Infrastructures de l’eau : quand états et cyber-attaquants s’en mêlent

Quelle cybersécurité pour les réseaux d’eau ? | Stormshield

Les tentatives de cyberattaques ciblant des barrages hydrauliques, des systèmes d’irrigation ou encore des usines de traitement des eaux sont peu présentes dans les médias. Pourtant, ces attaques existent bel et bien – et elles revêtent même un caractère stratégique inédit. Quel état des lieux pour la cybersécurité des réseaux d’eau à travers le monde ?

 

D’une manière générale, la protection cyber pour l’humain est un enjeu majeur, de la question de l’alimentation à celle de la santé, en passant par la gestion de l’eau. Au-delà des problématiques critiques inhérentes à ce secteur et de l’importance vitale de cette ressource, l’industrie de l’eau doit aussi composer avec la portée des attaques cyber dont elle est la cible. En effet, les cyberattaques qui visent l’eau sont à la hauteur de l’industrie : complexes et sophistiquées. Et elles sont souvent orchestrées par des organes étatiques dont l’objectif est de déstabiliser une économie ou un pays. Les industriels de l’eau doivent ainsi faire face à des enjeux de production de haute importance, et en parallèle à des impératifs de sécurité. L’objectif : protéger efficacement l’ensemble des infrastructures critiques et des équipements, en adoptant une posture de défense visant à limiter au maximum les dégâts qui pourraient être causés par des cyberattaques de grande ampleur.

 

Cybersécurité des réseaux d’eau, où en est-on ?

La principale actualité numérique des infrastructures de l’eau tient au remplacement des interconnexions RTC (ancien mode de communication) qui sont obsolètes pour migrer vers le réseau Ethernet ou vers les réseaux 4G et 5G, qui offrent une connectivité plus performante. L’ensemble des sites de l’industrie de l’eau opèrent progressivement cette migration, et se retrouvent donc connectés vers l’extérieur, ce qui n’était pas le cas auparavant. Au temps (béni) du RTC, la plupart des dispositifs (comme les automates par exemple) étaient isolés d’Internet. Mais avec la fin de ce mode de communication, ces mêmes dispositifs deviennent connectés et doivent faire face à de nouvelles menaces cyber.

Les industries de l’eau sont aujourd’hui obligées de réfléchir à la sécurisation de leurs systèmes car elles sont dans une logique IoT, voir même d’IIoT, avec des problématiques de sécurité inhérentes à cela

Raphaël Granger, Named Account Manager Stormshield

Ce changement de paradigme pousse l’industrie de l’eau à répondre à un double enjeu : basculer les systèmes et les équipements industriels vieillissants (Windows XP et autres) vers des technologies plus performantes – et plus connectées – et intégrer la notion de cybersécurité comme partie intégrante de l’activité industrielle. « Les industries de l’eau sont aujourd’hui obligées de réfléchir à la sécurisation de leurs systèmes car elles sont dans une logique IoT (Internet of Things), voir même d’IIoT (Industrial Internet of Things), avec des problématiques de sécurité inhérentes à cela », explique Raphaël Granger, Named Account Manager chez Stormshield.

Mais l’industrie de l’eau doit également faire face à des menaces inhérentes à sa nature. En raison de l’existence de multiples sites physiques (bassins de traitement, centres de distribution et autres châteaux d’eaux par exemple), l’industrie de l’eau doit faire appel à des architectures distribuées dans lesquelles transitent messages et commandes. Les enjeux d’intégrité et de confidentialité de ces échanges sont alors primordiaux pour assurer en bout de chaîne la qualité d’une ressource vitale, à l’heure où la télégestion se généralise. Mais ces enjeux impliquent également une réelle sensibilité cyber de tous les intervenants – à l’image des prestataires de télémaintenance.

 

Une attention réglementaire à plusieurs vitesses

En France, les infrastructures sensibles liées à l’industrie de l’eau sont, depuis de nombreuses années, identifiées comme des opérateurs d’importance vitale (OIV), dans le cadre de la loi de programmation militaire. Et sont, de ce fait, suivies de près par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Cette vigilance particulière de l’État pousse le secteur de l’eau, par la force des choses, à prendre de plus en plus conscience des enjeux cyber inhérents à son activité.

À l’international, la plupart des acteurs de l’eau des pays développés commencent aussi à intégrer la cybersécurité comme prérequis. « Le niveau de cybersécurité des réseaux d’eau n’est pas encore à la hauteur du niveau de menace auquel l’industrie de l’eau est confrontée, indique Nebras Alqurashi, Responsable du développement commercial et technique au Moyen-Orient chez Stormshield. Mais de plus en plus d’autorités tirent le signal d’alarme et souhaitent faire évoluer les choses. » Dans les pays en développement en revanche, la cybersécurité est loin de figurer parmi les priorités des industriels de l’eau. « Pour ces pays, les enjeux sont ailleurs : rareté de l’eau, traitement de l’eau, efficacité des réseaux de distribution, assainissement, etc. En matière de gestion et d’accès à l’eau, tous les pays ne sont pas sur un pied d’égalité », souligne Tarik Zeroual, Global Account Manager chez Stormshield. Qui dit inégalité et rareté – l’eau est par exemple très rare au Moyen-Orient – dit aussi convoitises et conflits autour de l’eau et de la maîtrise de son industrie. Cet état de fait, à la fois économique et politique, crée un terrain particulièrement propice aux cyberattaques, qui deviennent alors un moyen de pression et de déstabilisation d’état à état.

 

Géopolitique, santé publique… les enjeux derrière les cyberattaques menées contre les infrastructures de l’eau

On pourrait presque dire que l’industrie de l’eau multiplie les problématiques entre les équipements qui sont particulièrement vulnérables (car contrôlés par d’anciens systèmes d’exploitation), la transition vers l’IIoT ou encore les enjeux géopolitiques et stratégiques liés à la ressource de l’eau. Impossible donc pour l’eau et ses infrastructures critiques de passer sous le radar des cyber-attaquants.

Les infrastructures de l’eau sont donc aujourd’hui sous le feu cyber, et ce sont les attaques par ransomware qui semblent remporter la préférence des attaquants. D’après la société américaine Gray Matter, plus de 22 cyberattaques de ce type auraient été recensées en 2019 rien qu’aux États-Unis. En 2018 déjà, un service des eaux de Caroline du Nord, était la cible d’une cyberattaque par ransomware, alors que l’État était en pleine gestion de crise après avoir subi le passage dévastateur de l’ouragan Florence, quelques semaines auparavant. Les attaquants avaient alors été soupçonnés de profiter de ce contexte chaotique pour s’attaquer aux systèmes de l’eau et nuire à la population. Pour s’introduire dans le réseau d’eau, ils auraient d’abord utilisé le malware Emotet, puis, une fois installés dans les systèmes, ils auraient alors injecté le ransomware Ryuk – connu pour s’attaquer notamment aux structures publiques – et chiffré une partie des données du service des eaux.

 

 

En remontant encore dans le temps, en 2017, des chercheurs en cybersécurité de l’université de l’État de Géorgie, avaient mis au point une nouvelle forme de malware capable d’empoisonner l’eau en modifiant le taux de chlore utilisé dans les usines de potabilisation de l’eau. Pour simuler cette attaque, les chercheurs ont pris le contrôle des PLC (Programmable Logic Controllers, automates industriels programmables en français) de l’usine. Dans leur rapport qui retrace cette simulation, les chercheurs détaillent les modes opératoires que les attaquants pourraient utiliser pour prendre le contrôle de ces PLC vulnérables. Il y a d’abord une première phase de reconnaissance, pour détecter les PLC connectés à Internet (notamment via le moteur de recherche spécialisé Shodan), et s’en servir comme portes d’entrée. Une fois dans le système, les attaquants pourraient alors se propager dans le réseau d’une usine et collecter les données-clés de l’usine comme les accès au contrôle des automates et leurs commandes. Enfin, la dernière étape consisterait à augmenter la quantité de chlore ajoutée à l'eau et afficher de faux relevés.

Car c’est aussi un des objectifs les attaques cyber ciblant les infrastructures de l’eau : des attaques stratégiques, poussées, et dont l’impact peut mettre en danger une partie de la population d’un pays. Et entraîner la déstabilisation d’un état entier. L’enjeu de santé publique lié à l’eau est un enjeu critique, avec lequel doivent composer les industriels dans leur lutte contre les cyberattaques. « Si on touche un site de distribution d’eau, on touche la population, avec un risque de dommages physiques important. Une cyberattaque réussie sur l’industrie de l’eau, c’est une attaque qui peut générer un risque immédiat » alerte Tarik Zeroual.

Une cyberattaque réussie sur l’industrie de l’eau, c’est une attaque qui peut générer un risque immédiat

Tarik Zeroual, Global Account Manager Stormshield

Au-delà des travaux menés par cette université, la modification du traitement chimique de l’eau s’apparente à un risque bien réel. En avril dernier, l’Iran, par le biais de cyber-attaquants, aurait tenté de réaliser cette opération et ainsi d’impacter la qualité de l’eau destinée à approvisionner une partie de la population israélienne. Les attaquants auraient d’abord pris le contrôle de serveurs américains, pour brouiller les pistes, pour ensuite s’attaquer aux réseaux de distribution d’eau ciblés. L’attaque n’a finalement pas abouti, mais dans le cas contraire les dégâts en matière de santé publique auraient été conséquents, avec l’empoisonnement probable d’une partie des habitants.

 

 

En juillet dernier, Israël déplorait deux nouvelles attaques menées contre ses infrastructures sensibles d’eau. Cette fois-ci, ce ne sont pas des réseaux urbains qui étaient visés, mais des dispositifs utilisés pour le secteur agricole. D’une ampleur moins importante donc, mais l’Iran reste soupçonné d’être à l’origine de ces attaques, avec un objectif de déstabilisation et d’affaiblissement politique de l’État d’Israël. Pour ces deux tentatives, les attaquants auraient là encore utilisé des serveurs américains pour ensuite infecter les programmes de contrôle des pompes.

D’une manière générale, ces cyberattaques contre les infrastructures de l’eau semblent rondement menées : elles sont anticipées, préparées et extrêmement bien documentées. Les attaquants connaissent ainsi le fonctionnement des systèmes qu’ils ciblent ; rien n’est laissé au hasard, et rien n’est fait par opportunisme. De quoi laisser supposer que les cyberattaques visant l’industrie de l’eau semblent commanditées par ou pour des états, et que les groupes d’attaquants qui les réalisent sont tout sauf des amateurs. « Les attaquants qui mènent des actions contre l’industrie de l’eau sont des groupes organisés – en général des APT russes, chinoises ou iraniennes – et financés ou chapotés par des organes étatiques », indique Tarik Zeroual.

L’eau offre donc la possibilité de réaliser des cyberattaques de grande ampleur, avec une dimension stratégique réelle. Les industriels de l’eau doivent s’armer en conséquence pour limiter au maximum le détournement de leurs infrastructures à des fins de guerre cyber, sur fond de géopolitique.

 

Segmenter pour mieux se protéger : la riposte de l’industrie de l’eau

Aux grands maux les grands remèdes. Pour se prémunir des attaques cyber dont elle est la cible, l’industrie de l’eau doit filtrer ce qui arrive du monde extérieur vers ses usines. Pour ce faire, le secteur a mis en place une politique de segmentation de ses sites. Une approche indispensable à la protection des infrastructures de l’eau, d’autant plus qu’elle peut prendre des formes multiples. « Les industries de l’eau réalisent des segmentations de chacun de leurs sites et contrôlent les communications qui y transitent », détaille Raphaël Granger. Au-delà de la segmentation des sites opérationnels, l’industrie de l’eau sépare aussi le monde IT (PC, serveurs, utilisateurs) du monde de l’OT (monde opérationnel) au sein de ceux-ci. Cette segmentation vise à pouvoir isoler la partie opérationnelle en cas d’attaques. Enfin, au sein-même de la partie OT, il est possible de trouver là encore une forme de segmentation, avec une séparation entre la partie supervision et la partie exécution (automates).

Les grands acteurs de la cyber, notamment les éditeurs, accompagnent les industriels de l’eau dans cette démarche de segmentation et à travers un certain nombre de dispositifs de sécurité, visant à renforcer les capacités de prévention des cyberattaques. « Pour assurer la cybersécurité des réseaux d’eau, les éditeurs aident les industriels du secteur à vérifier la fiabilité et la conformité des protocoles réseaux. L’idée est de pouvoir s’assurer, par la mise en place de pare-feux industriels notamment, que ces protocoles ne sont pas modifiés ou offusqués par un attaquant », explique Raphaël Granger. Pour cette industrie, il est donc fondamental de disposer de solutions capables de vérifier la légitimité des commandes réalisées par les automates, et mettre en place des systèmes permettant de gérer et de sécuriser les accès distants (pour la télémaintenance, gestion d’alarmes, etc.).

 

L’industrie de l’eau organise sa riposte contre les cyberattaques, mais ce n’est que le début. Dès demain, le secteur devra répondre à un nouveau challenge : celui d’étendre ses politiques de sécurité à toute la chaîne, au-delà des usines ; et de s’orienter vers une démarche IIoT encore plus poussée, avec une sécurisation des communications et des systèmes de bout en bout, de l’usine, jusqu’au consommateur.

Partager sur

Avec une longue liste de protocoles industriels supportés par l'analyse contextuelle des paquets (Stateful DPI) dans le trafic du réseau, notre pare-feu industriel SNi20 se présente comme une des solutions les plus efficaces pour assurer la cybersécurité de vos réseaux d’eau.
Comment optimiser la cybersécurité du réseau d’eau potable d’une métropole française de plus d’un million d’habitants en tenant compte des contraintes opérationnelles ? Et comment équiper individuellement 100 châteaux d’eau pour assurer leur sécurité ? La réponse détaillée dans ce témoignage client Stormshield.

À propos de l'auteur

Khobeib Ben Boubaker
Head of Industrial Security Business Line, Stormshield

Formé au sein de l’École d’Ingénieur du CESI et titulaire d’un MBA de l’ESCP Europe, Khobeib a débuté sa carrière au sein d’Alcatel Lucent dans l’entité Submarine Network. Ses premiers amours : la conception des systèmes par fibre optique permettant l’intercommunication entre les pays et opérateurs. Ingénieur R&D, formateur international, ingénieur d'affaires, puis Directeur de Business Unit : Khobeib a connu plusieurs casquettes techniques et business pendant une dizaine d'années, avant d'arriver chez Stormshield. Et après un premier poste comme Business Developper de l’offre sécurité industrielle, il est désormais responsable de la Business Line dédiée au secteur industriel pour accompagner les ambitions stratégiques de l'entreprise en matière de cybersécurité IT/OT.