Une étude récente de l’ANSSI a dressé un état des lieux des risques qu’encourent les entreprises et collectivités sur la question de l'eau. Et plus d'une trentaine de compromissions touchant des acteurs du secteur de l’eau en France ont été traitées par l’ANSSI depuis 2021, alertant d’une vulnérabilité certaine des services d’eau et d’assainissement. Plus que jamais, les acteurs du secteur de l’eau doivent faire face à des menaces toujours plus complexes et sophistiquées en matière de cybersécurité.
Si des efforts ont déjà été engagés, les organismes doivent toutefois renforcer leur posture défensive, à la hauteur de la criticité du secteur de l'eau.
Faire face aux cyberattaques
Comme tous les autres secteurs industriels, le secteur de l’eau est concerné par des cyberattaques opportunistes. Mais lorsqu’il est directement visé par des cyberattaques délibérées, celles-ci sont bien souvent menées par des acteurs étatiques ou des groupes organisés dont l’objectif est de déstabiliser un pays ou une économie. Car l’eau est une ressource vitale, à caractère critique. Une attaque réussie peut donc avoir des conséquences graves si elle entraine des coupures d’approvisionnement ou bien la contamination de l’eau potable par exemple.
Dans ce contexte, les pouvoirs publics renforcent progressivement les exigences en matière de cybersécurité pour les infrastructures critiques, dont celles du secteur de l’eau. La directive européenne NIS2, qui vient d’être adoptée au Sénat et est à présent entre les mains de l’Assemblée Nationale, devrait imposer aux organismes du secteur de l'eau la mise en place de mesures accrues de gouvernance, de défense, de protection et de résilience face aux cyber-menaces. Si elle vise à mieux protéger les services essentiels contre les cyberattaques, l’application concrète de la directive nécessitera encore l'adoption de plusieurs décrets en Conseil d'État.
S'appuyer sur des guides et recommandations face aux cyber-menaces
Dans cette attente, au-delà de la nécessaire conformité, il est déjà possible de mettre suivre certaines approches pour se protéger des cyber-menaces. Les acteurs du secteur de l’eau peuvent ainsi suivre les recommandations de l’Astee (association incontournable du domaine de l’eau), qui a récemment publié un guide à destination des petites et moyennes collectivités, pour améliorer leur niveau de sécurité. Mais aussi celles de l’ANSSI, à l’image de la défense en profondeur. Cette approche est basée sur plusieurs principes-clés, notamment celui de la segmentation réseau qui permet de cloisonner les différents systèmes pour limiter la propagation d’une attaque en isolant les sous-systèmes. Cela passe par la séparation entre les réseaux IT et les réseaux OT, ces derniers regroupant les systèmes opérationnels qui pilotent des équipements. Mais la segmentation peut également être interne, au sein même des infrastructures opérationnelles.
D’autre part, la mise en place de pare-feux durcis, dédiés à l’univers industriel, et de systèmes de détection des anomalies donne la capacité aux organismes de repérer toute tentative de manipulation des protocoles réseaux ou des commandes des automates. Cette surveillance accrue permet de garantir l’intégrité des processus et d’anticiper toute menace potentielle. L’industrie doit progressivement adopter des solutions plus sécurisées, tout en intégrant les principes de cybersécurité dans chaque étape de l’exploitation. Cela implique un effort continu de modernisation des infrastructures et une mise à jour régulière des systèmes.
De plus, les opérateurs et gestionnaires d’infrastructures doivent être formés aux bonnes pratiques de cybersécurité pour réagir efficacement en cas d’incident. La sensibilisation est essentielle pour développer une culture de la sécurité et améliorer la résilience face aux attaques.
Face à des cyber-menaces de plus en plus sophistiquées, la sécurisation des infrastructures du secteur de l’eau est un enjeu stratégique majeur. La modernisation des systèmes, la segmentation des réseaux, le déploiement de solutions de surveillance avancées et la formation continue des acteurs du secteur sont autant de leviers essentiels pour renforcer la résilience face aux attaques. Si des initiatives ont été mises en place, elles doivent s’intensifier afin de garantir une protection efficace de cette ressource vitale. Une approche proactive et collaborative entre les acteurs publics et privés est indispensable pour faire face à ces défis et assurer la continuité des services d’eau et d’assainissement, dans un contexte numérique en constante évolution et de cyber-menaces omniprésentes.
