La Maison Blanche émet un avertissement concernant les cyberattaques ciblant les systèmes d’eau américains
Dans une lettre publiée par la Maison Blanche le 18 mars, l'Environmental Protection Agency et le conseiller à la sécurité nationale ont mis en garde les gouverneurs des États américains contre cyber-attaques qui « ont le potentiel de perturber la bouée de sauvetage essentielle qu’est l’eau potable propre et salubre, ainsi que d’imposer des coûts importants aux communautés affectées ». Ces attaques, dans lesquelles des acteurs malveillants ciblent des installations opérationnelles et compromettent des systèmes critiques, ont touché plusieurs villes des États-Unis. En réponse aux violations dans les zones touchées, des mesures ont été rapidement mises en œuvre, notamment des tests automatisés, pour garantir la sécurité des consommateurs. Heureusement, aucun dégât n’a été signalé jusqu’à présent.
Il y a eu plusieurs cas de cyberattaques ciblant les systèmes d'eau. Par exemple, en février 2021, un pirate informatique a tenté d'empoisonner l'approvisionnement en eau d'Oldsmar, en Floride, en obtenant un accès non autorisé au système de traitement de l'eau de la ville grâce à un logiciel dormant. Par ailleurs, en 2019, la ville de La Nouvelle-Orléans a déclaré l'état d'urgence à la suite d'une cyberattaque contre ses systèmes informatiques, qui a également affecté les systèmes de facturation et de service client du Sewerage and Water Board.
Lorsque des infrastructures critiques comme les systèmes d'approvisionnement en eau sont attaquées, plusieurs cybersécurité des inquiétudes surgissent. L’une des principales préoccupations concerne la possibilité que des pirates informatiques perturbent ou désactivent le fonctionnement des systèmes de traitement et de distribution d’eau, entraînant ainsi une contamination de l’eau ou des interruptions prolongées de l’approvisionnement. Une autre préoccupation est l'accès non autorisé à des informations sensibles d'information ou des systèmes de contrôle, qui pourraient être utilisés pour manipuler la qualité ou la distribution de l’eau. De plus, il existe un risque d'attaques de ransomwares, dans lesquelles les pirates pourraient chiffrer des systèmes critiques et exiger un paiement pour leur libération. Dans l’ensemble, les problèmes de cybersécurité liés aux attaques contre les systèmes d’eau sont importants et nécessitent des mesures de défense robustes pour protéger ces infrastructures essentielles.
Ces installations sont des cibles attractives pour les cyberattaques car, malgré leur importance, elles manquent généralement de ressources et ne peuvent pas mettre en œuvre les dernières mesures de sécurité. L’une des faiblesses citées dans le système était la faiblesse des mots de passe de moins de 8 caractères. De plus, la majorité de la main-d’œuvre de ces établissements a plus de 50 ans et est peu consciente des problèmes de cybersécurité auxquels sont confrontés les établissements publics. Il y a le problème de la bureaucratie, qui nécessite une paperasse excessive et plusieurs étapes pour obtenir l’approbation de simples modifications apportées aux systèmes existants.
Pour répondre aux problèmes de cybersécurité dans les systèmes d'eau, les mesures correctives comprennent la mise en œuvre de politiques de mots de passe plus strictes avec une authentification multifacteur, la fourniture d'une formation en cybersécurité au personnel, la mise à jour et l'application de correctifs aux systèmes, l'utilisation de la segmentation du réseau pour isoler les systèmes critiques, le déploiement de systèmes de surveillance avancés pour la détection des menaces en temps réel. , en établissant des plans détaillés de réponse aux incidents et en effectuant régulièrement des évaluations de sécurité et des tests d'intrusion pour atténuer les vulnérabilités. Ces mesures améliorent collectivement la posture de sécurité des installations de traitement et de distribution d’eau, atténuant les risques associés aux cyberattaques tout en promouvant des mesures proactives de cybersécurité et de préparation.
