Thibaut MARRELCoordonnateur sectoriel, ANSSI

2

LE DOMAINE MARITIME

SE MET EN ORDREDE BATAILLE

FACE À LA MENACE CYBER

LES ENJEUX DE LARÉGLEMENTATIONF R A N Ç A I S E E TEUROPÉENNE SURLA CYBERSÉCURITÉPOUR LE TRANSPORTM A R I T I M E

[1] Voir notamment le « Guide des bonnes pratiques de sécurité informatique à bord des navires », proposé par l’ANSSI et la Direction des affaires maritimes, disponible en versions française et anglaise : www.ssi.gouv.fr/actualite/guide-des-bonnes-pratiques-de-securite-informatique-a-bord-des-navires/.

Vincent BOUVIERSecrétaire général

de la mer

3

A l’instar de la mer, le cyberespace est un espace deliberté et d’échange pour ceux, toujours plus nombreux,qui y évoluent. Milieu immense dont les richesses attirent l’attentiondes uns et les convoitises des autres, l’espace numériquese caractérise par une certaine abstraction qu’il estaujourd’hui nécessaire de matérialiser de sorte queles décideurs puissent mieux en saisir les enjeux.Liées aux priorités stratégiques (commerce, finance,transports, culture, défense…) les données qui ycirculent font l’objet de convoitises. Milieu infini, propice à l’anonymat, le cyberespace secaractérise par sa grande similitude avec le milieumaritime. Comme lui il est un espace d’échanges,d’influence, ou l’on se mesure et on s’affronte pours’approprier les richesses qui y évoluent. La sécurisation pleine et entière de ce milieu est uneutopie. Celle des données, qui y évoluent, une nécessitésans pour autant que cette protection ne se transformeen entrave.

UNE MENACE IDENTIFIÉE.Le monde maritime a été, très tôt, un espace d’af-frontements entre nations, de façon directe ouindirecte faisant face à la présence de pirates et decorsaires, dans des zones souvent reculées. Unemenace semblable se développe de façon permanentedans les profondeurs du web de façon anarchique laplupart du temps, mais parfois de façon pilotée, voiresavamment orchestrée.La cyberdélinquance est aujourd’hui susceptible deprovoquer des dégâts bien plus importants sur noséconomies - c’est là aussi tous les jours un peu plusvrai dans un secteur dont la numérisation va en s’ac-célérant.

LA SÉCURISATION DE CES ESPACES DE LIBERTÉQUE SONT LA MER ET LE CYBERESPACE NÉCESSITE UNE ACTION GLOBALE.Si, sur les mers, les pirates agissent de façon tradi-tion-nelle avec des armes classiques et des méthodesrudimentaires mais éprouvées, il ressort que dans lecyberespace les systèmes connectés et leurs supportsoffrent une exposition bien plus grande et permettentune forte évolutivité des modes d’actions. Cette sen-sibilité est d’autant plus avérée sur des systèmes ma-ritimes eux-mêmes porteurs de données directementliées aux richesses transportées. Avec la mise en placede solutions connectées de bout en bout, d’initiativesglobales d’échanges d’informations dans le domainemaritime (CISE[1] en particulier) les acteurs de la

filière disposeront de systèmes efficaces au servicede l’efficience économique. La cyberdélinquancedans le domaine elle aussi principalement économique,cherchera à s’approprier de façon illégale une richesseà partir des données volées ou des failles exploitéesen particulier sur des systèmes de bordure moinsprotégés et opérés par des exploitants moins organisés.La prise en compte de ces failles est importante dansun domaine qui doit s’organiser pour mettre en placeles moyens permettant de répondre aux attentes desleaders bien sûr, mais aussi du tissu industriel et éco-nomique qui intervient dans le processus entier (trans-ports terrestre, logistique, MCO,…).

DANS CE CONTEXTE, L’ÉLABORATION D’UNE POLITIQUE COORDONNÉE EN MATIÈRE DE CYBERSÉCURITÉ MARITIME DEVIENT NÉCESSAIRE. Les professionnels de la mer et des secteurs maritimesafférents au Comité France Maritime ont exprimé lebesoin que les initiatives, parfois nombreuses, maisencore éparses du domaine de la sécurité des systèmessoient structurées et adaptées au besoin. Les systèmeset les installations doivent cependant être adaptéesaux contraintes du milieu et pouvoir être fédéréesau sein d’une filière de cybersécurité propre audomaine. Autour du SG Mer, l’ensemble des forcesvives et en tout premier lieu le GICAN, le cluster ma-ritime et les armateurs de France se mettent aujourd’huien ordre de bataille pour coordonner leur action etdéfinir une stratégie pour les professionnels de lamer, par les professionnels de la sécurité.

L’action initiée en mars 2018 par le comité FranceMaritime et des acteurs industriels a visé à désigner

un coordonnateur cyber. Il a pour mission :• d’établir une cartographie précise des besoins ;• d’identifier des synergies industrielles de cybersé-curité pour le domaine maritime ;• d’inscrire cette démarche dans les principales ini-tiatives nationales, européennes et internationales.

La création d’une stratégie française structurée decybersécurité du domaine maritime doit garantirla fiabilité des personnes, la résilience des systèmeset la protection des informations. Pour ce faire, lesacteurs industriels doivent pouvoir structurer leursréponses de façon adaptée et cohérente sur desaspects à la fois techniques, organisationnels ethumains. Cette cybersécurité se doit à la foisadaptée et innovante. Pour ne pas seulement êtrevécue comme une contrainte, elle doit devenir uneopportunité, un facteur de différenciation pour nos

entreprises et pour nos ports dans une concurrenceinternationale de plus en plus exacerbée. Cette struc-turation doit s’inscrire dans le cadre des directivesnationales relatives aux secteurs d’activités d’importancevitale (SAIV) et européenne des opérateurs de servicesessentiels (OSE aux termes de la directive NIS).

INTEROPÉRER EN TOUTE SÉCURITÉ.Les acteurs du monde maritime évoluent aujourd’huidans des écosystèmes complexes où l’interopérabilitéest un facteur clé au service de l’efficience. Ils opèrentdes systèmes toujours plus connectés, que ce soitpour le fonctionnement propre des navires et l’ache-minement des biens, ou pour l’administration et lamaintenance des systèmes. Considérant les orientationsactuelles dans le domaine de la numérisation et ladualité de certains équipements, ces interconnectionssouvent « moins maîtrisées » sont appelées à se dé-velopper avec des partenaires toujours plus nombreuxet parfois moins fiables. Car si le monde maritimereste avant tout un espace d’échange de biens, lemonde Cyber se place au centre des données. Cesdernières sont un élément vital pour notre économie,qu’il convient de maîtriser dans leur usage auquotidien, dans l’exploitation des richesses qu’ellesreprésentent, jusqu’à leur retrait[2], qui représenteraun des enjeux futurs en particulier dans leur partageavec des tiers[3].

LE MONDE MARITIME

SE FÉDÈRE POURFAIRE FACE

AUX PIRATES ETCORSAIRES

DU NUMÉRIQUE

[1] CISE : Common information Sharing environment[2] NdlA : La politique environnementale de gestion des sonnées retrait des données représente un enjeu futur encore largement sous-estimé à ce jour.

[3] Usus : Usage de la donnée, fructus : droit de percevoir les fruits attachés à la donnée, abusus : droit de disposer de la donnée, de l’abandonner, de la détruire ou de la céder (à titre onéreux éventuellement) - « usus, fructus, abusus ».

Figure 2 : Les acteurs du monde maritime (transport) face au risque CYBER

Bruno BENDER est un spécialiste des tech-nologies de l’informations et de communi-cation. Sa carrière d’officier de marine l’ontamené à servir dans le domaine des systèmesde surveillance et de communication français,européens et OTAN et d’en appréhender leurprotection face à la menace Cyber. Impliquédans la gouvernance de systèmes nationaux,UE (EUROSUR, MARSUR) et multinationauxil dispose d’une expertise dans le domainede l’interopérabilité, et la cybersécurité dessystèmes navals.

Bruno BENDERCoordinateur Cyber

pour le monde maritime

Secrétariat Généralde la Mer

4

Le phénomène actuel de la globalisationdes économies est tributaire de lamaritimisation des échangesinternationaux physiques et de la

numérisation massive des données. A la conjonctionde ces deux mondes, la marétique, cettedigitalisation croissante de l’écosystème maritime,permet d’incroyables gains. Mais la révolutioncybernétique que nous vivons n’est pas uniquementtechnique, elle induit une transformation descomportements et des usages. Le secteur maritimen’y échappe pas, il en retire un bénéficeconsidérable, mais en hérite une nouvelledépendance. Cet état de fait pose en lui-même laquestion fondamentale de la résilience desprocessus et activités mis en œuvre, et du bien-fondé des organisations qui la supportent.

Les nouvelles technologies de l’information et decommunication (NTIC), et donc le domaine cyber,obéissent contrairement au monde maritime etnaval à des constantes de temps extrêmementcourtes : pour les systèmes navals militaires, il y auraprobablement cinq, six ou sept générations detélécommunication pour une génération de frégate.Ce paradoxe temps court temps long impose unestratégie de réponse comportant à la fois desmesures permanentes sur un horizon temporellointain, des dispositions dynamiques dans l’action,et enfin être capable de s’inscrire dans la durée etde garantir la capacité à résister. Les mesures permanentes, qu’elles soienttechnologiques et organisationnelles, constituent labase de la sécurité numérique : l’approche « securityby design » se traduit très concrètement par unréférentiel technique et réglementaire applicable àla conception des bâtiments de la marine nationale,qui comprend des exigences de cybersécurité et desûreté de fonctionnement des logiciels.

Les mesures actives visent à anticiper, surveiller,analyser, détecter et in fine réagir face à des cyberattaques. Des systèmes de cybersurveillancescrutent les flux au cœur des systèmes, supervisésdans des « Security Operation Center ». Ils sontdéployés et doivent être généralisés. Au-delà de cesmoyens techniques, l’entraînement des forces à lacyberdéfense est essentiel car seuls les exercicespermettent de confronter les hommes à la réalité,et de valider la pertinence des organisations degestion des crises.

En troisième lieu, le maintien en condition desécurité (MCS) vise dans le temps à maîtriser laconfiguration des systèmes, à les maintenir, àgarantir leur intégrité, et si nécessaire à restaurerleurs capacités. Pour être pertinente et efficace,cette activité doit être menée avec une approcheidentique à celle de tout domaine technique nonNTIC du maintien en condition opérationnelle(MCO). En d’autres termes, l’approche résiliente duMCS ne doit pas être conçue comme le MCO dudomaine cyber, mais à l’inverse comme la prise encompte du fait numérique dans la totalité desaspects du MCO.

C’est un défi considérable, en raison de lacomplexité technique des moyens, de l’intricationdes systèmes entre eux, des requalificationséventuelles à conduire, mais aussi du nombred’industriels et d’interfaces concernés sur un navirede guerre.

Enfin, au cœur de la sécurité marétique, demeure lesujet essentiel de la ressource humaine. Lacompétence cyber est aujourd’hui sous fortetension, dans la société civile comme pour le mondemilitaire. Il faut savoir la capter, la former, lamaintenir à niveau et la fidéliser. La marine s’estmise en ordre de marche pour satisfaire au mieuxses propres besoins, au travers d’un dispositif deformation adhoc.

Depuis 2014, la chaire de cyberdéfense navale àl’Ecole navale près de Brest est une briqueimportante de ce dispositif. Elle vise à stimuler larecherche dans ce domaine. Elle permet de

développer une expertise au profit de la formationdes officiers de la marine nationale, et sans doutedemain du monde maritime, tout en renforçant lespartenariats dans le domaine de la recherche avecles universités du grand ouest et les bureaux R&Ddes industriels des mondes naval et maritime.

Mais, outre la formation nécessaire de spécialistescyber compétents et reconnus, la marine tend aussià généraliser cette formation cyber en intégrant desmodules aux autres formations à dominantetechnique, afin d’accompagner et maîtriser lanumérisation généralisée de ses moyens, d’en garantir l’intégritéet d’en pérenniser la sécurité.

L E M A I N T I E N E NCONDITION DE SÉCURITÉ,ENJEU MAJEUR DER É S I L I E N C E M A R É T I Q U E

Capitaine devaisseau BOUBÉE

coordinateurcybersécurité,

Etat-major de la marine

Jusqu’en septembre2018

5

➤

➤

➤

➤

➤

➤

➤

➤

Les systèmes industriels, ces systèmesnumériques pilotant des installationsphysiques, préoccupent les autorités parleurs faiblesses en matière de sécurité

numérique.Si globalement la sécurité numérique des systèmesindustriels est prise en compte, parfois sousl’impulsion de réglementations nationales eteuropéennes, il n’est pas rare de rencontrer desacteurs qui sous-estiment encore les risques oun’accordent pas suffisamment d’importance et demoyens au sujet.

Les causes ? Le manque de formation et d’info-rmation conduisant à la méconnaissance descapacités des cybercriminels tend parfois à négligerdes menaces pourtant fortement probables. Laconfiance « excessive » dans les systèmes et les« travers » de la culture industrielle se focalisant surla disponibilité des systèmes écartent des scenariid’attaques sournois visant, comme lors de l’affaireStuxnet, à modifier le comportement des systèmesautomatisés tout en leurrant les informationsperçues par les utilisateurs. Enfin, le manque deconnaissance des solutions existantes pour protégeret défendre les systèmes industriels conduit parfoisà « repousser » les échéances.

Les systèmes industriels ont envahi nos vies à un pointdifficilement imaginable. Beaucoup restent persuadésde pouvoir fonctionner en l’absence de ces systèmescar, comme cela est le cas dans le milieu portuaire,des procédures existent afin de palier à une panned’un système. Mais le problème n’est pas de pouvoirfonctionner en cas d’arrêt d’un système industrielmais de s’apercevoir, avant l’accident, que suite à unecyber-attaque, un ou plusieurs systèmes industrielsne fonctionnent plus dans leur mode nominal. Unexercice simulant ce type de scénario amèneraitcertainement bon nombre d’entre nous à considérerles choses sous un autre jour.Imaginez, une station de conversion électrique auxcomportements aléatoires alors que la GestionTechnique Electrique vous indique que tout va bien,ou les écluses, les ponts qui ne réagissent plus commeils le devraient. Imaginez la détection incendie desbâtiments se déclencher de manière intempestive oules systèmes de navigation et de signalisationfournissant des informations erronées.

Bref, le but n’est pas de citer tous les scenarii commele ferait une analyse de risque mais d’éclairer leslecteurs sur les conséquences de cyberattaques sur lessystèmes industriels portuaires.

Dans le contexte de numérisation massive de notresociété, les conséquences des cyberattaques serontde plus en plus fortes, c’est une certitude. Le domaineportuaire n’échappe pas à cette règle. Si les ports sontaujourd’hui de véritables villes, de par le nombresd’acteurs, la complexité des systèmes et desréglementations, les SmartPorts de demain seront devéritables «  SmartCities  », devant faire face auxmêmes enjeux, aux mêmes problématiques desécurité dont la sécurité numérique.

Une cyberattaque pourrait provoquer des dégâtsimportants, la paralysie d’un port tout entier, voired’un territoire par effet « domino », sans compter lesconséquences économiques à court terme et àmoyen terme avec la perte de confiance descompagnies qui choisiront d’autres ports, qui eux,auront fait le choix d’investir dans la sécuriténumérique.

Que faire face à ces menaces ? Comment (re)-donner confiance dans les systèmes numériquesindustriels portuaires ? • Procédez par des actions simples, progressez par

étapes et raisonner d’un point de vue de vos métiers.La sécurité numérique n’est pas un sujet d’expertstechniques !

• Commencez par définir un porteur du sujet  : un« pilote »

• Identifiez de manière exhaustive les systèmesindustriels nécessaires au fonctionnement du portet les conséquences en cas d’indisponibilité maisaussi de perte d’intégrité, que l’origine soit unedéfaillance ou la malveillance d’une cyber-attaque.

• Appuyez-vous des mesures imposées pour certainsopérateurs même si vous n’y êtes pas contraints.

• Envisagez l’incident et préparez-vous à le traiter.Déployez pour cela des moyens de détection,comme pour la lutte incendie, afin de réagir au plustôt et limiter les dégâts.

• Travaillez avec toute la chaîne de sous-traitance pourque collectivement, le niveau de sécurité de vossystèmes se renforce.

Enfin, fédérer les initiatives et mutualiser lesressources ; rechercher l’efficacité et la flexibilité pourmieux connaître les menaces, les moyens de seprotéger, de se défendre et mieux réagir en casd’incident.

« Pire cauchemard » pour certains, opportunités pourles cyber-criminels, la sécurité numérique est aussiune formidable opportunité économique, nel’oublions pas.

SÉCURITÉ NUMÉRIQUEDES SYSTÈMES INDUSTRIELS

DANS LE DOMAINE PORTUAIRE

Stéphane MEYNETPrésident, CERTitude

NUMERIQUE

Les directives européennes, et je ferai unfocus sur la directive 2016/1148 du 6juillet 2016 relative aux mesuresdestinées à assurer un niveau élevé

commun de sécurité des réseaux et des systèmesd’information dans l’Union (directive NIS),imposent leur agenda aux compagnies detransport maritime.

Transposée en droit français (loi 2018-133 du 26février 2018 et décret du 23 mai 2018) àl’instigation de l’ANSSI, la directive NIS invite ladirection des affaires maritimes (DAM), enconcertation avec l’organisation professionnelle« Armateurs de France », à établir la liste des «opérateurs de services essentiels » qui devrontmettre en œuvre des mesures de sécurisation deleurs systèmes d’information. En fait, quatretypes d’opérateurs sont concernés : outre lescompagnies maritimes (services de billetterie etde réservation, enregistrement des passagers,systèmes de gestion des cargaisons demarchandises dangereuses), les opérateursportuaires et les services de trafic maritime(certains CROSS et grands ports), et certainesentreprises de maintenance de navires.

Le constat est clair : les systèmes d’informationet de supervision critiques des navires ne sont pasdirectement concernés. Mais est-ce unemauvaise nouvelle ?

Les navires, ces systèmes industriels isolés en mermais désormais hyperconnectés, appellent desréglementations spécifiques qui doiventprivilégier l’échelle mondiale, pour des raisonsd’efficacité mais aussi de contexte concurrentielexacerbé. L’Organisation Maritime Internationale(OMI) a ainsi publié des premières dispositionsen 2016 (deux circulaires portant des premièresdirectives de portée générale) et surtout en 2017,la Résolution MSC.428(98) qui exige la prise encompte des risques cyber dans les systèmes degestion de la sécurité des armateurs (code ISM)selon une entrée en vigueur progressive jusqu’à2021.

Ces textes ne représentent qu’une premièreétape car ils ne peuvent être considérés commedécisifs face à une menace diffuse etprotéiforme. Toutefois, plus encore que pour lesautres domaines, la cybersécurité des naviresrend délicate l’identification du mode d’actionpublique le plus pertinent.

En premier lieu, compte tenu du caractèrehautement technologique et évolutif de lamenace cyber, les Etats se doivent de mettre enplace des réglementations fondées surl’évaluation des risques et exigeant la mise enplace de processus préventifs et curatifs adaptés,plutôt que de définir un corpus de prescriptionstrop détaillées.

Ainsi, au-delà de la retranscription dans le droitfrançais de la résolution de l’OMI précitée, laDAM a initié une concertation avec le secteur,l’ANSSI et la marine nationale, afin de définir lestermes d’un additif « cybersécurité » au plan desûreté des navires qui sont dans le champd’application du code ISPS (code internationalpour la sûreté des navires et des installationsportuaires). Cet additif situé dans le volet curatifde la cybersécurité permettrait aux armateurs dedéfinir à l’avance les procédures à mettre enœuvre en cas d’attaque cyber : alerte,appréhension de la portée et de l’impact, prisedes mesures palliatives et de restauration dessystèmes impactés.

En second lieu, les Etats ne sont que lacomposante supérieure d’un environnementinternational de sécurité maritime qui comportedes strates privées dont le rôle est déterminant.Ainsi, au regard du risque cyber, l’assurancemaritime et les sociétés de classification ontvocation à jouer un rôle moteur.A titre d’exemple, Bureau Veritas fait partie despremières sociétés de classification qui se

positionnent sur le risque cyber, en publiant cetteannée un recueil de règles volontaires de prise encompte du risque cyber, qui s’échelonnent de lacertification des registres de maintenance deslogiciels à la définition d’aides à la décision. Onobserve également l’intensification des travauxdes assureurs, avec pour objectif de proposer despolices spécifiques à la couverture d’un risquenon encore pris en compte dans les policesclassiques, susceptibles d’ailleurs de renvoyer àces nouveaux modules de règlements de classe.Pour rester au niveau français, le Clustermaritime joue également son rôle en constituantun groupe de travail spécifique qui rassembletoutes les parties prenantes, privées et publiques.

Dès lors, l’administration, après les premièresévaluations et publications de recueils desensibilisation effectuées depuis fin 2015,poursuit son travail d’animation et de fédérationdes diverses parties prenantes. Riche d’un tissuindustriel dynamique et collaboratif, la France estainsi en capacité d’être un des pays actifs au seindes institutions internationales et européennes,sur ce sujet. Notre devoir est de poursuivre laconduite d’une analyse objective et sans cesseréajustée, sans précipitation réglementaire niprocrastination. C’est dans ce cadre que ladirection des affaires maritimes examinera, aucours des prochains mois, la pertinence de définirdes exigences fonctionnelles détaillées.

Et l’ensemble des parties prenantes s’accordentsur un point : il n’y aura pas de navire autonomesans une cybersécurité de haut niveau. C’est lechemin qui mène au navire autonome quipermettra les avancées les plus décisives enmatière de réponse technologique,opérationnelle et réglementaire au risque cyber.

6

LES ENJEUX POUR LES ACTEURSMARITIMES DE LA RÉGLEMENTATIONFRANÇAISE ET EUROPÉENNES U R L A S É C U R I T É N U M É R I Q U E :

… E T L E S N AV I R E S ?

VincentDENAMUR

sous-directeursécurité maritime

direction desAffaires maritimes

ministère del'Environnement, des Transports et

de la Mer

➤

➤

➤

➤

➤

➤

➤

➤

L’innovation n’est pas uniquement une idéelointaine qui viendrait assurer de la bonnesanté ou de la capacité exploratoire d’unsecteur dans le temps long, elle est

l’assurance de sa survie à court terme au motif que,sans innovation, la préservation de la sécurité n’estpas possible. Le Groupement des industries deconstruction et activités navales (GICAN) a ainsivoulu s’investir dans le sujet de la cybersécurité demanière novatrice.

Le GICAN est un groupement professionnel quirassemble les industriels français du secteur naval etmaritime. Il réunit les grands maîtres d’œuvre,systémiers et équipementiers ainsi que les PME/ETIqui concourent à la conception, la construction, lamaintenance et la mise en œuvre des naviresmilitaires, des navires de commerce de moyens etgrands tonnages, ainsi que des navires spécialisés, etparticipent à l’émergence des Energies MarinesRenouvelables. Toutes les entreprises sont concernéespar la cyber-menace, soit 9,5 milliards d’euros dechiffre d’affaires et 42 000 emplois directs, quipeuvent être impactés de près ou de loin.

Un gros travail de sensibilisation a été entrepris, enlien avec le CyberCercle auprès des adhérents sur lesujet et, en conformité avec ses trois missionsoriginelles, nous devions également envisager deprendre en compte cette nouvelle menace par uneinnovation de trois ordres : technologique,réglementaire, de méthode.

D’abord technologique, il a fallu permettre auxComités « Technique » et « Défense » de traiter deces sujets. Ces deux instances du GICAN ont ainsiexprimé le souhait de travailler au mieux audéveloppement de projets dans le domaine. Le salonEuronaval 2018 sera l’occasion d’aborder cettethématique et le GICAN souhaite notammentpouvoir mieux encadrer les start up dans le domainenaval directement intéressées au sujet de lacybersécurité. Le Seannovation devrait faire une placeessentielle à ces enjeux.

Ensuite il est nécessaire de déterminer lesprescriptions utiles à entreprendre auprès del’organisation maritime internationale comme àBruxelles dans le domaine de la cybersécuritémaritime. La loi de programmation militaire avaitimposé en 2013 aux opérateurs d’importance vitaledes règles de sécurité et des modalités de déclarationdes systèmes d’information d’importance vitale etdes incidents de sécurité, suite à cette nouvellelégislation. La Direction des Affaires Maritimes (DAM)du ministère de la transition écologique et solidaireet l’Agence Nationale de Sécurité des Systèmesd‘information (ANSSI) ont publié, en septembre 2016,pour les autres opérateurs le guide « Cybersécurité,renforcer le niveau de protection du navire » mis àjour en janvier 2017.

Il reste que la capacité de prescription est tropmesurée, alors que c’est le cœur même de la guerreéconomique dans laquelle nous nous devonsd’accompagner les entreprises françaises. Uneillustration européenne, la directive NIS qui est entréeen fonction en mai 2018 impose aux Etats-membresd’adopter une stratégie nationale de sécurité desréseaux et des systèmes d’information. Les opérateursdevront sécuriser les navires, les architecturesnumériques et les équipements, et assurer le maintienen condition de sécurité des équipements numériquesembarqués. Les entreprises françaises doivent mieuxtrouver leur place dans ce nouvel édificeréglementaire et c’est aussi de la responsabilité deleurs organisations professionnelles de s’organiser dela meilleure manière pour assurer la défense de leursintérêts.

Les industriels du secteur de la cybersécurité doiventdonc, ensemble, mieux connaître, notamment pour lacommunauté civile, les menaces spécifiques aumonde maritime pour pouvoir y répondre. A ce titre,et c’est l’innovation de méthode, le Comité FranceMaritime nous a fait l’honneur d’accepter notreproposition de mieux s’investir dans le domaine de lacybersécurité maritime. Toute la filière maritime faitface à un grand défi et si une implication forte existedans ce domaine, elle reste trop dispersée, desconstructeurs de navires aux ports, en passant par lesarmateurs et les administrations. L’expertise nationaleen matière de sécurité d’abord exige que cetteinstance devenue incontournable dans le mondemaritime traite du sujet cybersécurité. En participantau financement d’un projet qui puisse permettre àl’ensemble de l’écosystème maritime de partagermieux les enjeux de cybersécurité, il a été permisd’assumer mieux cette ambition. Cette mission estcelle de Bruno Bender, acteur reconnu dans lacybersécurité et qui joue ce rôle de fédérateur quimanquait au dispositif.

Les activités maritimes, industrielles, portuaires sontaujourd’hui totalement dépendantes des systèmes

d’informations et de traitement des données et ainsiexposées aux cybermenaces de toutes natures.L’adaptation des navires constitue un premier enjeuet la vulnérabilité n’est pas la même selon que l’onconsidère l’âge de ces objets devenus connectés, sanscompter les facteurs amplifiants que sont la réductiondes équipages à bord des navires, l’utilisation desystèmes d’information standards, les difficultés entrele temps opérationnel et le temps informatique, lepartage en temps réel des informations, les failles dansla mise en place des systèmes de détection d’attaqueet de réaction à bord des navires…

Autant de défis qui attendent le syndicatprofessionnel de la construction navale, nous vousattendons à ce titre nombreux dans nos réunions pourcoller au mieux aux préoccupations du secteur.

7

LE GIC AN,UN CADRE PRIVILÉGIÉ

AU SERVICE DELA CYBERSÉCURITÉ DUMONDE MARITIME

François LAMBERTDélégué Général

GICAN

8

Les enjeux de cyber-sécurité maritimesont stratégiques : la transformationnumérique du secteur maritimeimpacte un domaine d’activité qui fait

transiter 90% des marchandises échangées dansle monde. La transition progressive vers lenumérique qui touche autant les navires, lesarmateurs que les infrastructures portuaires etoffshore doit s’accompagner de mesuresefficaces pour ne pas être vecteur de nouvellesfragilités qui pourraient le rendre vulnérable. Pourautant, le domaine est reconnu comme étantplutôt en retard en matière de cyber-sécurité.Cette relative sensation d’inertie du secteur peuts’expliquer par des normes sectorielles peuexigeantes, un déficit de prise de conscience,mais aussi par une réelle complexité de mise enœuvre des mesures organisationnelles ettechniques.

En effet, les navires les plus récents sont de véri-tables villes flottantes : on pense au gigantismedes derniers navires de croisière, avec plus de 8000 passagers et membres d’équipage à bord. Ladimension des ports comme Marseille-Fos, LeHavre et la capacité d’embarquement de 20 000conteneurs sur les dernières générations de na-vires appellent à beaucoup d’humilité quand onse penche sur leur cyber-sécurité. Assurer la cy-ber-sécurité d’un porte-avions comme le Charlesde Gaulle, c’est sécuriser à la fois une centralenucléaire, un aéroport et deux milles personnes,le tout projeté à des milliers de kilomètres del’Hexagone. Un navire, ce sont des dizaines desystèmes d’informations hétérogènes, par leurstechnologies, leurs fabricants et leur niveau decybersécurité. Ce sont des systèmes isolés, inter-connectés, parfois en lien avec la terre. Dès lors,par où commencer ? Quelles sont les méthodesefficaces qui ont fait leurs preuves ?

Certaines mesures ont un cycle de vie particu-lièrement long. Un navire construit aujourd’huipeut être exploité pendant trente voire quarante

ans ! Une absence de prise en compte de la cy-ber-sécurité en conception a donc des consé-quences à long terme qu’il est difficile de rattra-per. Le RSSI doit alors apprendre à « vivre avec »,oublier l’utopie du « risque zéro » et œuvrer pourréduire ces risques à un niveau acceptable. Au-delà de la stratégie indispensable mais long termede sécurité par conception, il importe donc deréfléchir à d’autres moyens dont le bénéfice estmesurable sur le plus court terme.

Le premier vecteur d’action est l’humain. Souventpointé (facilement) du doigt comme principalesource de comportement à risques, il gagnerait àêtre apprécié comme un rempart efficace faceau risque numérique : c’est un magnifique capteurde terrain au profit du RSSI ! Pour cela, la sensi-bilisation est un moyen efficace lorsqu’elle misesur des démonstrations pratiques et des explica-tions précises, en lieu et place des traditionnelleslistes d’interdictions. L’humain doit aussi être res-ponsabilisé dans les actions qu’il mène : l’hommejoue un rôle essentiel dans la prévention desrisques informatiques, par exemple pour réduirele risque d’infection viral lors d’opérations demaintenance. Ce secteur à tendance normativegagnerait à intégrer, dans le cursus du personnelnavigant, ce type de formation. Mais c’est surtoutl’entrainement à la cyberdéfense qui apporteraun bénéfice concret en aidant à la transformationdes comportements et des usages. L’entraine-ment régulier, en situation, du personnel, quelleque soit sa position dans l’entreprise pourra pren-dre plusieurs formes : de l’analyse des réactionsface à du phishing à la vérification des capacitésde résilience et d’autonomie à bord du navire.

Le second vecteur efficace, bien que plus com-plexe à mener, est la cyber-surveillance : l’analyseet la surveillance des postes informatiques et ré-seaux de la marétique est indispensable pouridentifier à temps l’arrivée d’une menace, analy-ser ses impacts et mesurer les conséquenceséventuelles sur l’activité métier. Le déploiement

de capteurs est essentiel ; l’organisation de gestion de crise, souvent déjà existante dans lesecteur, devra s’approprier le tempo des menacescybernétiques. Mais pour être efficace, la cyber-surveillance maritime nécessitera d’unepart, une action normative vigoureuse, d’autrepart, un accompagnement du secteur pour met-tre en œuvre ces technologies sur des systèmescomplexes et enfin, une véritable organisationdu secteur permettant de concevoir et d’exploiterdes Security Operations Center maritimes efficaces.

DEUX RÉPONSESCONCRÈTES ET EFFIC ACESA U X E N J E U X D E L A

CYBER-MARÉTIQUE

Lieutenant de vaisseau

Olivier JACQChef de l’antenne

de BrestCentre Support Cyber-défense

de la Marine nationale (CSC)

Cybermalveillance.gouv.fr

un partenaire pour la

cybersécurité du maritime➤

➤

➤

➤

➤

➤

➤

➤

9

Le dispositif national d’assistance auxvictimes Cybermalveillance.gouv.fr aété lancé le 17 octobre 2017 à l’issued’une phase d’incubation au sein de

l’Agence nationale de sécurité des systèmesd'information (ANSSI) en copilotage avec leministère de l’Intérieur et le soutien desministères de l’Économie et des Finances, de laJustice et du secrétariat d’État chargé duNumérique. Il est désormais piloté par le Groupement d’In-térêt Public (GIP) ACYMA.

Ses publics sont :• les particuliers ;• les entreprises (hors opérateurs critiques – OIV

– qui relèvent de l'ANSSI) ;• les collectivités (hors opérateurs critiques – OIV

– qui relèvent de l'ANSSI).

Ses missions sont :• l'assistance aux victimes d'actes de cybermal-

veillance, à travers des conseils pratiques et lamise en relation avec des spécialistes et orga-nismes compétents proches de chez elles ;

• l’information et la sensibilisation au niveau na-tional sur la sécurité numérique ;

• l'observation du risque numérique pour pouvoirl'anticiper.

Dans le cadre de sa mission de sensibilisation ,Cybermalveillance.gouv.fr a lancé le 14 juin der-nier le premier volet de son kit de sensibilisationhttps://www.cybermalveillance.gouv.fr/contenus-de-sensibilisation/ en présence de Monsieur Mou-nir Mahjoubi, Secrétaire d'État chargé du Numé-rique et de Monsieur Guillaume Poupard,Directeur général de l’ANSSI et Président du GIPACYMA.

Ce kit vise à sensibiliser aux questions de sécuritédu numérique et à partager les bonnes pratiques.Il a été réalisé avec les membres du GIP et desutilisateurs, afin de déterminer les sujets à traiterprioritairement et les types de contenus à développer.

Une démarche originale et pragmatique a étéentreprise : parler aux utilisateurs de la sécuritédu numérique dans leurs usages quotidiens etprivés, pour les faire progresser dans le cadre professionnel.

Cette nouvelle approche de sensibilisation permettra aux organisations publiques, privéesou associatives d’améliorer leur résilience auxrisques liés au numérique, tout en développantla formation personnelle de leurs collaborateurs.

Distribués sous une licence libre (Etalab 2.0) pouren permettre la plus large diffusion, adaptationet réutilisation, les contenus de ce kit ont étépensés pour être utilisés directement, pour servirde supports à des actions de sensibilisation oupour être intégrés à des initiatives déjà en placeou à créer.

Ce premier volet développe quatre thèmes :• l’hameçonnage (phishing)• la gestion des mots de passe• la sécurisation des appareils mobiles (téléphones

et tablettes)• la sécurité des usages personnels et profession-

nelsChaque thème est décliné en différents supports :vidéos, mémos, fiches pratiques et fiches « réflexe »,qui s’adressent à tous quel que soit le niveau deconnaissance en sécurité du numérique.

Les acteurs du monde maritime sont égalementciblés par des actes de cybermalveillance  : enmer comme sur terre. Les technologies modernesembarquées dans les navires, souvent connectéesà internet, et l’ensemble des systèmes d’infor-mations constituent une surface d’attaque gran-dissante exploitée par les cybercriminels afin depoursuivre leurs motivations, qu’elles soient lu-cratives, idéologiques, ludiques, pathologiques ouautre… Il est ainsi essentiel d’évaluer les risques ,de se protéger en conséquence mais aussi desensibiliser et former tous les personnels afin quel’humain soit un maillon fort du dispositif de sé-curisation.

Dans cette optique, la plateforme Cybermalveil-lance.gouv.fr est à la disposition des acteurs dumonde maritime, notamment afin de les aiderdans leur nécessaire démarche de sensibilisationet d’assister les victimes en cas d’attaque.

Franck GICQUELChargé de mission,

cybermalveil-lance.gouv.fr

➤

➤

➤

➤

➤

➤

➤

➤

UN CADRE DE CONFIANCE POUR FORMER À LA SÉCURITÉ NUMÉRIQUE

Dans le prolongement de l’action qu’il mène depuis 2011 pour rendre plus appréhendables la sécurité numérique, sesenjeux, son cadre institutionnel et réglementaire, et ainsi participer à la diffusion d’une culture cybersécurité, leCyberCercle a créé des modules de formation qui permettent d’approfondir ces champs dans un cadre privilégié.

CyberCercleFormation aborde les sujets de cybersécurité dans toutes leurs dimensions et en particulier stratégiques,juridiques et réglementaires, de gouvernance et organisationnels.

CyberCercleFormation s’adresse à trois types de publics :

les dirigeants de PME-PMI et les cadres dirigeants non spécialistes de la cybersécurité – directions générales,directions marketing, digital, conformité, service juridique ou ressources humaines – qui souhaitent mieux maîtrisercette nouvelle dimension indispensable aujourd’hui dans leur champ de compétences ;

les RSSI et DSI qui désirent mieux maîtriser les enjeux juridiques et réglementaires liés à leurs champ d’action etresponsabilités ;

les élus et cadres territoriaux qui sont aujourd’hui confrontés à la transformation numérique des territoires et desusages, et qui doivent mieux appréhender la sécurité numérique pour assurer un développement pérenne de leursactions, notamment pour garantir la confiance dans les services numériques qu’ils mettent en oeuvre au servicedes citoyens.

Les modules de formation ont volontairement des formats courts, d’une ou de deux journées, afin d’éviter de peser troplourdement sur les agendas.

CyberCercleFormation propose quatre modules de formations :

Cybersécurité au coeur de la transformation numérique des entreprises pour les Top managers de PME/ETI,professions libérales et activités de conseil

Cybersécurité au coeur de la transformation numérique des collectivités pour les élus, directions des servicesgénéraux, directions métiers

Cybersécurité des systèmes industriels pour les Top managers de PME/ETI, directions générales de service decollectivités, directions métiers, acheteurs et juristes

Réglementation, juridique et cybersécurité pour les risques managers, directions de la conformité, Top managers,directions des services généraux

Les formateurs de CyberCercleFormation sont tous des professionnels spécialistes de la cybersécurité et dotés de qualitésde pédadogue qui leur permettent de transmettre leurs savoirs de façon efficiente, en adéquation avec leur auditoire. Desreprésentants des institutions publiques viennent apporter un éclairage sur des sujets définis, permettant auxparticipants un accès à une expertise institutionnelle et un échange personnalisé avec les représentants de l’Etat en chargede ces questions.

En parallèle des sessions inter-entreprises qui seront mises en place à partir de janvier 2019 à Paris et en région,notamment en Auvergne-Rhône-Alpes et à Toulon, le CyberCercle peut définir et mettre en œuvre des formations etséminaires au sein de votre organisation, en les adaptant aux besoins et aux profils de vos collaborateurs.

cybercercle.com

Réal

isat

ion

impr

essi

on :

S.I.M

. Pub

licit

é -

Phot

o d’

illus

trat

ion

©be

stfo

to77

- S

hutt

erst

ock

20 rue Tronchet - 69006 Lyon contact@cybercercle.com - cybercercle.com@CyberCercle

UN CADRE DE CONFIANCE POUR DÉCRYPTER LES ENJEUXSTRATÉGIQUES DE LA SÉCURITÉNUMÉRIQUE

Créé en 2011, le CyberCercle est un cercle de réflexion, d’expertise et d’échanges sur les questions decybersécurité, placé sous la dynamique de parlementaires et d’élus locaux, avec le soutien des institutions del’Etat en charge de ces questions.

Plate-forme favorisant le dialogue public-privé, cadre de confiance à destination de l’ensemble des acteursengagés dans les process de transformation numérique - entreprises, organismes publics ou collectivités - il leur permet de mieux appréhender les dimensions de sécurité numérique dans leurs projets, et de décrypterles politiques publiques, françaises et européennes.

Dans ce cadre, le CyberCercle organise depuis 2012 des petits-déjeuners-débats mensuels à Paris. A partir du premier trimestre 2019, ils se dérouleront aussi à Lyon.

Le CyberCercle a également créé des journées de rencontres à Paris, Bruxelles ou en région, événementsfédérateurs qui rassemblent les acteurs institutionnels et privés de la cybersécurité et l’écosystème sectorielou local concerné :

les Rencontres Parlementaires de la Cybersécurité #RPCyber

les Rencontres territoriales dans le cadre du Tour de France de la Cybersécurité lancé en janvier 2018 avecCCI France. En 2019, le CyberCercle sera ainsi à Bourges, Pau, Toulon, Lannion, Dijon, Lyon et Nantes.

les Rencontres sectorielles : les Rencontres Parlementaires Cybersécurité & Milieu Maritime#RPCyberMaritime, les Rencontres Sécurité Numérique - Sécurité Portuaire (SNSP), la ConférenceCybersécurité des Collectivités Intelligentes (C3I), les SCADAYS

l’European Cyber Day (Bruxelles).

Le CyberCercle édite également, six fois par an, une lettre d’information « Cybersécurité et PolitiquesPubliques » qui traite à chaque numéro d’un sujet déterminé, à travers des articles courts rédigés par desexperts et accessibles à tous.

➤

➤

➤

➤

➤

➤

➤

➤

Les politiques publiques : un levier pour la cybersécurité Depuis plusieurs années, la France et l’Union européenne se sont attachées à développer des politiques de cybersécurité visant d’une part, à élever leniveau global de cybersécurité des pays européens, et d’autre part, à favoriser la coopération entre ceux-ci dans le cadre notamment de la constructiondu marché unique numérique. L’ensemble de ces politiques publiques se doit être décrypté pour optimiser leur mise en œuvre au service, de la sécurité,du numérique et de la croissance économique.

Une lettre au service de la coopération public-privéDans le prolongement de l’action que le CyberCercle menons depuis 2012, nous avons ainsi souhaité renforcer notre contribution à la réflexion desgrands enjeux de la sécurité numérique et des politiques publiques associées, à travers une lettre d’information portant à la fois la prise de position depolitiques, élus locaux, parlementaires français ou européens, les expertises des professionnels de la cybersécurité et l’expérience des acteurs publics etprivés engagés sur ces sujets.

Animé par un parti-pris éditorial original, chaque numéro de Cybersécurité et Politiques Publiques (C2SP) traite ainsi d’une thématique stratégique àtravers des articles courts rédigés par un panel diversifié de rédacteurs reconnus pour leur expertise, permettant aux décideurs de mieux appréhenderles grands enjeux de la cybersécurité.

Afin de permettre l’accès au plus grand nombre, CS2P est diffusée à la fois sous format papier, envoyée à une sélection de parlementaires français eteuropéens, d’élus locaux ainsi que de représentants de l’administration et du gouvernement français, de représentants des institutions européennes etdistribuée lors de nos événements. CS2P est également disponible en format électronique sur notre site.

Ce premier numéro est consacré à un sujet qui nous est cher et oh combien fondamental, sur lequel nous travaillons depuis plusieurs années, à savoirle milieu maritime. Je tiens à remercier l’ensemble des contributeurs qui ont accepté de s’associer à notre démarche. Le prochain numéro qui paraîtraen décembre traitera de la sécurité numérique et des collectivités territoriales, un enjeu d’autant plus d’actualité aujourd’hui avec la transformationnumérique des territoires. Sujet d’expertise du CyberCercle, il est en particulier développé dans le cadre du Tour de France de la Cybersécurité dontchaque étape se réalise avec les villes, métropoles, communautés de communes, départements, régions qui nous accueillent.

Nous sommes bien évidemment preneurs de vos réactions et propositions dans la réalisation de ce nouveau support, que vous pouvez nous adresservia l’adresse contact@cybercercle.com.

Je vous souhaite une bonne lecture !

Bénédicte Pilliet

Présidente du CyberCercle

« DÉCRYPTER LES POLITIQUES PUBLIQUES ET DÉVELOPPER LES SYNERGIES PUBLIC-PRIVÉ EN MATIÈRE DE CYBERSÉCURITÉ POUR AGIR EFFICACEMENT ENSEMBLE »

Cybersécurité et PolitiquesPubliques est éditée par leCyberCercle

Directrice de la Publication :Bénédicte Pilliet

contact@cybercercle.com

20 rue Tronchet69006 Lyon

cybercercle.com@CyberCercle

Créd

it ph

oto

: © A

lain

Zim

eray