Transnet 2021 : la cyberattaque qui a exposé la dépendance numérique des ports africains

Un incident cyber au cœur de la chaîne logistique

Le 22 juillet 2021, Transnet, groupe public sud-africain chargé notamment des ports et du fret ferroviaire, subit ce que le gouvernement qualifiera ensuite de faille de sécurité informatique et de cyberattaque. Le sujet dépasse immédiatement le service informatique d'une entreprise : les terminaux à conteneurs sont des points de passage pour les importations, les exportations et les approvisionnements de secteurs industriels qui dépassent les frontières sud-africaines.

Le 29 juillet 2021, le ministère sud-africain des Entreprises publiques annonce le rétablissement complet des opérations portuaires. Son communiqué précise que NAVIS N4, le système principal de gestion des opérations conteneurs, a été restauré et que les liens clients facilitant imports et exports sont de nouveau disponibles. Les terminaux de Durban fonctionnaient à nouveau sur NAVIS dès le 27 juillet au soir, tandis que certains processus au Cap-Oriental continuaient en parallèle avec des procédures manuelles.

Ce que les autorités ont établi

Le communiqué gouvernemental indique que les secteurs vrac, break-bulk et automobile avaient basculé rapidement vers des opérations manuelles, limitant les perturbations pour ces flux. Les opérations ferroviaires continuaient selon le plan de circulation, avec des plans de continuité activés. En revanche, l'incident avait conduit Transnet Port Terminals à invoquer la force majeure, encore en cours de réexamen lors du communiqué du 29 juillet.

Les autorités indiquaient alors, sur la base de leur évaluation préliminaire, que les données de Transnet et de ses clients n'avaient pas été compromises. Cette formulation doit être conservée telle quelle : elle documente la position communiquée à la reprise des opérations, mais ne transforme pas une évaluation préliminaire en audit forensique public complet.

Dans sa documentation d'entreprise, Transnet a également enregistré le 22 juillet 2021 comme une cyberattaque, une intrusion de sécurité et un sabotage ayant perturbé des processus et fonctions normaux. L'incident appartient donc à l'histoire documentée de la numérisation logistique africaine : une plateforme opérationnelle peut devenir un point de fragilité national même sans publication confirmée de données volées.

Pourquoi les ports africains sont une cible stratégique

Un port moderne est un système physique commandé par des données. La planification d'escales, l'allocation des grues, le placement des conteneurs, les rendez-vous des camions et les formalités clients reposent sur des applications interconnectées. Lorsqu'une de ces couches est indisponible, le quai peut rester physiquement intact tout en perdant une partie de sa capacité à déplacer les marchandises avec rapidité et sécurité.

Cette réalité est particulièrement importante en Afrique, où plusieurs économies enclavées dépendent de corridors vers les ports d'États voisins. Un incident touchant une plateforme portuaire sud-africaine n'est pas uniquement un événement sud-africain : il peut affecter des délais de livraison, des stocks, des exportateurs agricoles et la confiance des lignes maritimes dans un corridor régional. Le communiqué de 2021 note d'ailleurs que les compagnies représentant 70 % des cargaisons transitant par les ports avaient confirmé leur maintien aux côtés des ports sud-africains pendant la récupération.

La continuité manuelle est nécessaire, mais limitée

La capacité à passer au manuel a contribué à réduire les perturbations sur certains flux en 2021. Elle constitue une mesure essentielle de résilience : procédures imprimées, listes de priorités, canaux de communication alternatifs, autorisations de sécurité et exercices réguliers doivent exister avant l'incident. Sans eux, le basculement lui-même devient improvisé et risqué.

Mais le mode manuel n'est pas un remplacement durable d'un système portuaire numérique. Il augmente la lenteur, le risque d'erreur, les difficultés de traçabilité et les tensions de sûreté. L'objectif d'un plan de continuité n'est donc pas seulement de "continuer quelque chose", mais de déterminer les flux prioritaires, le niveau de risque acceptable et les conditions techniques d'un retour fiable aux systèmes restaurés.

Enseignements pour les opérateurs et les États

• Les ports et corridors logistiques devraient identifier leurs systèmes critiques, y compris les dépendances aux applications clients et aux prestataires, puis tester la restauration depuis des sauvegardes isolées.
• Les contrats avec lignes maritimes, transitaires et chargeurs devraient intégrer un protocole d'incident cyber : canaux alternatifs, priorisation des denrées essentielles et informations de reprise vérifiables.
• Les autorités portuaires et CERT nationaux devraient conduire des exercices associant douanes, rail, route, exportateurs et pays enclavés dépendants du corridor.
• Les conseils d'administration devraient suivre non seulement les incidents et pertes de données, mais aussi le temps de reprise des fonctions opérationnelles et la capacité réelle de travailler en mode dégradé.
• Toute communication publique devrait distinguer disponibilité des opérations, intégrité des données et résultats d'enquête : ces trois questions ne reçoivent pas nécessairement la même réponse au même moment.

Une leçon toujours actuelle

L'incident Transnet est un jalon important parce qu'il a matérialisé un risque souvent abstrait : la cybersécurité d'un port est un élément de la sécurité économique. Les investissements portuaires africains ne peuvent plus traiter systèmes d'information, plans de continuité et coordination intersectorielle comme des accessoires techniques. Lorsqu'un système de terminaux s'arrête, c'est le commerce réel qui attend sur le quai.

— ◆ —