
Les réseaux de distribution d'eau et de traitement des eaux usées dans le collimateur
Les cyberattaques contre les systèmes de distribution d’eau et de traitement des eaux usées ont fait la une de l’actualité, de même que les mesures prises et les conseils proposés par les pouvoirs publics pour améliorer la cybersécurité dans l’ensemble de ce secteur.
Le secteur de la distribution d’eau et du traitement des eaux usées partage toutes les vulnérabilités potentielles communes à d’autres grands systèmes d’infrastructure, qui se basent à la fois sur d’anciennes technologies opérationnelles (OT) et des IoT/IT modernes. Cela peut permettre aux cybercriminels et aux acteurs étatiques malveillants de pénétrer et de saboter les réseaux et les systèmes.
Mais par rapport à d’autres systèmes d’infrastructure, la prise de contrôle d’un système de distribution d’eau et de traitement des eaux usées présente des risques importants et propres au secteur. La simple fermeture d’un réseau municipal de distribution d’eau peut entraîner une situation chaotique et dangereuse, qui nécessite une puissante intervention en urgence.
Si des cyber-saboteurs parvenaient à contaminer un approvisionnement local en eau, comme cela a été tenté en Floride et à San Francisco en 2021, les conséquences pourraient être réellement dévastatrices.
Action, réaction, rétractation du gouvernement
En mars 2023, l’Agence américaine de protection de l’environnement (EPA) a publié un mémorandum en réponse à un nombre croissant de cyberattaques sur des systèmes d’infrastructure publics et privés, y compris dans le secteur de la distribution d’eau et du traitement des eaux usées. Ce document établit des exigences détaillées pour les opérateurs des réseaux publics d’eau afin qu’ils procèdent à des évaluations de la cybersécurité dans le cadre des révisions sanitaires annuelles de leurs systèmes.
Puis l’affaire a pris une tournure politique. L’Arkansas, l’Iowa et le Missouri ont répondu au mémorandum en engageant des poursuites contre l’EPA, l’accusant d’outrepasser son autorité. Une cour d’appel fédérale a suspendu la règle, et l’EPA a publié un nouveau mémorandum en octobre 2023 avant de retirer le mémorandum précédent.
De nouvelles attaques, une attention accrue
Puis, en novembre 2023, deux attaques très inquiétantes ont encore attiré l’attention sur la menace qui pèse sur les réseaux de distribution d’eau. Rapidement, l’autorité des eaux et des égouts d’Aliquippa, en Pennsylvanie, et le district municipal des eaux du nord du Texas ont été touchés.
Les autorités d’Aliquippa ont été frappées par un cybergang basé en Iran, appelé Cyber Av3ngers. Son objectif était de choisir des victimes qui utilisaient des composants industriels et des logiciels fabriqués en Israël. Un seul système de pompage a été touché, et le personnel a été en mesure de contrer la menace sans que cela n’affecte la prestation des services.
En revanche, le district du nord du Texas a été victime d’une attaque par ransomware lancée par le cybergang Daixin Team, qui affirme avoir volé près de 34 000 fichiers, dont des noms, des dates de naissance, des numéros de dossier médical et des numéros de sécurité sociale. Encore une fois, la prestation des services n’a pas été affectée par l’attaque.
Nouvelles lignes directrices pour les organismes fédéraux
Enfin, en janvier de cette année, le FBI, l’EPA et l’Agence de cybersécurité et de sécurité des infrastructures (CISA) ont collaboré pour produire un guide des meilleures pratiques en matière de cybersécurité pour le secteur de la distribution d’eau et du traitement des eaux usées.
Les conseils fournis se divisent en quatre sections :
- Préparation — Comment développer, mettre en œuvre et appliquer un plan efficace de réponse aux incidents.
- Détection et analyse — Mise en œuvre de mesures techniques pour détecter les intrusions et analyser les journaux des événements afin de comprendre rapidement l’étendue et la portée d’un incident de cybersécurité.
- Confinement, éradication et restauration — Utiliser des moyens techniques pour isoler les systèmes concernés, éradiquer les malwares et rétablir les systèmes tels qu’ils étaient avant l’incident.
- Activités après l’incident — Conservation et utilisation des données relatives aux incidents pour améliorer les efforts de sécurité et remédier aux éventuelles lacunes du plan de réponse aux incidents et/ou de son exécution.
Il s’agit d’un guide général qui ne se focalise pas sur l’aspect technique et n’impose ni ne requiert aucune action, probablement en raison du risque politique lié à l’imposition de règles, comme l’a tenté l’EPA en mars. Il est donc très utile au niveau de la planification administrative et organisationnelle. Mais il ne vous donne pas de conseils détaillés sur les solutions et les technologies à adopter pour mettre en œuvre les meilleures pratiques qu’il décrit.
L’EPA propose d’autres ressources très utiles (résumées dans cette fiche d’information) pour aider les organisations du secteur de la distribution d’eau et du traitement des eaux usées dans leurs efforts de cybersécurité.
Ds mesures concrètes
Rien qu’aux États-Unis, il existe environ 50 000 systèmes indépendants de distribution d’eau et de traitement des eaux usées, dont la taille et les ressources varient considérablement. Un financement limité les oblige à choisir des investissements de grande valeur en matière de cybersécurité. Le fait de ne pas disposer d’un personnel informatique suffisamment qualifié signifie que ces organisations privilégient les systèmes qui se basent sur l’automatisation et l’intégration pour simplifier les choses.
Afin de prévenir et de détecter les intrusions sur le réseau et d’y réagir, une plateforme de sécurité réseau complète et intégrée telle que Barracuda Network Protection peut être un très bon point de départ. Sa structure modulaire est facile à développer au fil du temps en fonction du budget disponible.
Les capacités de sécurité industrielle (IoT/OT) facilitent la sécurisation à grande échelle des appareils industriels connectés à Internet. Les protocoles Zero Trust Access avancés réduisent considérablement les risques d’accès non autorisés à vos systèmes et à vos réseaux. En outre, la conception hautement intégrée de la plateforme, construite autour de la solution puissante et polyvalente Barracuda CloudGen Firewall, vous offre une visibilité unique sur l’ensemble de votre infrastructure.

Rapport 2025 sur les ransomwares
Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée
Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter