Permettre aux responsables informatiques ainsi qu'à tout l'écosystéme de sous-traitants du secteur
"Il est du ressort des acteurs du secteur de l’eau – collectivités et entreprises privées en délégation de service public – que nous n’ayons pas à le découvrir. Ceux-ci sont ainsi investis d’une double responsabilité envers les populations et l’environnement. D’une part, ils doivent assurer la continuité de la production et de la distribution d’eau potable, tout en garantissant la sécurité sanitaire. De l’autre, il leur revient de traiter les eaux usées, pour éviter les pollutions lors de leur rejet en milieu naturel ou de leur réutilisation. En France, le secteur est donc suffisamment sensible pour être coordonné par le Ministère chargé de l’Écologie et suivi au quotidien par un coordinateur sectoriel de l’ANSSI, au sein d’une sous-direction Stratégie « Bureau énergie, transport et environnement ».
Or, cet écosystème industriel dense, composé d’usines de production d’eau potable ou encore de stations d’épuration dont certaines sont classées opérateurs d'importance vitale (OIV) en France et/ou opérateurs de services essentiels (OSE) à l'échelle européenne, s’appuie sur des infrastructures et des technologies vieillissantes qui le rendent vulnérable. En outre, ces systèmes opérationnels sont aujourd’hui beaucoup plus exposés au risque cyber car, sous l’effet de la numérisation du secteur et de l’arrivée de nouvelles technologies, ils se retrouvent de plus en plus souvent connectés au réseau informatique.
Ce phénomène de convergence IT/OT est illustré par l’implantation de l’Ethernet IP jusque dans les usines ou encore le développement de solutions Cloud de supervision industrielle. Une surface d’attaque favorable aux cyber-attaquants, souvent plus compétents sur les technologies informatiques traditionnelles que sur des protocoles industriels spécifiques.
D’ailleurs, que ce soit aux États-Unis ou en Israël, les exemples de cyberattaques ciblant des entreprises de l’eau se multiplient depuis quelques années."
