Votre approvisionnement en eau est sous cyberattaque

Les cyberattaques dans le secteur de l'eau sont devenues de plus en plus courantes ces dernières années, entraînées par une augmentation de la cybercriminalité. L'industrie de l'eau est une cible particulièrement vulnérable pour les pirates, qui abrite de précieuses infrastructures critiques mais qui manque de mesures de cybersécurité avancées. Une analyse des principales attaques de ces dernières années montre quelques tendances significatives. Qu'est-ce qui cause l'augmentation des cyberattaques dans le secteur de l'eau et quelles mesures sont prises pour résoudre le problème ?

Principales cyberattaques dans le secteur de l'eau

Le coût mondial de la cybercriminalité était terminé neuf fois plus élevé en 2022 par rapport à 2018, estimé à 8,44 billions de dollars américains. Aujourd'hui, tout le monde est exposé à un risque accru de cyberattaque, y compris les fournisseurs de services publics tels que les sociétés d'approvisionnement et de traitement de l'eau. Le secteur américain de l'eau a été frappé par plusieurs cyberattaques majeures ces dernières années, ce qui constitue une grave menace pour la santé et la sécurité publiques.

Par exemple, en 2018, l'Onslow Water and Sewer Activity Authority en Caroline du Nord a dû fermer son réseau informatique après deux attaques consécutives de ransomwares. L'organisation de Jacksonville distribue de l'eau à plus de 100 000 habitants de la Caroline du Nord. Heureusement, les attaques de rançongiciels n'ont pas interrompu le service à ces résidents, mais elles ont mis en péril la sécurité des données et de l'infrastructure des services publics.

En 2019, un jeune de 22 ans a piraté à distance le réseau du district des eaux rurales du comté d'Ellsworth au Kansas. Le pirate a tenté de altérer les niveaux de désinfectant dans la station d'épuration, mais l'attaque a été stoppée avant de causer des dommages. Les responsables ont ensuite identifié et inculpé l'auteur, qui s'est avéré être un ancien employé de l'établissement du comté d'Ellsworth.

De même, en 2021, deux cyberattaques frappent les installations du secteur de l'eau à San Francisco, en Californie, et à Oldsmar, en Floride. Les deux attaques impliquaient l'utilisation d'un programme d'accès à distance appelé TeamViewer. Cette application est couramment utilisée dans l'industrie des services publics pour des tâches telles que la surveillance à distance des données de traitement et d'approvisionnement en eau. Cependant, les hackers en abusent pour manipuler illégalement les systèmes des entreprises du secteur de l'eau. Heureusement, les deux attaques ont été stoppées avant qu'elles ne causent le moindre dommage.

Tactiques et motivations des hackers

Qu'est-ce qui motive toutes ces attaques contre le secteur de l'eau ? Quelques facteurs poussent les pirates à se tourner vers des cibles moins conventionnelles comme les organisations du secteur de l'eau.

Ransomware-as-a-Service rend plus facile que jamais pour les mauvais acteurs de s'engager dans le piratage. Un pirate amateur peut accéder à un programme de rançongiciel sophistiqué en payant une somme modique au créateur du logiciel malveillant. En conséquence, plus de pirates informatiques participent activement au crime aujourd'hui qu'il y a cinq ou dix ans.

Une population plus élevée de pirates informatiques conduit beaucoup à envisager de nouveaux types de cibles. Une organisation idéale pour un pirate informatique est une organisation avec peu ou pas de ressources de sécurité à côté d'une sorte d'infrastructure critique. L'industrie de l'eau a besoin d'une approche centralisée de la sécurité et de nombreuses installations de traitement et de distribution nécessitent une cyber-sensibilisation plus critique. Ils disposent souvent de peu de protections contre l'accès non autorisé au réseau, exposant ainsi une infrastructure précieuse.

Par exemple, trois des quatre cyberattaques du secteur de l'eau décrites ci-dessus impliquaient l'exploitation de programmes d'accès à distance et d'informations d'identification d'employés. Les experts estiment qu'au moins 25% des violations de données sont causées par des informations d'identification volées, telles que celles utilisées dans les cyberattaques jumelles de 2021 dans le secteur de l'eau.

Lors des attaques de San Francisco et d'Oldsmar, les pirates ont utilisé des informations d'identification volées échangées sur le dark web. Chez Oldsmar, tous les employés de l'établissement auraient utilisé le même mot de passe pour accéder à l'application TeamViewer. Lors de l'attaque du comté d'Ellsworth, au Kansas, en 2019, le pirate informatique a abusé des privilèges des employés d'un ancien emploi dans le secteur de l'eau. Dans ces cas, des mesures de contrôle d'identité et d'accès plus importantes peuvent avoir empêché les pirates d'accéder aux systèmes et données sensibles.

Les motifs de nombreuses cyberattaques dans le secteur de l'eau semblent être basés sur les dommages ou la peur. Les pirates ont tenté d'empoisonner l'approvisionnement public en eau par diverses méthodes lors de nombreuses attaques. Par exemple, ils peuvent utiliser des outils d'accès à distance pour modifier la quantité de produits chimiques de traitement de l'eau à des niveaux toxiques.

Le gain financier est probablement également une incitation majeure, comme dans le cas des deux attaques de rançongiciels de 2018 dans une installation de Jacksonville, en Caroline du Nord. Les professionnels du secteur de l'eau et les leaders de l'industrie doivent garder à l'esprit que le FBI conseille aux organisations de ne jamais payer de rançons dans les attaques de rançongiciels. Payer encourage les pirates à poursuivre leurs campagnes criminelles et il n'y a aucune garantie qu'ils restaureront réellement les données d'une victime une fois payées.

Comment les États-Unis se mobilisent pour défendre le secteur de l'eau

Le gouvernement fédéral américain intensifie ses efforts pour améliorer la sécurité en réponse à la montée des cybermenaces contre le secteur de l'eau. Par exemple, en 2018, le Congrès a adopté la loi américaine sur les infrastructures hydrauliques. Il établit les exigences en matière d'évaluation des risques pour les installations d'eau desservant 3 300 personnes ou plus. La loi décrit également les orientations et le soutien technique que l'EPA devrait fournir aux organisations du secteur de l'eau.

En 2023, l'EPA a publié des exigences minimales de cybersécurité mises à jour pour les installations publiques d'eau. Les nouvelles exigences comprennent des audits de cybersécurité obligatoires pour s'assurer que les installations à l'échelle nationale mettent en œuvre des défenses résilientes. Les exigences mises à jour font suite à six initiatives 2021 suggérées par le Government Accountability Office, y compris le soutien de l'Initiative nationale pour l'éducation à la cybersécurité.

L'EPA prend également des mesures pour aider les organisations du secteur de l'eau à améliorer leurs pratiques en matière de sécurité. Par exemple, le programme de formation All-Hazards Bootcamp des services d'eau et d'eaux usées de l'EPA comprend une formation des employés sur la cybersensibilisation et les interventions d'urgence. La formation des employés est un élément essentiel de l'amélioration de la cybersécurité dans toute organisation. Les entreprises du secteur de l'eau peuvent utiliser des stratégies comme la gamification et les simulations maximiser l'impact de tels programmes.

De plus, le Centre de partage et d'analyse de l'information sur l'eau a connu une augmentation du nombre de ses membres. L'organisation fournit des données de sécurité et des conseils pour les installations du secteur de l'eau à l'échelle nationale. Connecter les professionnels du secteur de l'eau par le biais d'organisations comme celle-ci peut accroître la sensibilisation à la cybersécurité et le développement de solutions de sécurité spécifiques à l'industrie.

Protéger le secteur de l'eau

Tout le monde dépend de l'industrie de l'eau pour la santé, la sécurité et l'alimentation, il est donc primordial de la défendre contre les menaces numériques. Les organisations du secteur de l'eau doivent prendre des mesures proactives pour protéger leurs systèmes et leurs données contre les attaques, principalement car les pirates informatiques ciblent de plus en plus l'industrie. L'US EPA et les organisations de l'industrie fournissent des conseils et une aide pour aider les entreprises du secteur de l'eau à s'adapter à des besoins de sécurité plus avancés.