
Défense des infrastructures : réseaux d'approvisionnement en eau et traitement des eaux usées
Notre premier article sur les infrastructures expliquait pourquoi l'eau, les communications, l'énergie et les transports sont les principaux secteurs d'infrastructure critiques aux États-Unis. Dans cet article, nous examinerons le secteur des réseaux d'approvisionnement en eau et de traitement des eaux usées, ses entités de gouvernance et les acteurs malveillants qui tentent de perturber lesdits réseaux.
Ce secteur assure l'accès à l'eau potable et le traitement approprié des eaux usées. L'Agence de cybersécurité et de sécurité des infrastructures (CISA) nous informe qu'il existe 152 000 réseaux publics d'eau potable aux États-Unis, dont 50 000 réseaux de distribution d'eau communautaires (CWS), et plus de 16 000 réseaux de traitement des eaux usées. Ces réseaux desservent directement la majeure partie de la population américaine. En outre, plus de 100 000 réseaux d'approvisionnement en eau non communautaires ont pour clients des usines, des hôpitaux, etc., et d'autres entreprises disposent de réseaux en interne. L'Agence pour la protection de l'environnement (EPA) est l'agence de gestion des risques sectoriels (SRMA) pour ce secteur.
Malheureusement pour les États-Unis, plus de 70 % des réseaux inspectés par l'EPA depuis septembre 2023 ne respectent pas les exigences du Safe Drinking Water Act (SDWA ; « loi sur la sécurité de l'eau potable ») en matière de cybersécurité. La bonne nouvelle, c'est que nombre de ces violations pourraient être résolues en adoptant de bonnes pratiques de base, comme la modification des mots de passe par défaut, la mise en place de l'authentification multifacteur et l'application du principe du moindre privilège. Étant donné que les installations des infrastructures s'appuient à la fois sur des systèmes informatiques (IT) et des systèmes de technologie opérationnelle (OT) pour fonctionner, ces réseaux deviennent hybrides et sont dotés de failles de sécurité non identifiées. Les opérateurs du secteur de l'eau et des autres services publics doivent s'assurer qu'ils bénéficient d'une visibilité complète sur l'ensemble de leur réseau. Ils requièrent également des politiques de sécurité cohérentes, des solutions uniformes et une segmentation réfléchie de la surface d'attaque, en expansion.
Outre l'absence de bonnes pratiques de base en matière de cybersécurité, de nombreux opérateurs de réseaux d'approvisionnement en eau n'ont pas complété les évaluations des risques et de la résilience (RRA) et les plans de réponse aux incidents (ERP) obligatoires. L'EPA décrit la finalité des RRA et des ERP comme suit :
« Votre RRA peut identifier les ouragans comme représentant un risque majeur pour votre service public, et proposer des contre-mesures rentables pour réduire ce risque. Votre ERP, sur la base des résultats de la RRA, décrit ensuite les processus et procédures pouvant être mis en œuvre afin d'atténuer les différents impacts des ouragans (p. ex., les inondations) sur votre service public. »
Depuis le 1er juin 2024, l'EPA a accru ses inspections et ses mesures coercitives à l'encontre des entités non conformes.
Acteurs malveillants
Les acteurs malveillants soutenus par un État ne sont pas les seuls groupes à s'attaquer aux réseaux d'approvisionnement en eau, mais ce sont actuellement ceux dont on parle le plus. En voici quelques exemples :
Filiales russes :
Des groupes d'hacktivistes tels que People's Cyber Army (PCA) et Z-Pentest ont ciblé des vulnérabilités dans les logiciels d'informatique virtuelle en réseau (VNC), les logiciels propriétaires de contrôle de l'eau, les systèmes de contrôle industriel (ICS) et les équipements réseau tels que les pare-feu. Ils s'attaquent également à d'autres infrastructures critiques dans les secteurs énergétique, alimentaire et agricole ainsi qu'aux barrages. Ils ont réussi à reconfigurer les paramètres de fonctionnement des systèmes de contrôle et à modifier les mots de passe administrateur pour bloquer l'accès des opérateurs légitimes.
L'acteur malveillant Sandworm est officiellement désigné comme l'« unité militaire 74455 » et opère en tant qu'unité de cyberguerre au sein de l'agence de renseignement militaire russe. Le groupe Cyber Army of Russia Reborn (CARR) est lié à Sandworm mais opère de manière plus imprudente et agressive. Certains experts estiment que l'agence de renseignement militaire russe a créé CARR pour mener des attaques inadaptées à Sandworm, plus sophistiqué. Les deux acteurs malveillants ciblent les systèmes des infrastructures critiques et les contrôleurs de systèmes.
L'une des attaques les plus graves s'est produite à Muleshoe, au Texas, en janvier 2024. Muleshoe se situe à moins de 65 km de la base aérienne militaire de Cannon, qui abrite le Commandement des opérations spéciales de l'US Air Force et la 27e escadre de chasse, une unité des forces spéciales. Les acteurs malveillants ont réussi à reconfigurer les systèmes de contrôle et à provoquer le débordement d'un réservoir d'eau. Les attaquants ont utilisé la même stratégie contre les villes voisines d'Abernathy, de Hale Center et de Lockney, et ont publié des vidéos où on les voyait interagir avec des systèmes de contrôle de l'eau.
Des chercheurs de Mandiant ont attribué ces attaques à Sandworm, bien qu'elles aient été revendiquées par CARR. Vous pouvez en savoir plus sur ces attaques en suivant ce lien.
Affiliés iraniens :
L'acteur malveillant Cyber Av3ngers serait proche du Corps des gardiens de la révolution islamique (CGRI) d'Iran. Initialement considéré comme un groupe hacktiviste indépendant, Cyber Av3ngers a été associé au CGRI en raison « des liens établis avec des campagnes de piratage précédemment identifiées, des cibles, et d'autres informations confidentielles. » Le CGRI compterait également des acteurs malveillants qui opèrent au sein même de leur Commandement cyber-électronique (CCE).
Cyber Av3ngers et les hackers du CCE ont ciblé des contrôleurs logiques programmables (PLC) et d'autres technologies opérationnelles (OT) pour compromettre les réseaux américains d'approvisionnement en eau. Il s'agit d'une attaque classique contre les chaînes logistiques des infrastructures américaines par le biais d'exploits sur un PLC tiers vulnérable. Les PLC vulnérables étant fabriqués en Israël, le groupe Cyber Av3ngers en profite pour cibler à la fois les États-Unis et Israël en une seule attaque.
« Vous avez été piratés, à bas Israël. Tout équipement fabriqué en Israël est une cible légitime pour CyberAv3ngers. »
D'après les chercheurs, le groupe mène des attaques opportunistes de faible niveau ciblant des équipements fabriqués en Israël. D'autres études montrent que les acteurs malveillants gagnent en sophistication et utilisent le malware personnalisé IOCONTROL pour infiltrer les réseaux d'approvisionnement en eau et les stations-service.
Acteurs affiliés à la République populaire de Chine (RPC) :
La RPC possède une force cyber sophistiquée, organisée en unités militaires et civiles. L'Armée populaire de libération (APL ; l'armée nationale de la RPC) contrôle les unités militaires, qui ciblent les entreprises de satellites et de communications aux États-Unis, au Japon et en Europe. Outre les unités militaires, plusieurs dizaines de milliers de citoyens participent aux activités d'attaque et de défense. Le nombre considérable d'acteurs malveillants militaires et civils ainsi que leur alignement idéologique font de la force cyber de la RPC l'une des plus redoutables au monde.
Le bureau du Directeur du renseignement national des États-Unis rapporte que les attaques affiliées à la RPC comptent parmi « les menaces les plus importantes et persistantes contre la sécurité nationale des États-Unis ». Cela s'explique en grande partie par le volume des attaques et la sophistication des menaces persistantes avancées (APT) que soutient la RPC. La Chambre des représentants des États-Unis a approuvé à l'unanimité la résolution 9769, qui établira un groupe de travail « en vue de s'attaquer aux menaces de cybersécurité que représentent les cyber-acteurs étatiques liés à la RPC. »
L'acteur malveillant Salt Typhoon de la RPC fait actuellement la une de l'actualité pour son attaque massive contre les réseaux de télécommunications américains. Les hackers de Salt Typhoon sont versés dans l'utilisation des techniques Living-off-the-Land (LotL) pour maintenir la persistance et la furtivité de leurs attaques. À l'heure actuelle, ils ne sont pas liés à des attaques sur les réseaux d'approvisionnement en eau, mais tous les secteurs dépendent de communications fiables. Les autorités ont alerté l'ensemble des secteurs et des industries afin qu'ils luttent contre cette menace.
En début d'année, les autorités américaines ont découvert que l'acteur malveillant Volt Typhoon, affilié à la RPC, maintenait un accès au sein de systèmes d'infrastructure clés depuis au moins cinq ans. Ce groupe s'engage dans une activité de « pré-positionnement », ce qui signifie qu'il place ses pions en vue de mener de futures attaques. Grâce à ces acteurs malveillants, la RPC a un accès immédiat aux infrastructures américaines, qu'elle peut exploiter à sa guise. Volt Typhoon attaque tous les secteurs d'infrastructure, en particulier l'énergie, les communications, les transports et l'eau.
L'acteur malveillant BlackTech a ciblé des systèmes gouvernementaux, de nombreux secteurs d'infrastructure et des entités qui soutiennent les armées des États-Unis et du Japon. Ce groupe est réputé pour sa longévité ainsi que pour son vaste inventaire de malwares personnalisés et de mécanismes de persistance. BlackTech cible les pare-feu vulnérables qui protègent les bureaux à distance ou les succursales des grandes entreprises. Une fois dans le système, ils tentent de se fondre dans le trafic réseau, de migrer vers des réseaux plus vastes et d'élever leurs privilèges jusqu'à obtention du contrôle administratif complet des actifs ciblés.
En septembre 2023, un bulletin d'alerte conjoint émanant des autorités américaines et japonaises a averti le public en ces termes :
« BlackTech a démontré ses capacités à modifier le firmware des routeurs sans être détecté et à exploiter les relations d'approbation de domaine des routeurs pour passer des filiales internationales aux sièges sociaux des organisations au Japon et aux États-Unis, ses principales cibles. »
L'Agence nationale de sécurité des États-Unis (NSA) s'est jointe à d'autres agences de sécurité pour prévenir le public de l'existence de ces menaces.
Défis en matière de sécurité des réseaux d'approvisionnement en eau et de traitement des eaux usées
Les contraintes budgétaires, les systèmes hérités ou en fin de vie et les vulnérabilités des chaînes logistiques constituent des défis pour l'ensemble des secteurs, et les conseils en vue d'atténuer ces risques seront similaires pour tous. Cependant, la fragmentation des infrastructures liées à l'eau présente des difficultés uniques.
92 % des réseaux communautaires sont des petits réseaux publics d'approvisionnement en eau (PWS) qui desservent moins de 10 000 clients. La plupart des petits fournisseurs de PWS desservent moins de 500 clients, ce qui suscite l'intérêt des acteurs malveillants en quête de cibles faciles. Souvent, les petits réseaux disposent de moins de ressources et d'expertise dans le domaine de la cybersécurité, d'où l'importance des bonnes pratiques de base en matière de cybersécurité. Une gestion disciplinée et cohérente des correctifs et de la sécurité des identifiants peut combler de nombreuses failles dans ces réseaux.
« Le risque communautaire lié aux cyberattaques inclut la possibilité qu’un pirate prenne le contrôle des opérations d’un système afin d'endommager l’infrastructure, de perturber la disponibilité ou le débit de l'eau, ou de modifier les niveaux de produits chimiques, ce qui pourrait entraîner le déversement d'eaux usées non traitées dans un cours d'eau ou la contamination de l'eau potable fournie à une communauté », indique un porte-parole de l'EPA, cité par CNBC dans « L'eau potable américaine en butte à des attaques soutenues par la Chine, la Russie et l'Iran ».
Conseils aux opérateurs de réseaux d'approvisionnement en d'eau
« Le secteur de l'eau est l'un des moins avancés en matière de sécurité », indique Adam Isles, responsable des pratiques de cybersécurité pour le Chertoff Group, cité par CNBC dans « L'administration Biden et les ports américains se préparent face aux risques de cyberattaques dans un contexte de ciblage croissant de l'infrastructure nationale ».
L'EPA, la CISA et d'autres agences ont publié des meilleures pratiques et d'autres directives à l'intention du secteur des infrastructures :
- Sécurité réseau: limitez la connectivité Internet des appareils de technologie opérationnelle (OT) tels que les contrôleurs et les terminaux distants. Si possible, maintenez la segmentation entre les systèmes IT et OT.
- Contrôle d'accès et authentification : modifiez immédiatement les mots de passe par défaut et appliquez des mesures de contrôle d'accès strictes, y compris l'authentification multifacteur (MFA), dans la mesure du possible. Déployez une solution Zero Trust qui protège l'accès à tous les systèmes IT et OT.
- Gestion des actifs : maintenez un inventaire à jour des actifs IT et OT pour comprendre ce qui doit être protégé. Donnez la priorité aux appareils présentant un risque élevé, tels que les appareils automatisés ou connectés à Internet.
- Sauvegarde et récupération : effectuez régulièrement des sauvegardes des systèmes IT et OT en vous basant sur la règle 3-2-1 du NIST. Testez régulièrement les procédures de sauvegarde et surveillez le système pour détecter les nouveaux partages de fichiers et les emplacements de stockage de données qui pourraient être en dehors du jeu de sauvegardes actuel.
- Gestion des vulnérabilités : atténuez les vulnérabilités connues et appliquez les correctifs et les mises à jour de sécurité dès que possible. Priorisez les correctifs en fonction du catalogue des vulnérabilités exploitées connues (KEV) de la CISA.
- Formation et sensibilisation : sensibilisez le personnel et les sous-traitants à la cybersécurité et formez-les aux meilleures pratiques. Apprenez aux employés à reconnaître et à éviter les tentatives d'hameçonnage.
- Planification de la réponse aux incidents : développez et testez des plans de réponse et de récupération en cas d'incident de cybersécurité. Établissez des procédures d'urgence et de réalisation d'opérations manuelles sur les systèmes automatisés si ces derniers sont compromis.
Retrouvez d'autres conseils de l'EPA en matière de sécurité ici.
Recommandations au public
La CISA et d'autres agences ont également émis des recommandations à l'intention du public, des pratiques courantes de cybersécurité aux conseils relatifs à l'utilisation des infrastructures.
- Adoptez de bonnes pratiques de cybersécurité chez vous, surtout si vous utilisez des compteurs d'eau intelligents ou des équipements de gestion de l'eau connectés à Internet. Cela inclut l'utilisation de mots de passe forts et l'authentification multifacteur (MFA) pour tous les comptes liés aux services de distribution de l'eau.
- Signalez les comportements suspects près des installations de distribution et de traitement de l'eau. Il pourrait s'agir de sources d'eau, de stations de traitement, de systèmes de distribution ou d'autres éléments de l'infrastructure. L'entité d'administration peut être une autorité locale ou un fournisseur d'eau.
- Contactez les responsables locaux et les services publics pour découvrir les défis auxquels doit faire face le réseau d'approvisionnement en eau dans votre communauté. Plaidez pour l'augmentation des ressources en cybersécurité là où c'est nécessaire.
Les utilisateurs et les employés des réseaux d'approvisionnement en eau doivent soigneusement protéger leurs identifiants. Les pirates cibleront stratégiquement les individus pertinents dans le cadre de l'attaque de plus grande envergure qu'ils ont prévue. Nous l'avons constaté à maintes reprises, notamment il y a peu de temps, lorsque des acteurs malveillants du CGRI ont ciblé des individus ayant « un lien avec les affaires de l'Iran et du Moyen-Orient, tels que de hauts fonctionnaires actuels ou anciens, des membres de groupes de réflexion, des journalistes, des activistes et des lobbyistes. Plus récemment, le FBI a observé que ces acteurs ciblaient des personnes associées aux campagnes politiques américaines. »
Ce même type de menace est utilisé contre les individus affiliés aux réseaux d'approvisionnement en eau et à d'autres infrastructures. Les infrastructures critiques représentent un enjeu de sécurité nationale. Chaque opérateur de ces réseaux devrait encourager une culture de sensibilisation à la sécurité et promouvoir les bonnes pratiques en matière de cybersécurité.
Notre prochain article de blog sur les infrastructures traitera du secteur des communications. Si vous souhaitez en savoir plus sur les infrastructures critiques, le site officiel américain propose de nombreuses ressources.

Rapport 2025 sur les ransomwares
Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée
Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter