Pour évaluer les risques qui pèsent sur les services d’eau et qualifier la typologie et la provenance des cyberattaques potentielles, Trend Micro, spécialisée dans la fourniture de solutions de sécurité, a mis en place en 2013 un système virtuel de gestion de la pression dans un réseau de distribution d’eau d’une ville de taille moyenne. L’application, répliquée à une quinzaine d’exemplaires, a été localisée dans 15 pays différents avant d’être connectée à l’Internet.
« Nous avons pu observer de nombreuses connections illégitimes avec notamment des tentatives d’intrusion et de détournement du fonctionnement du process, souligne Loïc Guézo, responsable de la Stratégie cybersécurité Europe du sud chez Trend Micro. Même si beaucoup d’entre-elles relèvent de l’intrusion anodine, sans véritable objectif, d’autres se sont avérées nettement plus virulentes avec, dans certains cas, une prise de contrôle partielle du système de gestion de la pression. Nous avons également subi des attaques de type phishing conduisant à l’exfiltration de fichiers factices que nous avions placés dans l’application ». La typologie des attaques a révélé des modes opératoires assez différents selon leur origine géographique, avec de nombreuses opérations de connaissance venant de Russie et des intrusions parfois très actives venant de Chine.
Cette expérimentation a mis en lumière le degré d’exposition élevé des services de distribution d’eau potable, très exposés du fait de leur architecture décentralisée. « En France, nous sommes plutôt bien placés sur la partie sensibilisation au risque de même qu’au niveau de la perception, souligne cependant Loïc Guézo. C’est plutôt en termes de mise en œuvre et de moyens que la question se pose ». Une chose est certaine : dans le secteur de l’eau, les OIV, et plus généralement, l’ensemble des services de distribution d’eau, vont devoir prendre en charge de manière beaucoup plus stricte que par le passé, l’aspect sécurité de leurs systèmes d’information.
Mais par quoi commencer ? « La première chose à faire, c’est de mettre en place une structure de gouvernance chargée de faire vivre ce projet de mise et de maintien en sécurité du service, explique Loïc Guézo. Cela veut dire, très pragmatiquement, désigner une personne qui sera responsable de cette démarche et qui bénéficie de l’appui d’un élu ou d’un responsable suffisamment important pour pouvoir faire bouger les lignes ». Il s’agira de déterminer le périmètre et les objectifs de la démarche avant de définir un budget et une feuille de route. La première étape de ce travail consiste bien souvent à recenser, identifier et cartographier l’ensemble des composants du système d’information du service, à commencer par les automates industriels, en décrivant pour chacun d’entre eux, leur fonction, leur paramétrage et leur niveau de sécurité. « Il s’agit d’intégrer chacun de ces composants dans un plan de rénovation plus général dont le seul objectif est d’être capable de garantir le niveau de sécurité de l’ensemble, souligne Loïc Guézo.
Cette démarche effectuée, il faudra dans bien des cas, hiérarchiser les priorités, car le vrai danger pour ces services, c’est de se voir proposer un upgrade généralisé de leurs équipements qu’elles n’ont pas toujours les moyens d’engager ». Il s’agira de sécuriser les systèmes en les protégeant des accès illicites tout en préservant l’intégrité et la confidentialité des données, qu’elles soient opérationnelles ou commerciales. « La grosse difficulté, c’est de faire dialoguer deux mondes qui ont tendance à s’ignorer, explique Loïc Guézo.
Celui de l’IT, l’informatique, qui repose avant tout sur la confidentialité et l’intégrité des données, et celui de l’OT (operationnal technologies) qui concerne d’abord les systèmes industriels et leur disponibilité. La cybersécurité n’est pas qu’une affaire de technologie. Au-delà des infrastructures, une stratégie efficace doit impliquer l’ensemble des collaborateurs, des informations, des systèmes, des processus du service de l’eau ».
