Français
English
Deutsch
Italiano
Русский
Español
Au moins 31 « compromissions » informatiques touchant des acteurs du secteur de l’eau en France ont été traitées par l’Agence nationale de sécurité des systèmes d’information (Anssi) depuis 2021, révèle un rapport à paraître jeudi 28 novembre. Dans cette étude d’une vingtaine de pages, l’autorité détaille les risques qui pèsent sur la gestion de l’eau en France – collecte, stockage, distribution ou encore assainissement des eaux usées – en matière de cybersécurité.
Cet état de la menace s’appuie sur des exemples étrangers. A commencer par l’Ukraine, où Sandworm, une unité d’élite des services de renseignements militaires russes (GRU), est spécialisée depuis plusieurs années dans des attaques informatiques ayant pour but de saboter des infrastructures critiques physiques. En mars 2024, ce groupe aurait ainsi, rappelle l’Anssi, ciblé « environ vingt entreprises ukrainiennes spécialisées dans l’approvisionnement en énergie, en eau et en chaleur », dans l’objectif de saboter leurs logiciels de contrôle industriels.
Une menace avant tout crapuleuse
En France, aucun incident de cette ampleur n’a été détecté pour le moment. « L’Anssi n’a pas connaissance de compromission majeure d’une entité du secteur » sur le territoire, explique l’agence au Monde, tout en soulignant que son analyse se fonde uniquement sur les incidents qui lui ont été signalés ou sur des rapports publics. L’Anssi rappelle toutefois que les infrastructures d’assainissement et d’approvisionnement d’eau tricolores peuvent être gérées par une variété d’acteurs, ce qui élargit la surface d’attaque et pose des défis en matière de sécurisation. De plus, les installations sont souvent connectées pour permettre une gestion à distance et limiter le déplacement de la main-d’œuvre, et peuvent ainsi se retrouver vulnérables.
Dans l’Hexagone, à ce jour, la menace est avant tout crapuleuse plus qu’étatique. Ainsi, huit attaques menées par rançongiciel ont été identifiées depuis 2021, relate l’Anssi. Parmi les victimes : une entité appartenant à Veolia, un syndicat des eaux dans un département d’outre-mer ou encore le Syndicat mixte départemental d’eau et d’assainissement de l’Ariège.
Au cours du mois d’avril 2024, une commune française a ainsi été victime de Babuk, un rançongiciel relié au pirate russe Mikhail Matveev (connu sous le pseudonyme de « Wazawaka » et spécialisé dans l’intrusion informatique). « Si la distribution de l’eau demeurait possible, sa facturation ainsi que le pilotage de sa production, c’est-à-dire la supervision de la distribution et la télé-intervention, étaient inopérants », résume l’Anssi, qui ajoute qu’un passage en fonctionnement dégradé a néanmoins assuré « la continuité du service ».
Il vous reste 40.52% de cet article à lire. La suite est réservée aux abonnés.
