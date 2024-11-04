American Water, la plus grande entreprise américaine cotée en bourse dans le secteur de l’eau et des eaux usées, a récemment subi un incident de cybersécurité qui a contraint l’entreprise à déconnecter des systèmes clés, y compris sa plateforme de facturation client. Alors que l’enquête est en cours, les vulnérabilités qui persistent dans le secteur de l’eau, qui est de plus en plus souvent la cible de cyberattaques, suscitent de plus en plus d’inquiétudes.
Cette faille de sécurité rappelle brutalement les risques liés aux infrastructures critiques qui pèsent depuis longtemps sur le secteur. Bien que la compagnie des eaux ait confirmé que ses opérations et la qualité de l’eau n’ont pas été affectées, la fermeture par American Water de son système de facturation et de son portail client met en lumière l’intersection critique entre les vulnérabilités des technologies opérationnelles (OT) et des technologies de l’information (IT) dans les services essentiels.
Les systèmes de traitement de l’eau et des eaux usées aux États-Unis sont essentiels à la santé publique et à l’environnement, mais ils souffrent aussi d’un sous-financement chronique, d’infrastructures héritées et d’une surface d’attaque en expansion. La dépendance aux systèmes OT, dont beaucoup ne disposent pas de protections de sécurité modernes, a rendu ces services publics particulièrement vulnérables aux cybermenaces.
Selon un rapport de la CISA, les hacktivistes pro-russes ciblent de plus en plus les systèmes de contrôle industriel (ICS) au sein des services des eaux, exploitant souvent des mots de passe par défaut, des points d’accès à distance non sécurisés et d’autres pratiques d’hygiène cybernétique insuffisantes.
Les réseaux d’eau sont uniques en ce sens qu’ils s’appuient sur des réseaux complexes d’ICS pour gérer des fonctions critiques, telles que les processus de traitement et la distribution. Ces systèmes n’ont pas été initialement conçus en tenant compte de la cybersécurité, ce qui a conduit à un patchwork de protections qui ne répondent pas à l’environnement informatique d’aujourd’hui.
Les attaquants, en particulier les acteurs étatiques, considèrent les services d’eau comme des cibles précieuses en raison de leur potentiel à perturber les infrastructures civiles et à provoquer une panique générale. De plus, en raison de leur carences en matière de sécurité, les systèmes d’approvisionnement en eau sont plus faciles à pirater. Dans l’ensemble, les vulnérabilités du secteur de l’eau en font une cible privilégiée pour les adversaires qui cherchent à obtenir un gain monétaire ou à exercer une pression géopolitique.
La décision d’American Water de divulguer la cyberattaque via un dépôt 8-K met en lumière son rôle d’infrastructure critique et les exigences réglementaires liées à ce statut. La loi de 2022 sur le signalement des cyberincidents relatifs aux infrastructures critiques (CIRCIA) oblige les entités chargées des infrastructures critiques à signaler les cyberincidents à la CISA dans les 72 heures suivant leur détection. Cette mesure s’inscrit dans le cadre d’une initiative fédérale plus large visant à garantir une notification et une réponse rapides aux cybermenaces ciblant les services essentiels.
Selon CIRCIA, les organisations sont tenues de notifier non seulement les agences fédérales comme la CISA, mais aussi le public, en particulier lorsque des interruptions de service ou des violations de données touchent les consommateurs. Dans ce cas, le dépôt 8-K d’American Water sert à la fois de notification légale et publique, car la Securities and Exchange Commission (SEC) impose aux sociétés cotées en bourse de signaler des événements importants pouvant affecter leur situation financière.
Ce processus de notification est crucial pour maintenir la confiance du public dans les services critiques. Bien qu’American Water ait assuré au public que la qualité de l’eau et les processus opérationnels n’avaient pas été affectés, la transparence dans la divulgation de la cyberattaque témoigne de l’environnement réglementaire renforcé dans lequel les opérateurs d’infrastructures critiques fonctionnent aujourd’hui.
Le secteur de l’eau, comme de nombreux autres secteurs d’infrastructures critiques, fonctionne dans le cadre des exigences de cybersécurité volontaires et obligatoires. En 2023, l’Agence américaine de protection de l’environnement (EPA) a tenté d’introduire des audits de cybersécurité obligatoires pour les services des eaux dans le cadre de sa réglementation baptisée Safe Water Drinking Act.
Ces audits visaient à évaluer la posture de cybersécurité des services publics, dont beaucoup ont eu du mal à mettre en place des mesures de sécurité de base, telles que l’authentification multifactorielle (MFA) et la segmentation réseau. Cependant, les complexités juridiques de plusieurs États ont retardé la mise en œuvre complète de ces mandats, et l’environnement réglementaire reste en constante évolution.
La CISA a également publié des orientations détaillées sur la sécurisation des systèmes ICS et OT dans les secteurs de l’eau et des eaux usées. Ces directives, exposées dans ses Objectifs de Performance en Cybersécurité Intersectorielles (CPG), incluent des recommandations pour réduire l’exposition des systèmes critiques à Internet, appliquer des politiques de mots de passe strictes et garantir que les dispositifs industriels obsolètes soient remplacés ou gérés en toute sécurité.
La fréquence croissante des cyberattaques dans le secteur de l’eau a prompt un débat national plus large sur la nécessité d’adopter des réglementations plus strictes et des normes à l’échelle des secteurs. En réponse, l’administration Biden a souligné l’importance de renforcer la résilience au sein des systèmes d’eau grâce à la formation à la cybersécurité, au partage des menaces et à l’investissement dans les technologies de sécurité.
La cyberattaque d’American Water souligne les vulnérabilités qui continuent de sévir dans les secteurs de l’eau et des eaux usées, en particulier à l’intersection des technologies de l’information et des technologies opérationnelles. Face aux menaces persistantes d’acteurs étatiques et de groupes d’hacktivistes, le secteur de l’eau doit renforcer d’urgence sa posture de cybersécurité.
La transparence avec laquelle American Water a signalé l’incident et sa coopération avec la CISA et les forces de l’ordre ont créé un précédent nécessaire pour les autres fournisseurs d’infrastructures critiques. Alors que les réglementations en matière de cybersécurité continuent d’évoluer, les compagnies des eaux devront donner la priorité à la cyber-hygiène, adopter les bonnes pratiques des agences fédérales et se préparer à l’inévitabilité de futures attaques.