La cybersécurité sur les navires à passagers : former un équipage qui ne travaille jamais derrière un bureau

La plupart des formations en cybersécurité partent du principe d’un environnement de travail assez classique : un ordinateur, un lieu fixe, des horaires réguliers. Pour l’équipage d’un navire à passagers, rien de tout cela ne s’applique. Ils travaillent par roulement, passent des semaines en mer, partagent leurs appareils et ont rarement accès à un environnement de bureau stable. Parallèlement, le paysage des menaces pesant sur la cybersécurité des navires à passagers s’aggrave d’année en année. Au cours du premier semestre 2024, la société de sécurité Marlink a enregistré plus de 23 400 détections de logiciels malveillants sur 1 800 navires surveillés. En 2025, les incidents cybernétiques maritimes avaient bondi de 103 % par rapport à l'année précédente. Près de la moitié de ces incidents ont débuté par une tentative de phishing. Il en va de même pour la cybersécurité des navires de fret : le type de navire change, mais le point d'entrée humain reste le même.

La convention STCW concerne le pont, pas la boîte de réception.

Pour les marins embarqués sur des navires conformes au Code ISPS, le certificat de sensibilisation à la sûreté (STCW) est une obligation légale. La formation couvre les thèmes attendus : reconnaître les menaces physiques à bord, contrôler l'accès aux zones réglementées, comprendre les niveaux de sûreté et savoir comment signaler toute activité suspecte. Elle constitue une base solide et, en matière de sûreté physique, elle remplit parfaitement son rôle.

Les menaces numériques relèvent d'un tout autre domaine. Un membre d'équipage qui réagit de manière appropriée face à une personne non autorisée à la passerelle n'hésitera peut-être pas à cliquer sur un lien contenu dans un message qui semble provenir du système de gestion de la compagnie maritime. La sensibilisation à la sécurité physique et celle à la sécurité numérique sont deux compétences distinctes. La convention STCW ne traite pas du phishing, de l'ingénierie sociale ni du vol d'identifiants. Cette lacune est bien réelle, et elle est de plus en plus exploitée.

La directive NIS2 fait également de la sensibilisation à la cybersécurité une obligation légale

Les opérateurs maritimes européens sont désormais soumis à une double pression. La première est la menace elle-même. La seconde est la réglementation. En vertu de la directive NIS2, les entreprises de transport maritime sont classées comme opérateurs de services essentiels. Cela s'accompagne d'un devoir de diligence formalisé, d'obligations de signalement des incidents et d'une exigence explicite d'investir dans la sensibilisation des employés à la sécurité. Le guide NIS2 de Guardey pour 2026 explique comment cela se traduit dans la pratique et détaille les exigences en matière de formation de sensibilisation auxquelles les organisations concernées doivent se conformer.

Une formation qui ne nécessite ni bureau ni horaire fixe

C'est là que réside le véritable défi pratique. Les modules annuels de formation en ligne ont été conçus pour les employés de bureau. Des études montrent que jusqu'à 90 % des connaissances acquises lors d'une formation annuelle s'estompent en quelques semaines, mais pour un membre d'équipage revenant d'une mission de quatre semaines en mer, l'intervalle entre les sessions de formation peut être bien plus long. Les formats traditionnels ne sont tout simplement pas adaptés au rythme du travail maritime.

Le modèle le plus efficace est celui qui privilégie la brièveté et la fréquence : des sessions hebdomadaires de deux à trois minutes, accessibles sur n’importe quel appareil et pouvant être suivies dès que l’emploi du temps le permet. La formation à la sensibilisation à la sécurité de Guardey s’articule précisément autour de cette approche, avec des micro-formations axées sur le mobile qui recourent à la ludification pour maintenir l’engagement au fil du temps. Pour un personnel qui passe peu de temps à son bureau, ce n’est pas un simple avantage. C’est ce qui fait la différence entre un programme de formation qui touche réellement les personnes et un programme qui n’existe que sur le papier.

Les exploitants de navires à passagers qui se sont déjà mis en conformité avec la convention STCW disposent déjà d'un dispositif de sécurité physique. La directive NIS2 exige désormais également un dispositif numérique. La bonne nouvelle, c'est que le format le mieux adapté pour répondre à cette obligation est aussi celui qui correspond le mieux aux conditions de travail dans le secteur maritime : concis, mobile et continu.