Les technologies anciennes arrivent en fin de vie, et face à des systèmes de plus en plus digitalisés et à une cybercriminalité de plus en plus acharnée, les compagnies des eaux se trouvent exposées à des risques importants.
La mission d’une compagnie des eaux est claire : garantir la fiabilité et la sécurité de l’approvisionnement en eau des foyers et des entreprises. Or, dans un univers de plus en plus digitalisé, ces principes sont menacés.
Car le nombre de cyberattaques dans le monde est en hausse et les cybercriminels se perfectionnent chaque jour un peu plus. Et les services de l’eau sont une cible courante, au même titre que les usines, les transporteurs et les fournisseurs d’énergie.
Le lundi 19 août, South Staffordshire Water, qui contrôle l’approvisionnement en eau d’environ 1,6 million de personnes, a confirmé avoir été victime d’une attaque de ransomware. Bien que l’attaque semble s’être limitée au réseau informatique, le gang affirmait avoir accès au réseau OT (technologie opérationnelle) et notamment aux systèmes de surveillance des niveaux de produits chimiques dans l’eau.
En raison de la sécheresse qui sévit actuellement au Royaume-Uni, le personnel des services de distribution d’eau travaille déjà sous pression pour maintenir un approvisionnement sûr. Nul doute que cette attaque leur a fait perdre un temps précieux.
D’autres attaques contre des services de distribution d’eau dans le monde ont fait la une des journaux ces dernières années. En avril 2020, des cybercriminels ont tenté d’augmenter le niveau de chlore dans cinq installations de l’Autorité israélienne de l’eau. En février 2021, dans un réseau municipal en Floride, un pirate informatique a tenté de faire grimper au-delà des limites de sécurité la quantité d’hydroxyde de sodium.
Une multitude de défis à relever
Aujourd’hui, de nombreuses installations fonctionnent avec des technologies anciennes, qui avaient été conçues pour l’efficacité plutôt que pour la sécurité. Or, à mesure que les compagnies investissent dans la digitalisation et l’automatisation, l’internet industriel des objets (IIoT) et l’hyperconnectivité des systèmes (pour l’accès à distance ou l’analyse) offrent des « surfaces » d’attaque plus importantes. Bien que ces technologies soient porteuses de promesses, notamment en matière d’efficacité, il convient de les installer en privilégiant la sécurité.
Et même si les mentalités changent à l’égard de la cybersécurité industrielle et de la protection des technologies opérationnelles, les services publics de l’eau ont d’autres impératifs à prendre en compte pour faire face aux risques et affecter leurs investissements, notamment la pénurie actuelle de personnel et de compétences.
Le personnel d’exploitation actuel se retrouve souvent face à un dilemme : maintenir le fonctionnement du système, tout en mettant en œuvre des changements de conception et des mises à niveau complexes, ce qui laisse peu de temps pour se concentrer sur la gestion des actifs et des vulnérabilités. Certaines entités mettent en place des politiques répondant de manière superficielle aux exigences de la directive NIS (Security of Network & Information Systems) de 2018, mais ne disposent pas du personnel capable de les mettre en œuvre et d’en assurer la maintenance.
De l’aide à portée de main
Il est plus facile d’assurer la cybersécurité des OT (Operational technologies) quand on comprend pleinement les processus et les systèmes de contrôle. En tant que première entreprise d’automatisation du Royaume-Uni (via la marque Actemium) et acteur majeur dans le domaine des TIC (via Axians) VINCI Energies UK & RoI est particulièrement bien placé pour accompagner les compagnies des eaux du Royaume-Uni souhaitant protéger leurs actifs et de leurs clients.
Nous travaillons avec les entreprises du secteur de l’eau et de l’assainissement pour évaluer l’impact d’une éventuelle cyberattaque sur leur OT et mettre en œuvre des mesures de cybersécurité de manière progressive, en fonction de leur budget et de leur niveau de risque.
La cybersécurité est plus simple à gérer quand elle est intégrée à un système OT dès sa conception, mais nous pouvons assurer aussi la cybersécurité des systèmes de traitement et d’approvisionnement en eau existants de nos clients. Le plus important est de disposer d’une visibilité et de mettre une surveillance en place, pour bien comprendre ce qui se passe dans le réseau et ce qui doit être protégé.
Dans les deux cas, la solution technique n’est qu’une partie de l’équation. Une révision des procédures de l’entreprise est souvent nécessaire, pour établir une gouvernance adéquate et appliquer des politiques permettant de soutenir les contrôles techniques.
13/10/2022