L'Anssi plonge dans la cybersécurité du secteur de l'eau

Considéré comme une infrastructure essentielle, le secteur de l'eau intéresse de plus en plus les cybercriminels. L'Anssi dresse un état des lieux de la menace dans ce domaine discret mais sensible.

En février 2021, le piratage du système de traitement des eaux de la ville d’Oldsmar en Floride a mis en lumière la fragilité du secteur de l’eau. Un peu plus de trois ans après, l’Anssi a décidé de se pencher sur la question en publiant un rapport. Dans ce document, on apprend qu’entre janvier 2021 et août 2024, 46 entités du secteur de la gestion de l’eau ont été touchées par un évènement de sécurité. . « Parmi ces entités, 12 sont des opérateurs régulés 3 , représentant 34% des évènements de sécurité traités et 7 ont fait l’objet de multiples évènements de sécurité sur la période étudiée » ajoute l’agence.

Elle constate par ailleurs que ce secteur comme beaucoup d’autres est un terrain de jeu pour des campagnes à but lucratif comme les ransomwares. Cela a été le cas pour BRL (compagnie d'aménagement du Bas-Rhône et du Languedoc), groupe d'ingénierie spécialisé dans la gestion de l'eau et l'environnement, tombé dans les filets de Lockbit. De son côté, le SIAAP (service public de l'assainissement francilien) avait alerté en novembre 2023 sur une attaque « très structurée ».

Un secteur protéiforme avec une maturité en cybersécurité faible

Plusieurs exemples qui montrent l’hétérogénéité du secteur de l’eau. Il existe différents statuts (régie, syndicat intercommunal, société privée, mixte,..), des tailles variées et une maturité diverse sur la sécurité des SI. Si on ajoute à cela des installations industrielles vieillissantes et dispersées, il s’agit d’autant de brèches pour les attaquants. L’Anssi observe que la généralisation de « la télégestion pour optimiser la maintenance des infrastructures physiques réparties sur le territoire » doivent faire l’objet « d’une sécurisation adaptée ». Elle regrette le recours à des protocoles à la sécurité faible comme ModBus et Com7 pour les systèmes de contrôle industriel (ICS).

Dans son rapport, l’Anssi évoque l’aspect géopolitique du secteur de l’eau avec une recrudescence de l’hakctivisme pendant la période des Jeux Olympiques. Ainsi en mars 2024, le groupe Cyber Army of Russia a revendiqué la prise de contrôle à distance de la centrale hydroélectrique de Courlon-sur-Yonne dans le département de l’Yonne en France. L’agence a finalement constaté que les attaquants avaient ciblé un moulin dans la Marne, géré par un particulier. Nonobstant, les groupes de cyber-espionnage ou de sabotage soutenus par des Etats se pré-positionnent dans les infrastructures pour le moment venu déclencher leur charge et perturber les activités. Les équipes de Vincent Strubel donnent plusieurs recommandations pour éviter ces risques ou à tout le moins de s’y préparer.