Activité d’importance vitale, au même titre que la santé, l’énergie ou encore les communications électroniques, le secteur de l’eau déploie progressivement les objets connectés sur le réseau national. Une aubaine pour une gestion affinée de la ressource, mais autant de portes d’entrée potentielles pour les cyberattaques. Protection des identités et des accès, menaces, authentification forte : comment sécuriser les activités de distribution et d’assainissement de l’eau ?
L’eau, secteur d’activité d’importance vitale
La distribution d’eau auprès des foyers, des entreprises mais également pour les activités agricoles ou industrielles, très consommatrices, ainsi que son assainissement, sont des secteurs d’activités sensibles. Il s’agit d’assurer la continuité d’accès à la ressource autant que la sécurité sanitaire des populations.
En quelques années, afin de surveiller les réservoirs et des dizaines de milliers de kilomètres de canalisations, ce secteur d’activité d’importance vitale (SAIV) a déployé toute une série d’objets connectés : compteurs bien sûr, mais également solutions de tests et de mesures régulières sans intervention humaine. Ces capteurs sont en mesure de communiquer via les réseaux numériques, ouvrant ainsi la porte à des cybermenaces, de plus en plus nombreuses.
Et les exemples sont déjà nombreux à travers le monde :
- En février 2021, la ville d’Oldsmar, en Floride, a été la cible d’une cyber-attaque qui aurait pu avoir des conséquences désastreuses pour la santé publique. Des cybercriminels ont réussi à s’introduire dans le système informatique de la station d’épuration de la ville, en exploitant deux failles : la collecte d’identifiants de connexion TeamViewer partagés par plusieurs employés et l’utilisation de failles dans un système d’exploitation Windows 7 obsolète. Les pirates ont pu augmenter considérablement le niveau d’hydroxyde de sodium dans l’eau potable, la rendant extrêmement toxique. Par chance, les équipes de la station ont rapidement réagi et ont pu reprendre le contrôle de la situation, évitant ainsi une catastrophe sanitaire pour les 15 000 habitants de la ville.
- En décembre 2020, un groupe d’attaquants iraniens auraient pénétré dans le système d’approvisionnement en eau d’Israël. L’IHM était directement connecté à Internet, sans aucun appareil de sécurité le protégeant ou limitant l’accès. De plus, le système n’utilisait aucune méthode d’authentification, ce qui a permis aux attaquants de s’y connecter facilement et de modifier des paramètres tel que la pression de l’eau ou sa température.
Si l’Europe semble, à ce stade, relativement épargnée, les cyber-risques sur les réseaux d’eau sont bien réels.
La vulnérabilité des réseaux d’eau connectés
Les réseaux d’eau communicants, comme tous les systèmes de contrôle de processus industriels (SCPI), ont dû s’adapter à la fin du Réseau Téléphonique Commuté (RTC), qui les a conduit à basculer vers les réseaux de nouvelle génération, bâtis sur la technologique IP. Plus rapides, plus fiables et plus facilement administrables (automatisation, gestion distante…), ils sont aussi bien plus exposés aux risques et vulnérables aux cyberattaques.
La question de la sécurité, tous les gestionnaires de systèmes industriels se la posent. Et c’est encore plus vrai dans les 12 secteurs d’activité reconnus d’importance vitale (eau, énergie, transports, télécommunications…), où chaque opérateur (dits Opérateurs d’Importance Vitale ou OIV) se doit, légalement, de respecter un certain nombre d’obligations en matière de cybersécurité.
Parmi ces exigences, on trouve notamment :
- L’établissement et la tenue à jour de la liste de ses systèmes d’information d’importance vitale (SIIV) ;
- L’inventaire des opérateurs tiers qui participent au SIIV et prendre des mesures nécessaires pour garantir le respect des obligations de sécurité portant sur le SI par les opérateurs tiers ;
- La mise en œuvre des règles de sécurité définies par l’ANSSI et des systèmes de détection qualifiés par l’ANSSI ;
- La notification des incidents de sécurité et l’obligation de contrôles de sécurité ;
- La mise en œuvre des mesures fixées par l’ANSSI en cas de crise majeure.
Les certificats numériques, vecteurs de la sécurité du secteur de l’eau
C’est la granularité et la dispersion des objets connectés (capteurs, sondes et autres automates) sur l’ensemble des réseaux d’eau qui représentent l’un des plus gros défis en termes de cybersécurité du secteur de la distribution et de l’assainissement de l’eau. Chacun de ces objets est en effet une porte d’entrée potentielle vers le système d’information, et une ouverture vers des actions malveillantes.
Pour limiter les risques, une démarche de chiffrement des communications ainsi que de sécurisation des identités et de l’accès à l’ensemble des IoT présents sur les réseaux d’eau est indispensable. Tout comme l’authentification forte des personnels afin de sécuriser et tracer les interventions, qu’ils opèrent in situ ou à distance. Ce qui implique, dans tous les cas, de mettre en œuvre des certificats numériques SSL / TLS X.509 et d’en automatiser la gestion pour sécuriser les échanges et les accès sur le long terme. Pour les objets connectés, cette automatisation est possible grâce aux métadonnées associées à chaque objet, qui permettent d’identifier précisément chacun d’entre eux.
Avec la multiplication des certificats numériques pour sécuriser les communications, identifier et authentifier les utilisateurs, les applications et les appareils connectés, la mise en œuvre d’une solution de supervision et de gestion du cycle de vie des certificats numériques (Certificate Lifecycle Management, CLM), telle que BerryCert, devient incontournable. En effet, ces outils facilitent la détection des certificats non-conformes, arrivant à expiration ou expirés, et permettent d’automatiser leur renouvellement ou leur révocation. La gestion et la traçabilité des accès s’en trouve facilitée et sécurisée, afin de limiter le nombre de portes ouvertes sur les réseaux d’eau connectés dans le temps.
