Les entités et infrastructures de l'eau touchées par des cyberattaques se comptent par dizaines en France. L'ANSSI (Agence nationale de sécurité des systèmes d'information) fait un état des lieux et lance l'alerte.
Bien qu'étant une ressource vitale, l'eau est aussi une cible pour les cybercriminels. Le secteur de l'eau, longtemps considéré comme intouchable, est désormais visé par de nombreuses attaques informatiques, menées en France et ailleurs. Entre 2021 et 2024, l'ANSSI a recensé 31 compromissions et 46 entités touchées. Les cyberattaques sont généralement portées par des groupes aux motivations variées, souvent des hacktivistes pro-russes qui visent les infrastructures pour gagner de l'argent, et médiatiser leurs actions.
L'eau, un secteur à la fois vital et vulnérable
Le secteur de l'eau est essentiel pour la population et les industries, il n'y a aucun doute là-dessus. L'ANSSI fait néanmoins le constat d'une certaine négligence en termes de sécurité informatique. Les infrastructures anciennes, la dispersion géographique des sites et le faible budget alloué à la sécurité en font des cibles faciles. Les attaquants ne se gênent pas pour exploiter ces multiples faiblesses afin de perturber les services, de voler des données ou même, pire, de saboter les installations.
Les systèmes de télégestion, utilisés pour optimiser la maintenance des infrastructures, sont particulièrement vulnérables. Sans sécurisation adéquate, ils peuvent exposer directement les interfaces métier des équipements industriels. Les intégrateurs de systèmes de contrôle industriels doivent donc trouver un équilibre entre les besoins opérationnels et la sécurité des systèmes d'information.
Ces dernières années, l'adoption de l'industrie 4.0, avec ses capteurs avancés et ses logiciels intégrés, a eu pour conséquence d'augmenter la surface d'attaque. Les protocoles spécifiques aux systèmes de contrôle industriels, souvent faibles en sécurité, sont une porte d'entrée rêvée pour les attaquants. Et l'absence de chiffrement ou d'authentification dans ces protocoles rend les systèmes encore plus vulnérables.
Des attaques souvent motivées par le gain financier
Qu'est-ce qui motive les attaques informatiques contre le secteur de l'eau ? D'après l'ANSSI, les groupes cybercriminels cherchent principalement le gain financier, souvent par le biais de rançongiciels. En 2023 et 2024, plusieurs attaques de ce type ont été signalées, avec des impacts significatifs sur les services administratifs et la distribution de l'eau.
On peut par exemple citer l'attaque du ransomware Babyk/Babuk, en avril 2024. Le système d'information d'une commune française fut chiffré, affectant la gestion de l'eau. Bien que la distribution d'eau soit restée possible, la facturation et le pilotage de la production ont été inopérants, forçant la commune à adopter un mode de fonctionnement dégradé.
Il y a aussi le cas de la compromission de la compagnie d'aménagement du Bas Rhône et du Languedoc (BRL), survenue en mars 2023 : la BRL avait été victime du rançongiciel Lockbit 3.0, perturbant ses systèmes de sauvegarde et ses serveurs, ce qui à l'époque a affecté la possibilité de paiement des clients.
Les hacktivistes ne s'en privent pas non plus
Les hacktivistes, quant à eux, cherchent à déstabiliser les pouvoirs publics et à médiatiser leurs actions. En 2024, des groupes pro-russes ont mené des campagnes de déstabilisation, ciblant les infrastructures de l'eau dans le contexte des Jeux olympiques de Paris. Ces attaques ont souvent exploité des faiblesses simples, comme de banals mots de passe par défaut ou des interfaces exposées sur Internet.
Les cyberattaques étatiques, bien que moins fréquentes, sont aussi une menace. En 2024, des groupes soutenus par des États ont ciblé des infrastructures critiques, cherchant à perturber les opérations et à collecter des informations sensibles. Ce fut le cas en Ukraine, visée par la Russie.
Ces attaques, souvent sophistiquées, visent à se positionner stratégiquement sur les systèmes d'information en vue de futures actions. On a notamment assisté à la perturbation de l'approvisionnement en énergie, en eau et en chaleur dans une dizaine de régions ukrainiennes, il y a quelques mois. Derrière, on retrouve le probable groupe Sandworm pro-russe.
Il faut impérativement renforcer la sécurité du secteur de l'eau
Pour faire face à ces menaces, il est aujourd'hui crucial de renforcer la sécurité des systèmes de gestion de l'eau. Les recommandations de l'ANSSI incluent la mise en place de protocoles sécurisés, l'authentification robuste et le cloisonnement des systèmes. Les interfaces des équipements et SCADA (systèmes de contrôles et d'acquisition des données) ne doivent pas être exposées sur Internet, et des passerelles sécurisées doivent être mises en place.
La sécurisation de la chaîne d'approvisionnement est également essentielle. Les accès des prestataires externes aux systèmes d'information doivent être plus strictement contrôlés. Des procédures de gestion des outils de maintenance et des postes dédiés pour les prestataires peuvent en ce sens aider à réduire les risques.
Enfin, une gouvernance informatique et une approche par les risques industriels et métiers paraissent plus que jamais nécessaires. Les analyses de risques doivent prendre en compte les différents vecteurs d'attaque, de l'accès physique aux équipements à la compromission depuis Internet. Et la sensibilisation des responsables des automates à la sécurité informatique est aussi cruciale pour renforcer la défense en profondeur.
Le secteur de l'eau est en 2024 et sera en 2025 encore une cible de choix pour les cybercriminels, en raison de ses vulnérabilités et de son importance vitale. Pour protéger ces infrastructures critiques, il est essentiel de mettre en œuvre des mesures de sécurité robustes et de sensibiliser tous les acteurs du secteur aux enjeux de la cybersécurité, dès à présent.
