Ports bretons et NIS2 : ce que vos prestataires numériques vont devoir vous prouver
Le port de Brest traite chaque année des millions de tonnes de marchandises. Lorient concentre une partie significative de la filière pêche française. Saint-Malo, Roscoff : des flux passagers et fret qui reposent sur des dizaines de systèmes informatiques interconnectés. Peu de secteurs combinent une telle densité opérationnelle avec une telle dépendance aux prestataires numériques externes.
NIS2 vient changer la donne pour ces infrastructures.
Les ports, nouvelles entités essentielles
Depuis la transposition de la directive NIS2 en droit français, les opérateurs d'infrastructures portuaires entrent dans la catégorie des entités essentielles. Cela signifie des obligations précises : mesures de gestion du risque cyber, procédures de déclaration d'incidents, et surtout, responsabilité sur la chaîne de sous-traitance.
Ce dernier point est celui qui surprend le plus les directions: L'obligation ne s'arrête pas à la DSI interne. Elle remonte vers tous les prestataires qui accèdent aux systèmes du port, qui traitent des données pour son compte, ou dont une défaillance pourrait affecter la continuité des opérations. Transitaires, logisticiens, intégrateurs de solutions portuaires, fournisseurs de solutions de gestion documentaire : tous sont potentiellement dans le périmètre.
L'angle mort IT/OT
Ce que NIS2 oblige à regarder de plus près, c'est la frontière entre les systèmes informatiques classiques (IT) et les systèmes opérationnels (OT) qui pilotent les équipements physiques des ports : grues, portiques, systèmes de contrôle d'accès, équipements de manutention automatisés.
Xavier Rebour, directeur de France Cyber Maritime, identifie précisément ce point de fragilité : "Il y a un angle mort sur la sécurité maritime. Que ce soit sur un navire ou dans un port, tous les équipements pilotés par informatique, des pompes aux grues en passant par les groupes électrogènes, sont exposés à des risques."
Ces équipements n'ont souvent pas été conçus avec la cybersécurité comme contrainte. Ils communiquent avec des systèmes externes, parfois anciens, rarement documentés dans les cartographies de risques. Et leurs fournisseurs ne sont pas toujours des acteurs du monde IT, ce qui complique la mise en conformité contractuelle.
La sous-traitance comme vecteur principal de risque
Le Panorama de la Menace Cyber Maritime 2023, publié par France Cyber Maritime et le M-CERT, recensait 612 incidents de cybersécurité ayant impacté le secteur maritime mondial sur l'année. La gestion portuaire constituait le sous-secteur le plus touché, avec 206 incidents recensés. Ce sont des activités portuaires ciblées principalement par des groupes hacktivistes, dans le contexte du conflit russo-ukrainien, mais aussi par des acteurs cybercriminels dont l'activité ne connaît pas les mêmes variations géopolitiques.
Ces incidents ne visent pas les grands opérateurs directement dans la majorité des cas. Ils passent par les maillons les plus faibles de la chaîne : les prestataires dont la maturité cyber est moindre, et qui disposent pourtant d'accès aux systèmes critiques.
NIS2 répond précisément à ce schéma. Les entités essentielles doivent désormais évaluer la posture de sécurité de leurs fournisseurs, intégrer des clauses contractuelles adaptées, et être en mesure de démontrer cette diligence en cas d'audit ou d'incident.
Pour les ports bretons, cela se traduit concrètement par un travail de cartographie : quels prestataires accèdent à quels systèmes, avec quels droits, sous quelles garanties contractuelles ? Dans la plupart des cas, cette cartographie n'existe pas, ou elle est partielle.
Ce que ça implique pour les prestataires
Pour les entreprises qui fournissent des services numériques aux ports, le signal est clair : leurs clients vont leur poser des questions auxquelles ils ne sont pas encore préparés.
Questionnaires de maturité cyber, clauses de notification d'incident, audits de sécurité, plans de continuité : ces exigences vont descendre dans la chaîne contractuelle à mesure que les opérateurs portuaires avanceront dans leur mise en conformité. Les prestataires qui auront anticipé cette démarche seront en position favorable. Les autres devront traiter l'urgence dans l'urgence.
La bonne question à se poser maintenant : si votre client portuaire vous demandait demain de justifier votre niveau de sécurité, que seriez-vous en mesure de lui montrer ?
Vous êtes opérateur portuaire ou prestataire numérique du secteur maritime ?
La Robe Numérique accompagne les organisations soumises à NIS2 dans leur mise en conformité : cartographie des risques, analyse de la chaîne de sous-traitance, mise en place des mesures de gouvernance. → Découvrir notre offre NIS2
