Par KIM BELLARD
Matthew Holt, éditeur de Le blog des soins de santé, pense que je m’inquiète trop pour trop de choses. Il a probablement raison. Mais voici une inquiétude dont je m’en voudrais de ne pas alerter les gens : votre approvisionnement en eau n’est pas aussi sûr – pas aussi sûr – que vous le pensez probablement.
je ne parle pas de le danger des tuyaux en plomb. je ne parle même pas du danger des microplastiques dans votre eau. J’ai déjà prévenu de ces deux problèmes (et je suis toujours inquiet à leur sujet). Non, je crains que nous ne prenions pas assez au sérieux le danger des cyberattaques contre nos systèmes d’approvisionnement en eau.
Il y a une semaine, l’EPA a publié un alerte d’application sur les vulnérabilités en matière de cybersécurité et les menaces qui pèsent sur les systèmes d’eau potable communautaires. C’était un jour après que le chef de l’EPA, Michael Regan, et le conseiller à la sécurité nationale, Jake Sullivan, ont envoyé une lettre à tous les gouverneurs américains les avertissant des « cyberattaques neutralisantes » contre les systèmes d’eau et d’assainissement et les exhortant à coopérer pour sauvegarder ces infrastructures.
« Les systèmes d’eau potable et d’assainissement sont une cible attrayante pour les cyberattaques car ils constituent un secteur d’infrastructures vitales, mais manquent souvent de ressources et de capacités techniques pour adopter des pratiques rigoureuses de cybersécurité », prévient la lettre. Il citait spécifiquement des attaques connues parrainées par l’État en Iran et en Chine.
L’alerte d’application précisait :
Les cyberattaques contre les CWS augmentent en fréquence et en gravité à travers le pays. Sur la base d’incidents réels, nous savons qu’une cyberattaque contre un système d’eau vulnérable peut permettre à un adversaire de manipuler la technologie opérationnelle, ce qui pourrait avoir des conséquences néfastes importantes tant pour le service public que pour les consommateurs d’eau potable. Les impacts possibles incluent la perturbation du traitement, de la distribution et du stockage de l’eau pour la communauté, l’endommagement des pompes et des vannes et la modification des niveaux de produits chimiques jusqu’à des quantités dangereuses.
Gouvernement suivant/FCW des peintures un sombre tableau de la vulnérabilité de nos systèmes d’approvisionnement en eau :
De nombreux États-nations adversaires ont réussi à pénétrer dans les infrastructures hydrauliques à travers le pays. La Chine a déployé son vaste et omniprésent collectif de piratage Volt Typhoon, en s’enfouissant dans de vastes segments d’infrastructures critiques et en se positionnant le long d’équipements de routage Internet compromis pour organiser de nouvelles attaques, ont déclaré précédemment des responsables de la sécurité nationale.
En novembre, des cyber-agents soutenus par le CGRI est entré par effraction des contrôles de traitement des eaux industrielles et des contrôleurs logiques programmables ciblés fabriqués par la société israélienne Unitronics. Plus récemment, il a été confirmé que des pirates informatiques liés à la Russie violé un grand nombre de systèmes d’approvisionnement en eau ruraux aux États-Unis, posant parfois des menaces à la sécurité physique.
Nous ne devrions pas être surpris par ces attaques. Nous avons appris que la Chine, l’Iran, la Corée du Nord et la Russie disposent de cyber-équipes très sophistiquées, mais lorsqu’il s’agit de systèmes d’approvisionnement en eau, il s’avère que les attaques ne doivent pas nécessairement être si sophistiquées. L’EPA a noté que plus de 70 % des systèmes d’approvisionnement en eau inspectés n’étaient pas entièrement conformes aux normes de sécurité, y compris aux protections de base telles que l’interdiction des mots de passe par défaut.
SuivantGov/FCW souligné qu’en octobre dernier, l’EPA a été contrainte d’annuler l’obligation pour les agences de l’eau d’évaluer au moins leurs cyberdéfenses, en raison de contestations judiciaires de plusieurs États (rouges) et de l’American Water Works Association. Tenez-en compte. Je parie que la Chine, l’Iran et d’autres les évaluent.
« Dans un monde idéal… nous aimerions que tout le monde ait un niveau de cybersécurité de base et puisse confirmer qu’il l’a », Alan Roberson, directeur exécutif de l’Association of State Drinking Water Administrators, dit PA. « Mais c’est loin. »
Tom Kellermann, vice-président directeur de la cyber-stratégie chez Contrast Security dit Magazine de sécurité: « La sécurité de l’approvisionnement en eau des États-Unis est menacée. Les États-nations voyous ciblent fréquemment ces infrastructures critiques, et nous serons bientôt confrontés à un événement potentiellement mortel. Cela ne semble pas très loin.
De même, le professeur Blair Feltmate, expert en systèmes d’eau à l’Université de Waterloo au Canada, a déclaré à Newsweek: « Le sud-ouest des États-Unis est sur le point de se retrouver à court d’eau, en raison d’une combinaison de chaleur extrême due au changement climatique, d’une sécheresse croissante et d’une demande excessive. Néanmoins, la survie dans le Sud-Ouest dépend de cet approvisionnement en eau de plus en plus précaire. En tant que tel, les cyber-méchants cibleront probablement cette région en utilisant une logique consistant à leur donner un coup de pied pendant qu’ils sont en panne.
D’autre part, David Reckhow, professeur émérite à l’UMass Amherst, également dit Semaine d’actualités: « Tous les systèmes d’approvisionnement en eau communautaires sont quelque peu vulnérables à une contamination intentionnelle, mais il est peu probable qu’une cyberattaque puisse compromettre sérieusement la qualité de l’eau ou la santé publique. En revanche, une cyberattaque pourrait entraîner des difficultés financières.»
Entre-temps, l’EPA prévoit d’augmenter le nombre d’inspections planifiées, mais le porte-parole de l’EPA, Jeffrey Landis admis à CNN l’agence « ne reçoit pas de ressources supplémentaires pour soutenir cet effort ». Il compte 88 inspecteurs accrédités ; il existe environ 50 000 systèmes d’approvisionnement en eau communautaires. Ce ne sont pas des ratios encourageants. Je parie que le CGRI iranien et le Volt Typhoon chinois comptent plus de 88 pirates informatiques… chacun.
Une partie du problème réside dans le fait que de nombreux systèmes d’approvisionnement en eau n’ont tout simplement pas considéré la cybersécurité comme la clé de leur action. Amy Hardberger, experte en eau à la Texas Tech University, dit Actualités CBS: « Certes, la cybersécurité en fait partie, mais cela n’a jamais été leur expertise première. Alors maintenant, vous demandez à un service des eaux de développer ce tout nouveau type de service.
Oui nous sommes.
Frank Ury, président du conseil d’administration du Santa Margarita Water District en Californie du Sud, dit Le journal de Wall Street qu’il craint que des pirates informatiques aient pénétré les systèmes et restent en sommeil jusqu’à une attaque coordonnée. Jake Margolis, responsable de la sécurité des informations du Metropolitan Water District de Californie du Sud, est d’accord et prévient : « Même si vous faites tout correctement, ce n’est toujours pas suffisant. » Et nous ne faisons même pas tout correctement.
Ce n’est pas comme si les systèmes d’approvisionnement en eau étaient généralement si robustes. Les infrastructures d’eau potable ont obtenu un C- au classement dernier rapport sur les infrastructures de l’ASCE, avec la reconnaissance : « Malheureusement, le système est vieillissant et sous-financé. » Il aurait pu ajouter : « et malheureusement pas préparé aux cyberattaques ».
Ainsi, nous pourrions voir notre eau coupée ou rendue imbuvable en modifiant la façon dont l’eau est traitée. Nous avons vu comment les entreprises réagissent aux demandes de rançon lorsque, par exemple, des données sont prises en otage ; que devrions-nous accepter pour récupérer de l’eau potable ? Nous nous inquiétons des missiles transportant des bombes ou des armes chimiques, alors pourquoi ne sommes-nous pas davantage préoccupés par les attaques contre la sécurité de nos eaux ?
Et, au cas où vous vous poseriez la question, les infrastructures hydrauliques ne sont pas les seules infrastructures vulnérables aux cyberattaques ; le grille éléctrique et même barrages ont été ciblés. Mais l’eau potable est un besoin aussi fondamental qu’il existe.
L’eau potable était l’un des plus grands triomphes de santé publique des 20ème siècle. Espérons que nous pourrons le garder en sécurité le 21St siècle.