La cybersécurité dans les systèmes maritimes autonomes : Étude de cas Seafar

L'industrie maritime évolue rapidement grâce aux opérations à distance, aux systèmes autonomes et aux technologies de navires de plus en plus connectés. Alors que ces innovations débloquent de nouvelles efficacités, elles élargissent également la surface des cybermenaces à travers les systèmes d'intégration et les environnements de contrôle à terre.

Seafar est à l'avant-garde de cette transformation. La société développe et exploite des solutions qui permettent de surveiller et de contrôler les navires à partir de centres de contrôle à terre, en s'appuyant sur des systèmes interconnectés tels que les réseaux de communication, les technologies de navigation et les plateformes de contrôle à distance. Dans ce contexte, la cybersécurité est essentielle pour garantir des opérations sûres et résilientes.

L'un des principaux enjeux dans ces environnements émergents est l'absence de définition claire et normalisée des exigences en matière de cybersécurité. Si les autorités réglementaires attendent des organisations qu'elles fassent preuve de cyber-résilience, elles ne précisent souvent pas ce qu'implique le terme "sécurisé" dans la pratique. Pour les entreprises pionnières comme Seafar, cela signifie qu'elles doivent définir et mettre en œuvre elles-mêmes des normes de cybersécurité appropriées.

Pour y remédier, Seafar a mené une évaluation structurée de la cybersécurité en collaboration avec Bureau Veritas Cybersécurité. En étroite collaboration avec Zia Nassir, Chief Technologie & Operations Officer, l'objectif était d'établir une vision claire, basée sur les risques, de la posture de cybersécurité de Seafar, alignée sur les réalités opérationnelles et les attentes réglementaires en constante évolution.

La mission a commencé par une évaluation des risques basée sur la norme ISO/IEC 27005, qui fournit une méthodologie structurée pour identifier, analyser et évaluer les risques à travers les systèmes, les actifs et les processus. Alignée sur la norme ISO/IEC 27001, cette évaluation a permis d'identifier les risques à l'échelle de l'organisation et de définir des mesures de gouvernance et de contrôle au niveau de l'entreprise.

En parallèle, une modélisation des menaces a été menée sur les systèmes clés et les scénarios opérationnels spécifiques aux opérations des navires distants et autonomes. Cette analyse technique a examiné l'architecture de Seafar pour identifier les acteurs de la menace, les vecteurs d'attaque potentiels et les vulnérabilités, en particulier celles liées à la connectivité et au contrôle à distance, où un accès non autorisé pourrait avoir un impact direct sur les opérations du navire.

Ensemble, ces activités ont fourni une perspective à la fois stratégique et technique, combinant une gestion des risques structurée à l'échelle de l'organisation avec une analyse des menaces au niveau du système. Cette approche a soutenu l'alignement sur les attentes réglementaires tout en intégrant la cybersécurité dans la conception et le fonctionnement des systèmes maritimes connectés et autonomes.