Le piratage d’Oldsmar, un révélateur de la vulnérabilité du secteur

En février 2021, un piratage audacieux du système de traitement des eaux de la ville d’Oldsmar, en Floride, a tiré la sonnette d’alarme sur la sécurité des infrastructures hydrauliques. Ce n’était malheureusement que le début d’une série d’événements qui exposait la fragilité d’un secteur crucial pour la vie quotidienne. Trois ans plus tard, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) s’est penchée sur cette problématique. Son rapport, qui couvre la période de janvier 2021 à août 2024, révèle des chiffres alarmants.

Des statistiques édifiantes : 46 entités touchées par des incidents de sécurité

À ce jour, 46 entités du secteur de la gestion de l’eau ont été touchées par des événements de sécurité. Parmi ces entités, 12 sont des opérateurs régulés, représentant 34% des incidents signalés. Pire encore, 7 d’entre elles ont été victimes de multiples événements au cours de cette période. Ces données soulignent non seulement l’étendue des menaces, mais aussi la réitération des attaques au sein de ce secteur vital.

Une proie facile pour les ransomwares

Le secteur de l’eau n’est pas le seul visé. Comme beaucoup d’autres, il est devenu un terrain de jeu pour des campagnes à but lucratif, notamment les ransomwares. Prenons par exemple la compagnie BRL, spécialisée dans la gestion de l’eau et l’environnement. Ce groupe à été piégé dans les filets de Lockbit, un collectif notoire. De plus, en novembre 2023, le SIAAP (service public de l’assainissement francilien) a alerté sur une attaque suprêmement structurée, révélant ainsi l’ampleur des menaces auxquelles se heurte le secteur.

Un paysage hétérogène couplé à une maturité en cybersécurité très insuffisante

Un autre aspect à prendre en compte est l’hétérogénéité de l’industrie de l’eau. Elle comprend différents acteurs : régies, syndicats intercommunaux, sociétés privées et structures mixtes. Chacun a des niveaux de maturité en cybersécurité très variés. La diversité des tailles et des installations, souvent vieillissantes et dispersées, crée un terrain favorable pour les attaquants.

L’ANSSI recommande vivement que la généralisation de la télégestion pour optimiser la maintenance de ces infrastructures fasse l’objet d’une sécurisation adaptée. Il est alarmant de noter que de nombreux systèmes continuent de recourir à des protocoles de sécurité faible comme ModBus et Com7 pour leurs systèmes de contrôle industriel (ICS).

L’hakctivisme et les risques géopolitiques : un enjeu croissant

Le rapport de l’ANSSI met également en lumière le risque géopolitique croissant dans le secteur de l’eau. Avec l’augmentation de l’hakctivisme, les événements récents, notamment pendant les Jeux Olympiques, soulèvent des inquiétudes. En mars 2024, un groupe se réclamant de Cyber Army of Russia a revendiqué la prise de contrôle à distance d’une centrale hydroélectrique à Courlon-sur-Yonne, en France. Bien que les attaquants aient ciblé, en fin de compte, un moulin particulier dans la Marne, la menace reste réelle.

Des groupes de cyber-espionnage et des entités soutenues par des États continuent de s’implanter dans les infrastructures avec l’intention de perturber les activités. Ces observations accrues soulignent l’urgence d’une crise de confiance envers la gestion de l’eau.

Vers une réponse structurée : Recommandations de l’ANSSI 

Face à un tableau aussi préoccupant, les équipes de Vincent Strubel formulent plusieurs recommandations cruciales pour mitiger ces risques. La cybersécurité dans le secteur de l’eau doit s’intensifier, adoptant des normes plus strictes et des systèmes de prévention plus robustes.

En conclusion, le secteur de l’eau, essentiel à notre mode de vie, se retrouve à un carrefour critique. La cybersécurité ne peut plus être négligée. Les acteurs de l’industrie doivent prendre des mesures proactives et adaptées pour garantir la sécurisation de leurs infrastructures. Le chemin est long, mais une sensibilisation accrue et un investissement dans la cybersécurité sont désormais indispensables pour garantir l’intégrité de nos ressources en eau.