Le domaine de l’eau, perçu comme une infrastructure vitale, attire de plus en plus l’attention des cybercriminels. L’Anssi établit un bilan de la situation concernant le risque dans ce secteur à la fois discret et délicat.

Le piratage du système de traitement de l’eau d’Oldsmar, en Floride, en février 2021, a souligné la vulnérabilité du secteur de l’eau. Trois ans plus tard, l’Agence nationale de la sécurité des systèmes d’information (Anssi) a entrepris d’examiner cette question en produisant un rapport. Ce rapport nous informe que de janvier 2021 à août 2024, 46 organisations du secteur de la gestion de l’eau ont été confrontées à un incident de sécurité. « De ces organisations, 12 sont des opérateurs réglementés 3, représentant 34% des incidents de sécurité traités, et 7 ont subi plusieurs incidents de sécurité pendant la période étudiée », précise l’agence.

L’Anssi note également que ce secteur, comme beaucoup d’autres, est une cible attrayante pour des campagnes à but financier, comme les rançongiciels. C’est ce qui est arrivé à la BRL (compagnie d’aménagement du Bas-Rhône et du Languedoc), une entreprise d’ingénierie spécialisée dans la gestion de l’eau et de l’environnement, qui a été prise au piège par Lockbit. De même, le SIAAP (service public de l’assainissement francilien) a signalé en novembre 2023 une attaque « très organisée ».

Un secteur diversifié avec un faible niveau de maturité en matière de cybersécurité

Plusieurs cas illustrent la diversité du secteur de l’eau. Il existe divers statuts (régie, syndicat intercommunal, entreprise privée, mixte,…), des tailles d’entreprise variées et différents niveaux de maturité en matière de sécurité des systèmes d’information. Lorsque l’on ajoute à cela des installations industrielles anciennes et dispersées, cela crée de nombreuses failles pour les attaquants. L’Anssi note que l’utilisation croissante de la « télégérance pour optimiser l’entretien des infrastructures physiques réparties sur le territoire » doit être « sécurisée de manière appropriée ». L’agence déplore l’utilisation de protocoles à sécurité faible, tels que ModBus et Com7, pour les systèmes de contrôle industriel (ICS).

Dans son rapport, l’Anssi souligne l’aspect géopolitique du secteur de l’eau, avec une augmentation du hacktivisme pendant la période des Jeux Olympiques. Ainsi, en mars 2024, le groupe Cyber Army of Russia a revendiqué le contrôle à distance de la centrale hydroélectrique de Courlon-sur-Yonne, dans le département de l’Yonne, en France. L’agence a finalement constaté que les attaquants avaient visé un moulin dans la Marne, géré par un particulier. Néanmoins, les groupes de cyber-espionnage ou de sabotage soutenus par des Etats se positionnent dans les infrastructures en vue de déclencher leur attaque et perturber les activités au moment opportun. Les équipes de Vincent Strubel fournissent plusieurs recommandations pour éviter ces risques, ou du moins pour s’y préparer.