Des services d'eau et d'assainissement très vulnérables face aux cyberattaques
Dans une note datée du 28 novembre 2024, le CERT-FR (Anssi) alerte sur le manque de protection de certains services d'eau et d'assainissement. Un document qui ne manquera pas d'intéresser les parlementaires amenés à définir le périmètre d'application de la directive NIS 2.
© Adobe stock
Entre janvier 2021 et août 2024, l'Anssi a été notifiée de 46 incidents concernant le secteur de l'eau, dont les trois quarts émanaient de collectivités. La note que vient de publier le CERT-FR dissèque ces événements et la complète d'une revue de sources ouvertes (presse, rapports).
Facturation paralysée
L'analyse s'est concentrée sur le "petit cycle de l'eau" – prélèvement, potabilisation, stockage, distribution, collecte et assainissement – domaine dans lequel les communes et EPCI ont un rôle majeur. Elle met en lumière la vulnérabilité croissante de ce secteur face aux cyberattaques, accentuée par sa transformation numérique et les enjeux géopolitiques. Les experts notent que les impacts portent principalement sur les services administratifs et la supervision, les rançongiciels étant à l'origine des incidents les plus significatifs. Le rapport cite l'exemple d'une commune frappée en avril 2024 par un rançongiciel, ce qui a provoqué la paralysie de la facturation et du système de pilotage de la production d'eau. Si les attaques touchent pour le moment peu les systèmes industriels, l'Anssi relève une tentative de modification des traitements de l'eau aux USA.
Plusieurs facteurs renforcent la vulnérabilité du secteur, au premier rang desquels l'hétérogénéité des acteurs. Car de grands opérateurs privés régulés par l'Anssi cohabitent avec de toutes petites communes sous-dotées en moyens informatiques. Certaines pratiques sont aussi pointées du doigt, telles que la télégestion des services via des réseaux non sécurisés "obsolètes". Quant au recours croissant à des capteurs (IoT), les experts notent que cette tendance renforce "la surface d'attaque" comme "l'exposition aux cyber-risques".
Fragilisation avec le transfert de la compétence aux EPCI
Face à ces constats, l'Anssi souligne l'importance d'une meilleure sensibilisation, d'une coopération accrue entre acteurs publics et privés, ainsi que de l'intégration de la sécurité dès la conception des systèmes. L'agence souligne au passage que le transfert des compétences eau et assainissement vers les EPCI pourrait complexifier la gouvernance et augmenter l'impact des attaques informatiques. Elle enjoint les élus à investir dans la cybersécurité en parallèle du renouvellement des réseaux. L'Anssi plaide enfin pour l'adoption de bonnes pratiques, telles que le cloisonnement des systèmes, la mise en place d'un chiffrement des échanges de données ou encore le durcissement des automates de traitement des eaux. Elle invite les collectivités à renforcer les clauses cyber des DSP et à se doter de plans de réponse aux incidents pour atténuer les risques et accroître la résilience des systèmes.
Ce rapport paraît au moment où le périmètre d'application de la directive NIS 2 doit être discuté au Parlement. Il illustre l'un des dilemmes auxquels va devoir faire face le législateur : chercher à sécuriser toute la chaîne, commune comprise, ou se concentrer sur les seules entités ayant les moyens de le faire.
