Retour sur la LMDE 4 : La cybersécurité dans le monde de l’eau, quels enjeux ?

15 Sep, 2021
Par HCA Consulting & Actions
Accueil
>
Actualités
>
Retour sur la LMDE 4 : La cybersécurité dans le monde de l’eau, quels enjeux ?

Les infrastructures de réseaux d’eau sont aujourd’hui pratiquement toutes équipées de systèmes d’information – SIG, SCADA, modélisation, BIM, gestion clientèle… – qui permettent de contrôler et de gérer à distance les équipements et infrastructures. Ces solutions offrent un immense champ d’opportunités pour le monde de l’eau, mais elles présentent aussi des risques de sécurité contre lesquels il est essentiel de se protéger. Car les enjeux sont de taille : pertes de données, blocages divers, coupures d’eau potable, contamination par des produits toxiques… la prise de contrôle d’un réseau d’eau ou d’une usine d’eau potable par un acteur malveillant peut avoir des conséquences dramatiques.

Alors comment se préparer et se protéger ? Pourquoi ? Comment anticiper et détecter une attaque ? 

Les équipes idealCO et Monreseaudeau.fr vous ont proposé, lors de cette 4ème édition des LMDE, une matinée complète pour faire le point à ce sujet.

Retour sur cet évènement qui, nous l’espérons, vous aura inspiré, éclairé, passionné et dont vous tirerez autant d’enseignements que de nouvelles idées !

Article synthèse sur LMDE 4

 

 

La cyber résilience et l’état de la réglementation

Pour ouvrir cette matinée, Bruno NGYUEN, académicien de l’Eau et Président du Specialist Group IWA – Water Security & Safety Management, a introduit le concept de cyber-résilience, qui ne se limite pas à la prévention des risques, mais doit prendre en compte le fonctionnement des SI en mode dégradé afin de permettre un retour à la normale le plus rapidement possible.

La cyber résilience doit donc nécessairement être intégrée à la réflexion globale sur l’analyse des risques et la continuité de service. Bruno NGUYEN a exploré les causes et conséquences (directes et indirectes) possibles d’une cyberattaque sur un opérateur d’eau, et a rappelé quelques grands principes essentiels pour se protéger face aux attaques potentielles (mises à jour et ajouts de fonctionnalité, bonne répartition des responsabilité entre DSI et Directeur de l’exploitation, nécessité de combiner plusieurs secteurs, tant pour le traitement des causes que des effets des attaques…).

Sylvie ANDRAUD, coordinatrice sectoriel à l’ANSSI nous a ensuite présenté les deux grandes réglementations qui s’appliquent au monde de l’eau en matière de sécurité des réseaux et SI : la loi de programmation militaire du 18/12/2013 – article 22 (pour les Opérateurs d’Importance Vitale, OIV), et la Directive NIS (2016/1148 du 6 juillet 2016 (pour les Opérateurs de Services Essentiels, OSE).

Si cette dimension technique est évidemment incontournable, elle n’est pourtant pas suffisante : Sylvie ANDRAUD a rappelé certaines règles qui, au-delà de la stricte réglementation, peuvent aider efficacement les organisation à protéger leurs SI.

 

 

Cybersécurité : nous sommes TOUS concernés !

L’atelier n°1 de cette matinale, orchestré par Vincent NICAISE Industrial Partnership and Ecosystem Manager chez Stormshield, nous a démontré avec force l’importance de la cybersécurité pour le monde de l’eau, avec trois enjeux essentiels : santé publique, pollution (éviter les rejets toxiques dans la nature) et géopolitique (lorsque les réseaux d’eau sont utilisés pour affaiblir un pays).

Après avoir rappelé que les collectivités territoriales/locales ont été concernées par 20% des attaques par rançongiciels en 2020 en France (source ANSSI), Vincent NICAISE a dressé le panorama des grandes cyberattaques survenues dans le monde de l’eau depuis une dizaine d’années, avec un focus sur l’attaque qui a visé une station de traitement d’eau en Floride en 2021.

Des exemples qui nous prouvent que le risque cyber est bien réel, proche de nous, et qu’il peut avoir des conséquences dramatiques s’il n’est pas suffisamment pris en compte ! Vincent NICAISE a complété son analyse par une présentation des moyens concrets à mettre en œuvre pour mieux sécuriser son IOT, ainsi qu’un retour d’expérience.

 

 

Risques majeurs et guide d’accompagnement sur la cybersécurité.

Lors de cet atelier n°2, Ludovic PERTUISEL, Chef Produit chez LACROIX et Tanguy FLOC’H Ingénieur recherche/développement Expert Cybersécurité chez LACROIX nous ont présenté leurs recommandations en matière de protection des réseaux, et notamment les 4 grands piliers d’une bonne stratégie cybersécurité : authentification (garantir l’identité des intervenants grâce à des comptes individuels notamment), traçabilité (tracer toutes les actions dans les journaux pour savoir qui a fait quoi), intégrité (garantir que l’information n’a pas subi de modification) et confidentialité (garantir la confidentialité des données échangées).

Après ce partage de bonnes pratiques, Stéphane PICOL Responsable Production Eau Potable à Quimperlé Communauté nous a décrit, étape par étape, la mise en place d’une infrastructure cybersécurité à Quimperlé : le choix d’une nouvelle organisation (avec notamment partage clair des responsabilités entre IT et OT), la gestion des utilisateurs (allocation des droits, gestion d’une flotte d’utilisateurs), la mise en place d’un système de traçabilité des actions utilisateurs) et enfin le choix de l’équipement cybersécurisé.

Un guide a ensuite été présenté pour identifier de manière exhaustive les enjeux lors de la mise en place de la cybersécurité.

 

 

Gouvernance, leadership, résilience : les mots de la fin

Cette 4ème édition des Matinales de l’eau s’est achevée sur un rapport d’étonnement : Jean-Michel ROSENAL, Manager Formation transformation secteur public et relation usager chez idealCO, a partagé avec nous ce qu’il avait retenu de cette matinale et a poursuivi le débat avec nos intervenants autour de quelques notions clés :

  • la question du changement de gouvernance induit par la gestion du cyber risque et les enjeux de leadership (qui pilote en cas d’attaques, les directions opérationnelles ou les SI ?) ;
  • la notion de résilience, qui implique préparation, anticipation et continuité d’activité y compris hors du numérique dans les cas extrêmes ;
  • l’approche « micro » du risque, qui exige une gestion fine pour segmenter le risque et le réduire à toutes les étapes ;
  • la question de l’ « existant » et des contraintes de départ dont on doit tenir compte avant de mettre en œuvre un plan d’action cybersécurité ;
  • ou encore celle de la mise en place d’une « culture » de la cybersécurité…

Autant de thématiques et d’enjeux qui montrent la complexité du risque cyber, et la nécessité de mettre en place un faisceau d’actions pour mieux anticiper, préparer et gérer ce nouveau type d’attaques.

 

Acteur(s) du monde de l’eau cité(s) dans cet article :

STORMSHIELD

Découvrir

LACROIX

Logo 2021 LACROIX Découvrir

Ces articles peuvent également vous intéresser :

Aller plus loin :

Les objects connectés dans le monde de l'eau

Conférence-débat

Comment mettre à profit les objets connectés dans le monde de l’eau pour la préservation de l’environnement ?

 

Mardi 21 Septembre 2021 à 15h.

 

Avec la participation de l'OiEau

Salon EnviroPro Bordeaux

You have Successfully Subscribed!