Les systèmes d’eau potable constituent des cibles de plus en plus attractives à mesure que l’activité des pirates informatiques malveillants est en augmentation à l’échelle mondialeselon nouveaux avertissements des agences de sécurité du monde entier. Selon les experts, les contre-mesures de base, notamment la modification des mots de passe par défaut et l’utilisation de authentification multifacteur– peut encore fournir une défense substantielle. Cependant, rien qu’aux États-Unis, plus de 50 000 systèmes d’eau communautaires représentent également un paysage de vulnérabilités potentielles qui ont fourni un terrain de jeu aux hackers ces derniers mois.
En novembre dernier, par exemple, des pirates informatiques liés aux Gardiens de la révolution islamique iraniens a fait irruption dans un système d’aqueduc dans la ville d’Aliquippa, dans l’ouest de la Pennsylvanie. En janvier, des infiltrés liés à un groupe hacktiviste russe a pénétré le système d’approvisionnement en eau d’une ville du Texas près de la frontière du Nouveau-Mexique. Dans aucun des deux cas, les attaques n’ont causé de dommages substantiels aux systèmes.
Pourtant, la menace la plus importante reste bien réelle, selon les responsables. “Quand nous pensons à la cybersécurité et aux cybermenaces dans le secteur de l’eau, ce n’est pas une hypothèse”, a déclaré un rapport américain. Agence de Protection de l’Environnement le porte-parole a dit lors d’un point de presse l’année dernière. “Ca se passe maintenant.” Puis, pour ajouter au mélange, le mois dernier, lors d’un forum public à Nashville, le directeur du FBI Christopher Wray noté que la Chine est dans l’ombre Typhon Volt réseau (également connu sous le nom de « Vanguard Panda ») avait pénétré dans des « zones critiques » télécommunicationsde l’énergie, de l’eau et d’autres secteurs d’infrastructure.
“Ces attaques n’étaient pas extrêmement sophistiquées.” —Katherine DiEmidio Ledesma, Dragos
UN Bilan 2021 des cybervulnérabilités dans les systèmes d’eau, publié dans la revue Eaumet en évidence les facteurs convergents d’outils de plus en plus améliorés par l’IA et connectés à Internet qui gèrent des systèmes d’eau potable et de traitement des eaux usées de plus en plus grands.
“Ces récentes cyberattaques en Pennsylvanie et au Texas mettent en évidence la fréquence croissante des cybermenaces contre les systèmes d’eau”, déclare l’auteur de l’étude. Nilufer Tuptukmaître de conférences en sécurité et science criminelle à Collège universitaire de Londres. « Au fil des années, ce sentiment d’urgence s’est accru, en raison de l’introduction de nouvelles technologies telles que Systèmes IoT et une connectivité étendue. Ces progrès entraînent leur propre ensemble de vulnérabilités, et les systèmes d’approvisionnement en eau sont des cibles privilégiées pour les acteurs compétents, y compris les États-nations.
Selon Katherine DiEmidio Ledesmaresponsable des politiques publiques et des affaires gouvernementales chez une société de cybersécurité basée à Washington, DC Dragos, les deux attaques ont percé des trous qui auraient dû être bouchés en premier lieu. « Je pense que le point intéressant, et la première chose à considérer ici, est que ces attaques n’étaient pas extrêmement sophistiquées », dit-elle. “Ils ont exploité des éléments tels que les mots de passe par défaut et d’autres éléments de ce type pour accéder.”
Faible priorité et fruits à portée de main
Pierre Hazell est le responsable de la sécurité cyberphysique chez Eau du Yorkshire à Bradford, en Angleterre, et co-auteur du Eau Bilan 2021 de la cybervulnérabilité dans les systèmes d’eau. Il affirme que le réseau électrique des États-Unis est relativement bien doté en ressources et résistant aux cyberattaques, du moins par rapport aux systèmes d’approvisionnement en eau américains.
« La structure du secteur de l’eau aux États-Unis diffère considérablement de celle de l’Europe et du Royaume-Uni et est souvent critiquée pour l’insuffisance des investissements dans la maintenance de base, sans parler de la cybersécurité », explique Hazell. « En revanche, le secteur électrique américain, après quelques pannes de courant notablesa reconnu son importance cruciale… et a établi [the North American Electric Reliability Corporation] en réponse. Il n’existe pas d’initiative équivalente pour sauvegarder le secteur de l’eau aux États-Unis, principalement en raison de sa nature fragmentée – généralement gérée par de multiples entreprises municipales plutôt que par le grand modèle régional interconnecté que l’on trouve ailleurs.
DiEmidio Ledesma affirme cependant que le problème de l’abondance ne concerne pas uniquement les États-Unis. « Il existe tellement de services d’eau à travers le monde que ce n’est qu’une question de chiffres, je pense », dit-elle. « La numérisation s’accompagne d’un risque accru de la part d’adversaires qui pourraient chercher à cibler le secteur de l’eau par des moyens cybernétiques, car une installation d’approvisionnement en eau en Virginie peut ressembler aujourd’hui beaucoup à un service des eaux en Californie, à un service des eaux en Europe, à un service des eaux. utilité en Asie. Comme ils utilisent les mêmes composants, ils peuvent être ciblés par les mêmes moyens.
« C’est pourquoi nous continuons de voir les services publics des infrastructures critiques et des installations d’approvisionnement en eau ciblés par les adversaires », ajoute-t-elle. « Ou du moins, nous continuons d’entendre de la part des gouvernements des États-Unis et d’autres gouvernements qu’ils sont ciblés. »
Un revirement américain imminent ?
Le mois dernier, le membre du Congrès de l’Arkansas Rick Crawford et membre du Congrès californien Jean Duarte introduit le Loi portant création de l’Organisation des risques et de la résilience liés à l’eau (WRRO) de fonder une agence fédérale américaine pour surveiller et se prémunir contre les risques ci-dessus. Selon Kévin Morleyresponsable des relations fédérales à l’agence basée à Washington, DC Association américaine des ouvrages en eauc’est un signe bienvenu de ce qui pourrait être un soulagement imminent, si le projet de loi peut devenir loi.
«Nous avons développé un papier blanc recommander ce type d’approche en 2021 », déclare Morley. « J’ai témoigné à plusieurs reprises dans ce sens, étant donné que nous reconnaissons qu’un certain niveau de normalisation est nécessaire pour parvenir à une compréhension commune des attentes. »
« Je pense que la meilleure expression pour résumer est « cibler les riches, mais les pauvres en ressources ». » —Katherine DiEmidio Ledesma, Dragos
Hazell, de Yorkshire Water, note que même si le projet de loi devenait loi, il ne satisferait peut-être pas tous ses partisans. « Même si le développement de la loi est encourageant, il semble un peu tardif et limité », dit-il. En revanche, Hazell souligne les directives du Royaume-Uni et de l’Union européenne sur la sécurité des réseaux et de l’information dans 2016 et 2023, qui coordonne les cyberdéfenses sur une gamme d’infrastructures critiques d’un pays membre. L’approche disparate que semblent privilégier les États-Unis, note-t-il, pourrait encore laisser des trous importants.
« Je pense que la meilleure expression pour résumer la situation est « ciblez les riches et les pauvres en ressources » », déclare DiEmidio Ledesma, à propos des défis de cybersécurité que posent aujourd’hui les systèmes d’eau municipaux. « Il s’agit d’un réseau d’infrastructures critiques très distribué. [There are] de très nombreuses petites installations d’approvisionnement en eau communautaires, et [they’re] très vital pour les communautés à travers les États-Unis et dans le monde.
En réponse aux menaces émergentes, Anne Neubergerconseiller adjoint à la sécurité nationale des États-Unis pour la cybersécurité et les technologies émergentes, a publié un appel public en mars pour que les États américains fassent rapport sur leurs plans visant à sécuriser les cyberdéfenses de leurs systèmes d’eau et de traitement des eaux usées d’ici le 20 mai. Contacté par Spectre IEEE Concernant les résultats et les réponses à la convocation de Neuberger, un porte-parole du Département d’État américain a refusé de commenter.
À partir des articles de votre site
Articles connexes sur le Web
