Les cyberattaques visant les infrastructures connectées de stockage, de distribution et de retraitement des eaux se multiplient, causant des dégâts importants pour les municipalités aux conséquences parfois dramatiques. Car l’eau est une ressource vitale à protéger. Second papier d’une série d’articles consacrés aux enjeux de cybersécurité dans les villes connectées et smart cities.
Un cyber-criminel tente d'effacer les programmes informatiques en charge de la purification de l’eau potable et menace d’empoisonner les habitants des villes alentour. Il ne s’agit pas du scénario catastrophe tiré d’un roman d’anticipation, mais bien de ce qui est arrivé à une installation de traitement des eaux dans la baie de San Francisco en janvier 2021, comme le relate le NBC News. Un mois plus tard, nouvel exemple avec une attaque cyber contre le système d’approvisionnement en eau d’une petite ville de Floride. Avec l’accroissement de la population et l’augmentation de la température due au réchauffement climatique, la question de la gestion de l’eau est devenue un enjeu de civilisation, qu’il s’agisse du retraitement des eaux usées, du stockage de l’eau propre ou encore de sa distribution. Avec l’interconnexion de ces infrastructures, ces réseaux et équipements sont devenus des cibles de choix pour les cyber-criminels.
Les risques cyber liés à la gestion de l’eau
Gestion de la température et de la pression, optimisation de la qualité des eaux grâce au suivi en temps réel des différents composants chimiques, détection des fuites et maintenance prédictive, amélioration de la durabilité et de la rentabilité des services de gestion, compteurs intelligents : les applications connectées pour la gestion de l’eau sont multiples et renforcent la sécurité sanitaire. Mais est-ce au détriment de la sécurité numérique ? Car la plupart de ces applications reposent sur une configuration qui s’est particulièrement développée depuis la pandémie de COVID-19 : la maintenance à distance. Une avancée sur le plan de la gestion du service public, mais qui augmente la surface d’attaque et constitue une menace sur le plan de la cybersécurité. Ces dernières années, la gestion à distance a conduit à une multiplication des intrusions et des attaques sur les systèmes connectés. Il faut dire que les points de vulnérabilités des interfaces de maintenance à distance sont nombreux. Ils dépendent à la fois de la surface d’interconnexion des infrastructures et de la robustesse des technologies choisies. Des caractéristiques très hétérogènes en fonction des villes, souligne une étude du laboratoire chargé de la cybersécurité de l’université de Berkeley.
Les acteurs de l’industrie de l’eau sont multiples et se répartissent sur un cycle long, depuis le réseau d’assainissement des eaux usées et le réseau des eaux pluviales jusqu’au réseau d’eau potable et lieux de consommation ou d’utilisation. Niveau technologie, les systèmes industriels de gestion de l'eau disposent d'équipements opérationnels variés tels que les systèmes de contrôle du processus industriel (ICS, Industrial Control System), les interfaces homme-machine (IHM), en passant par les automates programmables industriels (PLC) et les plateformes cloud. Or, toutes ces technologies sont vieillissantes, souvent disparates et créent une surface d'attaque vaste et complexe. À cela s'ajoute de vraies divergences de maturité entre les entités de cette industrie de l’eau, où les châteaux d’eau font figure de rares bons élèves. Leurs réseaux OT sont distribués à travers le territoire mais doivent rester connectés. Chez les autres acteurs du cycle de l’eau, il est ainsi fréquent de constater un manque de segmentation dans les réseaux industriels, encore conçus en architecture « à plat » et vulnérables à la propagation de malwares. Les systèmes d'exploitation des différents postes de supervision et de programmation peuvent être une autre porte d’entrée pour les cyber-criminels, souvent pointés du doigt pour un manque de mises à jour régulières.
Au-delà des dommages sanitaires pour les habitants, une cyberattaque réussie contre le système de gestion des eaux pourrait aussi mener à un désastre environnemental. Dans l'éventualité où un cyber-criminel réussirait à infiltrer les systèmes de gestion, il pourrait par exemple intervenir auprès des vannes et modifier la composition de l’eau. Une autre conséquence fortement redoutée quand il est question du monde de l’eau est l'interruption du service ; essentiel à la vie quotidienne. Conséquences potentielles : des séries de situations d'urgence, notamment dans les hôpitaux, usines et autres services critiques, où l'eau est indispensable.
Anatomie des cyberattaques visant les infrastructures d’eau
Ces dernières années, les méthodes des cyber-criminels visant les infrastructures de gestion des eaux ont su se singulariser par leur diversité. La première est celle de la technique dite du man-in-the-middle consistant à interrompre, falsifier ou corrompre les communications entre des interfaces connectées, comme celles localisées sur une vanne d’eau intelligente ou celles présentes au sein des sites de retraitement des eaux. Il est possible d’imaginer le cas d’un détournement des flux d’eaux usées suite à la compromission d’un automate qui aboutirait à un phénomène de pollution par leur rejet massif dans le bassin des eaux propres. Et ce type de scénario n’est plus hypothétique, mais bien une réalité. Pour preuve, ces dernières années ont été émaillées d’incidents dont les conséquences auraient pu être dramatiques.
En 2020, Israël, pays déjà en situation de stress hydrique due à sa géographie, a été confronté à trois cyberattaques majeures. En avril de cette année, des cyber-criminels, soupçonnés d'être liés au régime iranien, ont lancé des attaques contre plusieurs stations de pompage et de traitement des eaux usées, tentant d'augmenter le niveau de chlore dans certains systèmes d'approvisionnement en eau de la population. Quelques mois plus tard, en juin, la situation s'est aggravée lorsque des attaques similaires ont visé des pompes à eau dédiées à l'agriculture dans la région de Galilée, ainsi qu'un système d'approvisionnement en eau de la province de Mateh Yehuda. Un scénario qui se répète en décembre avec une nouvelle cyberattaque sur les installations de traitement de l'eau.
L’Europe n’est évidemment pas épargnée dans cette cyber-guerre de l’eau. En France, en 2023, le Service public de l'assainissement francilien qui gère l’approvisionnement en eau des 9 millions d’habitants de la métropole du Grand Paris, a déclaré avoir été victime d’une cyberattaque « étendue et virulente » visant le pilotage de ses réseaux et usines. La même année, une entreprise italienne fournissant de l’eau potable pour près d’un demi-million de personnes a dû faire face à une interruption de service due à une attaque par ransomware. Et une attaque similaire a perturbé le fonctionnement d’une infrastructure de gestion de l’eau au Portugal, à quelques mois d’intervalles. L’attaque a été revendiquée par le groupe de cyber-criminels LockBit.
Aux États-Unis, la menace sur les services des eaux est si sérieuse que plusieurs agences gouvernementales, dont le FBI et la NSA, enquêtent sur cinq des plus grosses attaques ayant visé des infrastructures américaines. En 2023, un groupe de cyber-criminels iraniens opérant sous le nom “CyberAv3ngers” aurait ainsi visé des automates fabriqués par l’entreprise israélienne Unitronics Vision Series, en utilisant une faille liée à des mots de passe. Au total, plus d’une douzaine d’infrastructures liées à la gestion des eaux auraient été touchées, rapporte un site spécialisé.
Quelles mesures de protection les smart cities doivent-elles adopter ?
Face à ce constat, une première réponse étatique a été apportée avec une réglementation plus stricte. En France, les infrastructures de gestion de l'eau, au même titre que l'énergie et les transports, sont considérées comme des Opérateurs d'Importance Vitale (OIV) et doivent dès lors se conformer aux exigences de cybersécurité de la Loi de Programmation Militaire (LPM). Au niveau européen, la directive NIS2 élargit le périmètre d'application des infrastructures critiques en intégrant les secteurs de l'approvisionnement en eau. Ce nouveau texte s'appliquera à la fois aux collectivités et aux entreprises, pour renforcer et coordonner les efforts en matière de gestion des cyberattaques. Un durcissement législatif nécessaire, étant donné l’intégration toujours plus conséquente des technologies au sein des environnements urbains. Qu'il s'agisse de maintenance prédictive avec l’utilisation de capteurs intelligents sur le réseau d'eau afin d’anticiper les fuites ou encore la gestion à distance des infrastructures de l’eau, la Smart City doit ainsi garantir sa cybersécurité pour accompagner ces nouveaux usages et améliorer sa posture de résilience.
Au niveau des collectivités, les mesures de protection sont autant des bonnes pratiques d’hygiène numérique que la mise en place concrète de solutions de cybersécurité adaptées. Comme dans les autres secteurs sensibles, la question de l’accessibilité aux informations est fondamentale et la mise en place de systèmes de contrôle pour limiter l'accès aux données critiques est une première évidence. N’ouvrir les accès qu'au personnel autorisé et supprimer ces accès après le départ d’une personne de l’entreprise ne sont pour autant pas toujours des acquis dans toutes les entreprises… Puisque les accès se sont de plus en plus à distance, les acteurs du secteur de l’eau doivent s’assurer que ces flux de communications soient correctement protégés, c’est-à-dire chiffrés et accessibles uniquement pour des utilisateurs authentifiés. Pour cela, les solutions de chiffrement des données et les tunnels VPN sont de précieux alliés pour assurer des communications sûres et intègres.
En complément à la protection des données, celle des postes de travail (sur lesquels sont souvent installés les outils de pilotage) et des IHM déportés ne doit pas non plus être négligée. Les solutions de protection les plus robustes et modernes permettent d’éviter leur prise en main malveillante à distante ou leur contamination par une simple clé USB.
Concernant les réseaux IT et OT des Smart Cities, différents niveaux de solutions de cybersécurité existent déjà pour assurer leur étanchéité aux attaques. La segmentation réseau est un premier niveau de sécurité, à rapidement mettre en place ; en séparant les différentes zones d’un réseau et en filtrant les communications entre ces zones, il est possible de limiter les interactions et donc la propagation d’une cyberattaque. Une segmentation qui se fait à l’aide d’un routeur, intégré dans un firewall disposant des fonctions de sécurité suivantes : protection en temps réel (prévention et détection d'intrusion, contrôle applicatif, antivirus...), contrôle et supervision (filtrage d'URL, géolocalisation des IP, détection de vulnérabilités...) connectivité (gestion des liens WAN, gestion des tunnels VPN, gestion de la bande passante…) ou encore communications sécurisées (VPN IPsec, VPN SSL…). Concernant ces firewalls et leur version physique, il vous faudra porter une attention particulière à leurs capacités d’intégration et de réponse aux fortes contraintes de l’industrie de l’eau (comme l’humidité par exemple).
La nécessité de s’équiper et de durcir l’arsenal de protection des infrastructures de gestion de l’eau dans les smart cities se mesure donc à la gravité des conséquences qu’une cyberattaque réussie pourrait engendrer. Et alors que les conflits sont déjà nombreux dans le cyber-espace, la raréfaction de la ressource qu’est l’eau fait planer une autre menace géopolitique, toute aussi réelle, pour les États. L’eau et sa protection deviennent plus que jamais un enjeu politique.
