Les infrastructures de réseaux d’eau sont aujourd’hui pratiquement toutes équipées de systèmes d’information – SIG, SCADA, modélisation, BIM, gestion clientèle… – qui permettent de contrôler et de gérer à distance les équipements et infrastructures. Ces solutions offrent un immense champ d’opportunités pour le monde de l’eau, mais elles présentent aussi des risques de sécurité contre lesquels il est essentiel de se protéger. Car les enjeux sont de taille : pertes de données, blocages divers, coupures d’eau potable, contamination par des produits toxiques… la prise de contrôle d’un réseau d’eau ou d’une usine d’eau potable par un acteur malveillant peut avoir des conséquences dramatiques.
Alors comment se préparer et se protéger ? Pourquoi ? Comment anticiper et détecter une attaque ?
Les équipes idealCO et Monreseaudeau.fr vous ont proposé, lors de cette 4ème édition des LMDE, une matinée complète pour faire le point à ce sujet.
Retour sur cet évènement qui, nous l’espérons, vous aura inspiré, éclairé, passionné et dont vous tirerez autant d’enseignements que de nouvelles idées !
Pour ouvrir cette matinée, Bruno NGYUEN, académicien de l’Eau et Président du Specialist Group IWA – Water Security & Safety Management, a introduit le concept de cyber-résilience, qui ne se limite pas à la prévention des risques, mais doit prendre en compte le fonctionnement des SI en mode dégradé afin de permettre un retour à la normale le plus rapidement possible.
La cyber résilience doit donc nécessairement être intégrée à la réflexion globale sur l’analyse des risques et la continuité de service. Bruno NGUYEN a exploré les causes et conséquences (directes et indirectes) possibles d’une cyberattaque sur un opérateur d’eau, et a rappelé quelques grands principes essentiels pour se protéger face aux attaques potentielles (mises à jour et ajouts de fonctionnalité, bonne répartition des responsabilité entre DSI et Directeur de l’exploitation, nécessité de combiner plusieurs secteurs, tant pour le traitement des causes que des effets des attaques…).
Sylvie ANDRAUD, coordinatrice sectoriel à l’ANSSI nous a ensuite présenté les deux grandes réglementations qui s’appliquent au monde de l’eau en matière de sécurité des réseaux et SI : la loi de programmation militaire du 18/12/2013 – article 22 (pour les Opérateurs d’Importance Vitale, OIV), et la Directive NIS (2016/1148 du 6 juillet 2016 (pour les Opérateurs de Services Essentiels, OSE).
Si cette dimension technique est évidemment incontournable, elle n’est pourtant pas suffisante : Sylvie ANDRAUD a rappelé certaines règles qui, au-delà de la stricte réglementation, peuvent aider efficacement les organisation à protéger leurs SI.
L’atelier n°1 de cette matinale, orchestré par Vincent NICAISE Industrial Partnership and Ecosystem Manager chez Stormshield, nous a démontré avec force l’importance de la cybersécurité pour le monde de l’eau, avec trois enjeux essentiels : santé publique, pollution (éviter les rejets toxiques dans la nature) et géopolitique (lorsque les réseaux d’eau sont utilisés pour affaiblir un pays).
Après avoir rappelé que les collectivités territoriales/locales ont été concernées par 20% des attaques par rançongiciels en 2020 en France (source ANSSI), Vincent NICAISE a dressé le panorama des grandes cyberattaques survenues dans le monde de l’eau depuis une dizaine d’années, avec un focus sur l’attaque qui a visé une station de traitement d’eau en Floride en 2021.
Des exemples qui nous prouvent que le risque cyber est bien réel, proche de nous, et qu’il peut avoir des conséquences dramatiques s’il n’est pas suffisamment pris en compte ! Vincent NICAISE a complété son analyse par une présentation des moyens concrets à mettre en œuvre pour mieux sécuriser son IOT, ainsi qu’un retour d’expérience.
Lors de cet atelier n°2, Ludovic PERTUISEL, Chef Produit chez LACROIX et Tanguy FLOC’H Ingénieur recherche/développement Expert Cybersécurité chez LACROIX nous ont présenté leurs recommandations en matière de protection des réseaux, et notamment les 4 grands piliers d’une bonne stratégie cybersécurité : authentification (garantir l’identité des intervenants grâce à des comptes individuels notamment), traçabilité (tracer toutes les actions dans les journaux pour savoir qui a fait quoi), intégrité (garantir que l’information n’a pas subi de modification) et confidentialité (garantir la confidentialité des données échangées).
Après ce partage de bonnes pratiques, Stéphane PICOL Responsable Production Eau Potable à Quimperlé Communauté nous a décrit, étape par étape, la mise en place d’une infrastructure cybersécurité à Quimperlé : le choix d’une nouvelle organisation (avec notamment partage clair des responsabilités entre IT et OT), la gestion des utilisateurs (allocation des droits, gestion d’une flotte d’utilisateurs), la mise en place d’un système de traçabilité des actions utilisateurs) et enfin le choix de l’équipement cybersécurisé.
Un guide a ensuite été présenté pour identifier de manière exhaustive les enjeux lors de la mise en place de la cybersécurité.
Cette 4ème édition des Matinales de l’eau s’est achevée sur un rapport d’étonnement : Jean-Michel ROSENAL, Manager Formation transformation secteur public et relation usager chez idealCO, a partagé avec nous ce qu’il avait retenu de cette matinale et a poursuivi le débat avec nos intervenants autour de quelques notions clés :
Autant de thématiques et d’enjeux qui montrent la complexité du risque cyber, et la nécessité de mettre en place un faisceau d’actions pour mieux anticiper, préparer et gérer ce nouveau type d’attaques.
Découvrez comment la fusion révolutionnaire du carbone et de l’argent pur dans une poudre innovante offre une solution de purification d’eau sans précédent, tout en explorant l’importance vitale de garantir la qualité de notre approvisionnement en eau.
Vous vous êtes déjà interrogés sur le potentiel énergétique dormant dans les flux d’eau de votre réseau urbain ? Découvrez comment le turbinage émerge comme une solution ingénieuse pour convertir l’excès de pression en une source d’énergie renouvelable.
Visualisez toutes les Capsules ITW filmées au #CGLE 2024 par l’équipe Monreseaudeau.fr.
Pour recevoir nos articles et actualités, abonnez-vous à notre newsletter mensuelle :
Le podcast sur l'eau, ses infrastructures et ses acteurs
