Renforcer la cybersécurité des infrastructures d’eau et d’assainissement

Les services d’eau potable et d’assainissement sont confrontés à une augmentation soutenue des cyberattaques visant les infrastructures critiques, en raison de la connectivité croissante des systèmes et de la sophistication des menaces. Les cybermenaces ciblant les technologies opérationnelles (OT) de ces secteurs peuvent perturber la continuité des services et présenter des risques pour la santé publique et l’environnement, ce qui renforce la nécessité d’évaluations systématiques des vulnérabilités et de mesures d’atténuation tout au long de la chaîne d’approvisionnement numérique des services publics.

Intensification des menaces et cadre réglementaire
Les activités cybermalveillantes visant les systèmes d’eau et d’assainissement ont augmenté d’année en année, une part significative des cyberattaques mondiales déclarées en 2024 ayant ciblé des infrastructures critiques. Les agences fédérales américaines, notamment l’Environmental Protection Agency (EPA) et la Cybersecurity and Infrastructure Security Agency (CISA), insistent sur le renforcement des mesures de cybersécurité pour les opérateurs de services publics. En 2024, des alertes de mise en conformité de l’EPA ont indiqué qu’une majorité des réseaux d’eau inspectés ne respectaient pas les exigences réglementaires en matière de cybersécurité prévues par le Safe Drinking Water Act.

L’environnement de risque auquel sont confrontés les services d’eau reflète des défis sectoriels plus larges, tels que des niveaux de maturité en cybersécurité hétérogènes et des contraintes de ressources, susceptibles d’exposer les systèmes à des exploitations malveillantes en l’absence de mesures proactives.

Évaluation des vulnérabilités en cybersécurité : mécanisme clé
Une pratique fondamentale pour améliorer la résilience consiste à réaliser une évaluation des vulnérabilités en cybersécurité (Cybersecurity Vulnerability Assessment – CVA). Une CVA identifie de manière structurée les faiblesses des systèmes OT et des technologies de l’information (IT), et fournit des recommandations hiérarchisées visant à renforcer le niveau global de sécurité d’un service public. Des outils développés par des organismes sectoriels — tels que l’outil de gestion des risques cyber de l’American Water Works Association, l’outil d’évaluation de la cybersécurité de l’EPA ou le Cyber Security Evaluation Tool de la CISA — permettent aux exploitants de réaliser des autoévaluations et de se comparer aux meilleures pratiques reconnues.

Ces évaluations aident les services d’eau à traiter les vulnérabilités sur l’ensemble de leur chaîne d’approvisionnement numérique, depuis les systèmes SCADA et de contrôle industriel jusqu’aux équipements réseau connectés, en identifiant les écarts par rapport à des cadres de référence tels que le NIST Cybersecurity Framework et les normes ISA/IEC.

Mesures d’atténuation et pratiques opérationnelles
Les recommandations de l’EPA en matière de sécurisation des réseaux d’eau définissent des actions concrètes permettant de réduire l’exposition aux menaces. Parmi les pratiques de base figurent la réduction des connexions inutiles accessibles depuis Internet, le remplacement des mots de passe par défaut des équipements, la réalisation régulière d’analyses de vulnérabilités et la sauvegarde des systèmes OT et IT. D’autres mesures complémentaires incluent la formation du personnel à la cybersécurité, la gestion des correctifs et des changements, ainsi que l’abonnement aux alertes de vulnérabilités publiées par la CISA et l’EPA afin de suivre l’évolution des menaces connues et exploitées.

Il est également recommandé aux services publics d’exiger des fournisseurs et prestataires tiers qu’ils effectuent des analyses de vulnérabilités et des actions correctives avant le déploiement de nouveaux équipements, intégrant ainsi la cybersécurité dès les phases d’approvisionnement et de déploiement des infrastructures numériques et physiques.

Impact opérationnel et résilience
La prise en compte des vulnérabilités est de plus en plus considérée comme un enjeu de continuité opérationnelle plutôt que comme une simple obligation réglementaire. Des pratiques de cybersécurité efficaces peuvent réduire les interruptions de service liées aux incidents, protéger les données opérationnelles sensibles et renforcer la résilience face à des acteurs de menace de plus en plus sophistiqués. En intégrant la cybersécurité dans la planification, l’évaluation et l’exploitation des systèmes — en particulier dans le contexte des dépendances liées à la chaîne d’approvisionnement numérique — les services d’eau améliorent leur capacité à assurer un service sûr et fiable face à l’évolution des risques cyber.

L’adoption de cadres d’atténuation structurés et le recours à des outils d’évaluation reconnus permettent aux exploitants de mesurer leurs progrès dans le temps et de s’aligner sur des normes établies, contribuant ainsi à la conformité réglementaire et à la fiabilité opérationnelle de l’ensemble de l’écosystème de l’eau et de l’assainissement.

www.tetratech.com