Le secteur de l’eau n’est pas épargné par le risque de cyberattaques, d’autant qu’il s’agit d’une ressource essentielle pour la société. Les exploitants et les collectivités locales disposent toutefois des moyens de protection ad hoc, aussi bien en termes de solutions techniques que de réglementations, de guides de bonnes pratiques, etc.
Ces dernières années, les cyberattaques informatiques ont pris un bien plus grande ampleur qu’à l’époque du virus Stuxnet, utilisé en 2010 pour mettre à mal des centrifugeuses iraniennes d’enrichissement d’uranium. Il ne se passe en effet pas une semaine, aujourd’hui, sans que les médias se fassent l’écho d’une attaque en France. Pour ne prendre que quelques exemples depuis la rentrée 2023, il y a eu les cyberattaques subies par le groupe hospitalier Saint-Vincent situé à Strasbourg (Bas-Rhin), la ville de Morlaix (Finistère), les hôpitaux de Vittel et de Neufchâteau, dans les Vosges, le département du Loiret début novembre ou le SIAAP fin novembre.
Il n’y a toutefois pas que des collectivités locales et des hôpitaux qui sont vulnérables aux attaques de hackers. Des entreprises et des sites industriels peuvent l’être tout autant. «La motivation des hackers dans le secteur de l’eau est élevée et continuera de croître à l’avenir. Son attractivité réside dans le fait que l’eau est une ressource essentielle pour la société et implique la sécurité de la population. Le secteur gère aussi des millions de données de clients. Selon une analyse de la société GHD, environ un quart des systèmes d’approvisionnement en eau dans le monde auront probablement subi une faille de cybersécurité d’ici 2025», affirme Xavier Cardeña, responsable du développement du marché de l’eau et expert cybersécurité IEC62443 chez HMS Networks.
«Une cyberdéfense 360° est indispensable dans le domaine de l’eau. Pour que celle-ci soit efficace, il faut associer un produit de cybersécurité spécifique au milieu. Il vaut mieux prévenir que guérir, ce proverbe peut aussi être utilisé pour la cybersécurité !» déclare Willy MULOT chef de produit automation et cybersécurité chez Phoenix Contact.
«Si, à un moment, on en a parlé plus qu’on en faisait, la cybersécurité devient aujourd’hui une réalité. Au-delà du déploiement des réseaux sans fil, c’est surtout la démocratisation de la technologie IP embarquée dans les réseaux filaires et sans fil, qui a contribué à cette évolution», indique Ludovic Pertuisel, Product Manager chez Lacroix Environment.
S’il n’y avait pas de réelle prise en compte de la cybersécurité au début, vers les années 2000 pour les réseaux télécoms, la situation a changé au fil du temps. «Les clients se sont en effet rendu compte que les réseaux télécoms se sont multipliés, parce qu’ils permettent d’équiper d’une télégestion de nombreux postes de relevage qui ne pouvaient pas l’être auparavant. L’autre raison est liée au Covid-19: comme il y avait beaucoup plus d’accès aux réseaux IP, par l’obligation du télétravail, le nombre d’attaques a explosé sur ces réseaux, dans tous les domaines, pas seulement dans le secteur de l’eau», explique Ludovic Pertuisel.
LES CYBERATTAQUES
ONT COÛTÉ 2 MILLIARDS
D’EUROS EN 2022
Selon la société d’études économiques Asterès pour le Cercle de confiance des décideurs de l’IT (CRiP), les cyberattaques réussies sur les systèmes d’information des organisations françaises ont coûté deux milliards d’euros à ces dernières en 2022. Ce montant estimé porte sur les intrusions dans les systèmes, les attaques par rançongiciel (ou ransomwares) et celles par déni de service (Denial of Service ou DoS), etil inclut les dépenses liées à la résolution d’une attaque, les paiements de rançons et les interruptions de production pour les entreprises de plus de 250 salariés et les communes de plus de 10000 habitants.
«Les exploitants et les opérateurs d’importance vitale (OIV) sont aujourd’hui bien informés des risques liés aux cyberattaques et y répondent lors de la conception de leurs solutions. Il est normal d’y prêter une attention particulière au regard des dernières attaques qui ont touché aussi bien le secteur public que privé», confirme Arnaud Delprat, directeur général de netmore France. Il y a encore quelques années, la cybersécurité n’était même pas mentionnée dans les marchés publics ou les cahiers des charges; maintenant, sa non-prise en compte est rédhibitoire.
Pour Alain Cruzalebes, responsable
technico-commercial chez Perax,
«la nécessité de “cybersécuriser” les
infrastructures connectées sur le Web
via des réseaux cellulaires, filaires ou par
fibre optique est maintenant clairement
connue par les exploitants des réseaux
d’eau potable et d’assainissement. Leur
niveau de préoccupation est cependant
très différent, selon que les équipements
concernés sont uniquement utilisés pour
de la surveillance et de l’alarme, ou s’ils
permettent des télécommandes, voire des
asservissement inter sites. Il est certain
qu’il y a de plus une appréhension à gérer
la cybersécurité principalement par les
utilisateurs “historiques” ayant peu d’accointance avec l’informatique, les jeunes
ayant généralement moins de réticence
sur le sujet».
CONVERGENCE IT-OT ET CAPTEURS CONNECTÉS
Derrière le concept de cyberattaques se cachent différentes choses. «On retrouve les attaques conventionnelles que l’on rencontre dans l’IT à travers l’hameçonnage (phishing). La convergence entre les mondes IT et OT représente une nouvelle menace : un virus se trouvant dans une infrastructure IT pourrait très bien redescendre au niveau de l’OT, jusqu’à un système de supervision par exemple», explique Yannick Leroux, responsable commercial en cybersécurité industrielle chez Schneider Electric.
Ce que confirme Bruno Lignon, Network &Cybersecurity Services Sales Executive Connected Services EMEA Rockwell Automation : «Les conséquences d’attaques ciblées sur les systèmes informatiques et les réseaux de contrôle de procédés peuvent compromettre leur disponibilité ou leur intégrité. Avec la multiplicité des interconnexions (système de contrôle industriels, réseau électrique), une faille de sécurité sur un système peut se propager aux autres». «Dans le cadre de la transformation digitale, les objets connectés vont continuer à se multiplier sur le terrain et ce sont autant de portes d’entrée potentielles», ajoute Yannick Leroux (Schneider Electric).
Certains capteurs IIoT utilisés pour surveiller l’eau ne sont pas sécurisés comme il se doit, ce qui peut compromettre les données de ces dispositifs et accroître la vulnérabilité aux attaques. La société d’analyses IDC estime qu’il y aurait 55,7 milliards d’appareils IoT connectés d’ici 2025. Les risques concernant les infrastructures s’articulent autour de la connectivité, avec l’usurpation d’identité se faire passer pour un employé et obtenir des informations sensibles ou un accès non autorisé, la menace venant de l’acte délibéré ou de la négligence d’un employé, d’un auditeur, d’une tierce personne de la maintenance ou de l’infogérance, ou les vulnérabilités des systèmes et logiciels, telles que des failles non corrigées, des mise à jour non appliquées.
«En plus du nombre croissant d’intervenants sur un site, la prise en main à distance des installations – une pratique qui s’est fortement développée lors de la pandémie de Covid-19 – augmente considérablement les risques», constate Yannick Leroux (Schneider Electric). «L’absence d’investissement dans la cybersécurité, la formation des exploitants, la sensibilisation à la cybersécurité de manière continue et l’élaboration de plan de réponse à incident représente un autre risque», poursuit Bruno Lignon (Rockwell Automation). Tous les niveaux d’une infrastructure peuvent être vulnérables à une cyberattaque. «Cela peut être au niveau des capteurs une vanne connectée pourrait être endommagée, par exemple, au niveau du réseau LoRaWAN (sabotage d’une passerelle assurant la connexion aux capteurs), au niveau du cœur de réseau logiciel de l’opérateur (problème de reconnaissance de l’objet par le réseau empêchant la communication, déni de service), jusqu’au niveau de la plateforme métier permettant la remontée d’informations et la prise de décision (hacking)», énumère Arnaud Delprat (netmore France).
«C’est pour cela qu’une cyberdéfense
performante pour ce domaine requiert
d’avoir un produit de cybersécurité
adapté et facile à utiliser. C’est dans cette
optique que Phoenix Contact a développé
sa nouvelle gamme de firewalls / routeurs de sécurité au Gigabit : les mGuards.
En parallèle, pour répondre aux conditions extérieures, Phoenix Contact propose les mGuard séries 2000 et 4000. Avec leur plage de température étendue
(-40°C … +60°C pour le mGuard 4302) ils
peuvent être utilisés dans des environnements extrêmes.» rajoute Willy Mulot
de chez Phoenix Contact.
PARE-FEUX, VPN, DMZ INDUSTRIELLE, EDR…
Face à tous ces différents risques, les industriels, les collectivités locales et les exploitants ont à leur disposition tout un arsenal de solutions pour se protéger. «Avant tout, il est important de rappeler les bonnes pratiques illustrées au travers des cinq piliers du NIST CSF (National Institute for Standard and Technology Cybersecurity Framework): Identifier, Protéger, Détecter, Répondre et Restaurer. On ne peut donc protéger que ce que l’on connaît et, par conséquent, l’étape “Identifier” est un prérequis à l’étape “Protéger”», insiste Bruno Lignon (Rockwell Automation).
«Les technologies les plus populaires sont les pare-feux (firewalls), pour contrôler le flux de trafic entre les réseaux ou entre réseaux et appareils, les systèmes de détection d’intrusion ou d’utilisation abusive, les routeurs VPN sécurisés pour l’accès à distance, les systèmes de surveillance du trafic réseau, etc. De plus, des outils spécifiques tels qu’un logiciel SIEM (Security Information and Event Management) fourniront une visibilité complète du réseau et faciliteront la collecte, l’analyse et la corrélation des données d’un système cyber-physique industriel (ICS) pour une détection précoce», explique Xavier Cardeña (HMS Networks).
Ce panel de technologies permet de mettre en œuvre différentes approches de protection vis-à‑vis des cyberattaques. A l’instar de la segmentation du réseau, de la zone démilitarisée (DMZ) industrielle, de la solution d’accès distant et de la protection des «endpoints». La première approche, qui s’impose comme la norme, consiste à diviser, de manière logique et physique, le réseau en plusieurs zones, ou conduits, afin de limiter la surface d’attaque. La mise en place d’une segmentation peut toutefois nécessiter de revoir la conception même de l’architecture réseau de l’installation, d’ajouter des pare-feux, ce qui peut avoir un coût non négligeable. «La DMZ industrielle permet de créer une zone tampon entre les réseaux OT et IT et, ainsi, de n’autoriser aucune communication directe entre les deux. Si elle est indispensable, la DMZ industrielle peut s’avérer complexe à mettre en œuvre dans le cas où les cas d’usage industriels (transfert de fichiers, accès distant…) ne sont pas appréhendés correctement en amont, ou en cas d’absence de double compétence OT et cybersécurité», décrit Bruno Lignon (Rockwell Automation).
La solution d’accès distant, elle, permet une connexion distante au réseau
industriel de manière sécurisée, avec
utilisation de l’authentification multi
facteur (MFA). Certaines solutions
peuvent nécessiter une configuration
de pare-feux complexe et une gestion
du changement difficile, entraînant des
lenteurs en cas d’urgences. D’autres
sont adaptées au contexte industriel
et permettent, une fois installées, de
«décomplexifier» la gestion des accès,
d’enregistrer les sessions en vue de les
rejouer en cas de problème, ettout cela
sans compromis sur la sécurité.
«Effectivement, la connexion à distance
commence à faire partie du paysage. Pour
répondre aux évolutions du terrain, nos
pare-feux mGuard (séries 2000 et 4000)
permettent de faire de la télémaintenance
en toute sécurité en mettant en place des
tunnels VPN. Ainsi, il y a une connexion
sécurisée entre l’ordinateur et l’automate
de la machine. De plus, pour faciliter la
mise en place et la gestion des VPN, le
portail web de gestion mGuard Secure
Cloud est disponible.» rajoute Willy
MULOT (Phoenix Contact).
Le RTU de Brodersen, distribué en
France par JS Automation, qui a participé à sa validation, prend en compte
cette problématique. Il est utilisé dans
des projets du secteur de l’eau au
Royaume-Uni, mais aussi dans des projets militaires où la cybersécurité est un
enjeu de sécurité national.
FACILITÉ D’UTILISATION OU INDÉPENDANCE ?
«Les équipements d’automatismes, d’acquisitions et d’actions, dialoguent en réseau, aujourd’hui majoritairement de l’Ethernet. Il est crucial de le sécuriser. Des solutions d’anneaux répondent à la problématique des «pertes de données». Le standard HSR permet la non-perte de données contrairement au RSTP, par exemple. Le RTU et plus généralement les équipements JS automation s’intègrent dans ce réseau. Le MicroRAPTOR® est une plate-forme intelligente de cybersécurité qui utilise iBiome®, un système d'exploitation complet qui prend en charge la commutation et le routage» précise Yann Guillodo, ingénieur technico-commercial, spécialiste systèmes chez JS Automation.
Il existe encore d’autres approches de cybersécurité, commeles infrastructures virtualisées prétestées (datacenters industriels) répondant aux exigences de production industrielle grâce à des correctifs de sécurité, à la sauvegarde des données et aux plans de reprise, ou la réduction des erreurs humaines et des menaces internes, via la formation et des alertes, afin de répondre aux menaces plus rapidement. «Il ne faut pas sous-estimer que le risque ne vient pas toujours de l’extérieur. Selon l’Agence de l’Union européenne pour la cybersécurité (ENISA), seuls 18% des incidents dans l’approvisionnement et la distribution d’eau potable étaient causés par des actions malveillantes, tandis que 71% étaient dus à des pannes du système», rappelle Xavier Cardeña (HMS Networks).
Pour Alain Cruzalebes (Perax), «les solutions proposées par les opérateurs de télécommunication sont bien souvent les plus simples en termes de mise en œuvre par les utilisateurs, et elles sont indépendantes des produits connectés. Mais leur niveau de cybersécurité est variable en fonction des offres, leur coût est parfois important pour de petites structures et ces solutions rendent les utilisateurs dépendants du fournisseur d’équipements choisi». Les modems et routeurs sont des solutions complètes, le plus souvent ouvertes, indépendantes des produits connectés et d’un coût modéré pour les petites ou moyennes structures. Ces solutions requièrent toutefois un paramétrage, en plus de celui de l’automate de télégestion, et des compétences internes en maintenance de systèmes réseaux. «Quant aux automates industriels ou de télégestion, leur avantage est d’être plus compacts que les solutions précédentes et d’avoir un paramétrage intégré. Ils s’appuient parfois sur des solutions spécifiques, rendant l’exploitant captif du fabricant», poursuit Alain Cruzalebes.
Plusieurs fabricants ont mis en avant l’importance de développer des produits sécurisés nativement: Schneider Electric parle du concept «secure by design» pour son système numérique de contrôle-commande EcoStruxure Foxboro DCS et son automate Modicon M580, par exemple, les passerelles Anybus, Anybus Wireless et Ewon de HMS Networks sont «secure by hardware», et tous les nouveaux produits de Lacroix intègrent, dès le début de la conception, une composante cybersécurité. Les dernières versions des automates de télégestion P400XI de Perax, elles, intègrent de nombreuses nouvelles fonctionnalités adaptées à la cybersécurité, comme le TLS, permettant de sécuriser les communications MQTT, HTTP ou FTP.
DES COÛTS TRÈS VARIABLES
D’aucuns pourraient se demander quel est le coût de la cybersécurité. «Le coût de la mise en place d’une solution varie en fonction du nombre de sites à protéger, de leur accessibilité, de leur usage et du nombre d’utilisateurs. Cela peut aller de quelques centaines d’euros à plusieurs dizaines de milliers d’euros, mais en tout état de cause, le retour sur investissement est quasi immédiat, sachant qu’un système connecté sur le Web commence à être statistiquement attaqué dès 30 min après sa mise en service», affirme Alain Cruzalebes (Perax). «Entre nos anciennes gammes RTU et la nouvelle, à fonctionnalités équivalentes, nous avons intégré la cybersécurité pour un prix identique», souligne Ludovic Pertuisel (Lacroix Environment).
D’autres facteurs peuvent entrer en jeu, tels que la base installée (la technologie employée, son cycle de vie), le niveau de maturité en termes de cybersécurité, les objectifs de réduction de risque et de conformité aux réglementations à atteindre. «Le ROI [retour sur investissement, NDR] réside principalement dans le fait de réduire le risque financier engendré par une ou des attaques potentielles. A l’inverse, ne pas mettre en place une solution de cybersécurité peut avoir des conséquences importantes, comme la perte de réputation ou de confiance, des sanctions financières telles que prévues au titre de la directive NIS 2, des pertes financières et de productivité», ajoute Bruno Lignon (Rockwell Automation).
Xavier Cardeña (HMS Networks) confirme ces points en les illustrant: «Le coût des conséquences de l’absence de cybersécurité doit être pris en compte. Selon le rapport “Les coûts cachés de la cybercriminalité” de l’américain McAfee, le coût moyen des temps d’arrêt associés à un cyber-incident était de 590000 dollars en 2020, et il faut également prendre en compte les autres impacts négatifs cités précédemment. Ainsi, après une analyse des risques, l’entreprise sera en mesure de calculer le coût des contre-mesures de sécurité et de le comparer au coût probable des failles de sécurité.» «Il faut également prendre en compte les coûts liés au plan de continuité d’activité, c’est-à-dire ce que l’exploitant va devoir mettre en place pour poursuivre son activité, une fois l’attaque arrivée. Compte tenu des niveaux de maturité différents, seuls certains clients en sont à l’étape suivante des plans de continuité d’activité», constate Tanguy Floc’h (Lacroix Environment).
Pour Arnaud
Delprat (netmore France), «aucun système n’étant infaillible, tout l’enjeu de la
cybersécurité est de savoir où l’on doit
mettre le curseur. C’est à l’organisation
de l’entreprise d’installer les bonnes pratiques à tous les niveaux».
Atteindre le niveau de sécurité idéal
est un exercice d’équilibre, parce qu’il
n’est pas possible de proposer une
sécurité parfaite. Chaque entreprise
ou organisation doit donc déterminer
son propre point d’équilibre et décider
si elle accepte, réduit ou transfère le
risque. «Il faut considérer la cybersécurité industrielle, non pas comme un
projet avec un délai, mais comme un
processus continu, parce que, chaque
jour, de nouvelles menaces et vulnérabilités apparaîtront», préconise Xavier
Cardeña.
TROUVER UN VÉRITABLE PARTENAIRE EN CYBERSÉCURITÉ
«Les exploitants devraient contacter des consultants et des intégrateurs de systèmes spécialisés dans la cybersécurité industrielle, en utilisant, de préférence, des procédures selon des méthodologies acceptées et des certifications de site pour s’assurer de n’être lié à aucun d’entre eux et respecter les réglementations de l’industrie de l’eau comme la directive NIS 2. Considérez ces interlocuteurs comme de véritables partenaires, parce que cela deviendra probablement une relation à long terme», conseille Xavier Cardeña (HMS Networks). «Notre force est d’être capable d’accompagner nos clients en leur apportant une réponse globale, via nos produits, un pôle d’experts et un écosystème de partenaires. Cette stratégie a été créée en France il y a plus de dix ans et est déployée maintenant dans différentes régions du monde», met en avant Yannick Leroux (Schneider Electric).
Avec la multiplication des points de surveillance et de contrôle, et en particulier des IoT, la poursuite de la convergence OT-IT, un environnement réglementaire toujours plus exigeant, ou encore l’évolution constante des cyberattaques, le marché de la cybersécurité pour le domaine de l’eau et des eaux usées ne peut que progresser dans les années à venir. «Des freins restent encore à lever. Tous les acteurs ne vont pas changer leurs équipements, parfois très anciens, du jour au lendemain; il faut alors commencer par les biens les plus sensibles. Un autre frein concerne la bonne formation des personnels pour circonscrire le facteur humain. Mais la cybersécurité est inévitable», conclut Ludovic Pertuisel (Lacroix Environment).
Le risque est donc réel est croissant mais
il existe des solutions adaptées aux installations et aux objectifs et ambitions
des utilisateurs, et qui ne constituent
pas un obstacle insurmontable à la
numérisation et l’optimisation des installations. «En tant que fournisseur de
solution de contrôle intelligent pour le
secteur de l’eau, nous abordons systématiquement le sujet de la cybersécurité, et
cela n’a jamais entraîné l’abandon d’un
projet. En effet, nous avons développé
une expertise, en collaboration avec les
acteurs de la cybersécurité, pour pouvoir être flexibles et adapter l’architecture d’implémentation de nos solutions
aux besoins et contraintes de chaque
client et chaque projet, en France et dans
le monde» estime pour sa part Lynne
Bouchy (Createch Solutions).
