Bien que certaines installations relèvent clairement d’enjeux critiques, la majorité des syndicats de traitement ou de distribution de l’eau restent encore hors du périmètre NIS2, souvent en raison de leur taille. Pourtant, les récentes attaques démontrent que personne n’est à l’abri.
Un récent article nous informe qu’une cyberattaque visant l’approvisionnement en eau d’une ville en Pologne a été déjouée il y a quelques jours Le Parisien.
D’autres cas emblématiques rappellent que le risque est mondial :
- Oldsmar (États-Unis, 2021) : tentative de sabotage du traitement de l’eau via TeamViewer Le Monde Informatique
- SIAAP, Île-de-France (2022) : cyberattaque exploitant des protocoles radio non sécurisés Le Monde Informatique
- Veolia North America (2024) : attaque par ransomware perturbant les services back-office. Précisons qu’il n’y a toutefois pas eu d’impact opérationnel pour Veolia North America Bleeping Computer
L’ANSSI rappelle d’ailleurs que le secteur de l’eau est désormais dans le Top 3 des secteurs OT visés, la mauvaise segmentation des réseaux étant l’une des principales failles exploitées. Toutefois les syndicats ou les collectivités de petites tailles ne nous paraissent pas suffisamment sensibilisées à ces sujets. C’est pourquoi, chez INTEGRALE ENVIRONNEMENT, nous sensibilisons déjà nos clients à ces risques.
- Les nouveaux contrats de DSP pour lesquels nous sommes AMO incluent désormais un volet cybersécurité, avec de fortes pénalités en cas de manquement.
- Nos PGSSE intègrent systématiquement un module cyber.
Mais il faut aller plus loin : au-delà de la sensibilisation, il est essentiel d’accompagner les syndicats et régies dans une véritable montée en maturité cybersécurité.
C’est pourquoi INTEGRALE ENVIRONNEMENT propose aujourd’hui une offre conjointe avec des spécialistes cyber et unique, alliant :
- Une expertise métier solide (eau & assainissement)
- Des compétences cybersécurité ciblées pour le secteur
Notre ambition : permettre à chaque collectivité, quelle que soit sa taille, de protéger efficacement ses infrastructures vitales et de tester sa sécurité.
La cybersécurité de l’eau n’est pas une option : c’est une condition essentielle pour la sécurité sanitaire et la confiance des usagers.
Christophe MACHARD