Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog
Agriculture, alimentation, santé publique... soyons rationnels

Protéger nos réseaux d'eau à l'ère des cybermenaces

22 Juin 2023 Publié dans #Santé publique

Protéger nos réseaux d'eau à l'ère des cybermenaces

 

Susan Goldhaber, ACSH*

 

 

Image : VIN JD de Pixabay

 

 

Lorsque nous ouvrons le robinet, nous nous attendons tous à avoir de l'eau potable propre et sûre. Les menaces qui pèsent sur la cybersécurité des systèmes publics d'approvisionnement en eau potable sont des problèmes cruciaux, mais souvent négligés, auxquels notre pays est confronté. L'Agence de Protection de l'Environnement (EPA) est confrontée à la question de savoir comment réglementer ces menaces émergentes.

 

Ma note : Cet article traite beaucoup de procédures états-uniennes, mais porte sur un sujet important. Est-il traité de manière satisfaisante en France ? Et il n'y a pas que la sécurité informatique, mais aussi physique.

 

 

En mai 2021, le Département de la Sécurité Intérieure a lancé un avertissement selon lequel

 

« les cyberattaques de haut niveau contre les réseaux du secteur des systèmes d'approvisionnement en eau et de traitement des eaux usées vont se multiplier, car les cyberacteurs criminels, étatiques et terroristes, cherchent à exploiter les vulnérabilités persistantes pour atteindre des objectifs financiers, géopolitiques ou idéologiques ».

 

Cette inquiétude n'était pas vaine. Au cours des trois dernières années :

 

  • Des pirates informatiques d'Oldsmar, en Floride, ont tenté d'augmenter le niveau d'hydroxyde de sodium (soude caustique) dans l'eau de 100 parties par million (ppm) à 11.100 ppm, un niveau qui peut causer des difficultés à avaler, des nausées/vomissements, des douleurs abdominales et des dommages au tractus gastro-intestinal. Heureusement, un employé vigilant a remarqué que le curseur de son ordinateur se déplaçait tout seul, a réinitialisé les niveaux d'hydroxyde de sodium et a alerté son supérieur avant que des dommages ne fussent causés.

     

  • Dans la région de la baie de San Francisco, un pirate informatique, utilisant le nom d'utilisateur et le mot de passe d'un compte TeamView (un programme populaire qui permet aux utilisateurs de contrôler leurs ordinateurs à distance) d'un ancien employé, a supprimé des programmes que l'usine de traitement des eaux utilisait pour traiter l'eau potable. Le piratage ayant été découvert et corrigé rapidement, aucune défaillance n'a été signalée à la suite de cet incident.

     

  • En Israël, des pirates informatiques, peut-être iraniens, ont tenté, en vain, d'augmenter les niveaux de chlore dans cinq installations nationales d'approvisionnement en eau. Si cette tentative avait réussi, elle aurait pu entraîner d'importants problèmes de santé dans tout le pays et nuire gravement à l'industrie agricole (car les installations d'approvisionnement en eau contrôlent également les pompes agricoles).

 

 

Le défi de la cybersécurité

 

L'EPA fournit un soutien et une assistance technique pour sécuriser les 52.000 systèmes d'approvisionnement en eau et les 16.000 systèmes de traitement des eaux usées du pays. Toutefois, en vertu de la loi sur la salubrité de l'eau potable (Safe Drinking Water Act), ce sont les États, et non le gouvernement fédéral, qui sont les premiers responsables de la sûreté et de la sécurité des systèmes d'approvisionnement en eau sur leur territoire.

 

Aux États-Unis, les ressources et les capacités varient. Il existe une multitude de systèmes, dont beaucoup sont assez petits et disposent de budgets limités, et un nombre croissant de systèmes d'approvisionnement en eau gérés par des entreprises privées. Les usines qui desservent de grandes populations disposent souvent d'un personnel spécialisé dans la cybersécurité. En revanche, dans les petites collectivités, une ou deux personnes gèrent l'ensemble du système d'approvisionnement en eau, et aucun membre du personnel n'est formé à la cybersécurité.

 

Il existe deux approches réglementaires distinctes.

 

 

L'approche de l'EPA

 

La loi sur la sécurité de l'eau potable (Safe Drinking Water Act) a été rédigée avant l'apparition de l'internet et, a fortiori, des cybermenaces. La loi ne donne pas à l'EPA le pouvoir direct d'établir des réglementations en matière de cybersécurité. Mais elle dispose d'une solution de contournement, à savoir l'obligation pour les systèmes publics de distribution d'eau de mener périodiquement des enquêtes sanitaires, c'est-à-dire des examens sur place « évaluant les installations, l'équipement, le fonctionnement et l'entretien en vue de produire et de distribuer de l'eau potable sûre ».

 

Traditionnellement, l'objectif de l'enquête sanitaire était d'identifier les conditions d'insalubrité et de s'assurer que le système d'approvisionnement en eau fonctionne de manière à fournir de l'eau potable de la source au robinet [1]. L'EPA a réagi à la cybersécurité dans les réseaux publics de distribution d'eau en publiant un mémorandum en mars dernier :

 

« L'EPA interprète les exigences réglementaires relatives à la conduite d'enquêtes sanitaires comme exigeant que lorsqu'une PWS [Public Water Authority – autorité publique de l'eau] utilise une technologie opérationnelle, telle qu'un système de contrôle industriel (ICS), dans le cadre de l'équipement ou du fonctionnement de tout composant requis d'une enquête sanitaire, l'enquête sanitaire de cette PWS doit inclure une évaluation de l'adéquation de la cybersécurité de cette technologie opérationnelle pour la production et la distribution d'une eau potable sûre. »

 

Les procureurs généraux de l'Arkansas, de l'Iowa et du Missouri ont intenté un procès à l'EPA le mois dernier, affirmant que le mémorandum sur la cybersécurité modifie la manière dont ils mènent les enquêtes sanitaires et impose une technologie et des coûts accrus aux petits systèmes d'approvisionnement en eau ruraux. Ils affirment que l'EPA :

 

  • a contourné illégalement les exigences de la loi sur la procédure administrative (Administrative Procedure Act), notamment en ce qui concerne les commentaires et l'examen publics ;

     

  • a empiété sur la souveraineté des États en menaçant de retirer des millions de dollars de financement et d'assumer l'autorité de mise en œuvre si les États ne se conformaient pas aux exigences ;

     

  • a imposé un « mandat non financé » impliquant des coûts importants, notamment des heures de travail et des ressources supplémentaires pour mener à bien les enquêtes sanitaires élargies, sans financements additionnels.

 

 

L'approche de l'American Water Works Association (AWWA)

 

L'AWWA, la plus grande association représentant les services de distribution d'eau aux États-Unis, a publié un rapport en 2021 concluant qu'une approche co-réglementaire, s'appuyant sur la loi de 2018 sur l'infrastructure de l'eau, était la meilleure option. Cette loi exige que les systèmes d'eau communautaires desservant plus de 3.300 personnes élaborent des évaluations des risques et de la résilience ainsi que des plans d'intervention d'urgence. Ces plans doivent tenir compte des risques pour les « systèmes électroniques, informatiques ou autres systèmes automatisés (y compris la sécurité de ces systèmes) qui sont utilisés par le système ».

 

L'AWWA a recommandé la création d'une nouvelle entité, la Water Risk and Resilience Organization (WRRO – organisation pour les risques liés à l'eau et la résilience), pour servir et représenter les points de vue des services publics de l'eau. Le Congrès approuverait explicitement la création de la WRRO et l'extension de la surveillance de la cybersécurité à l'EPA. En collaboration avec l'EPA, cette organisation élaborerait des normes de cybersécurité, que l'EPA approuverait ou rejetterait. Si l'EPA rejetait une norme, elle fournirait des recommandations spécifiques pour une nouvelle soumission. La WRRO et l'EPA se partageraient les responsabilités en matière d'audit de conformité et d'application.

 

L'approche proposée par l'AWWA répondrait à l'une des principales préoccupations de la Cyberspace Solarium Commission, mandatée par le Congrès, à savoir « l'insuffisance de la coordination entre l'EPA et les autres parties prenantes en matière de sécurité des services de distribution d'eau ».

 

La gestion de la cybersécurité a peu de chances de réussir par la voie réglementaire. La cybersécurité nécessite un état d'esprit et une approche de partenariat. L'approche de l'AWWA semble être un bon point de départ pour faire face aux menaces de cybersécurité qui pèsent sur nos systèmes d'approvisionnement en eau.

 

_____________

 

[1] Les huit composantes d'une enquête sanitaire sont la source d'eau brute, le traitement, la distribution, le stockage de l'eau finie, les pompes, la surveillance et les rapports, la gestion et l'exploitation, et la conformité de l'opérateur.

 

Source : A Republican-Led Lawsuit Threatens Critical US Cyber Protections (un procès mené par les Républicains menace les protections essentielles des États-Unis en matière de cybersécurité), Wired

 

Susan Goldhaber, M.P.H., est une écotoxicologue qui a plus de 40 ans d'expérience dans des agences fédérales et d'État ainsi que dans le secteur privé. Elle s'intéresse particulièrement aux substances chimiques présentes dans l'eau potable, l'air et les déchets dangereux. Elle se concentre actuellement sur la traduction des données scientifiques en informations utilisables par le public.

 

Source : Protecting Our Water Systems in the Age of Cyber Threats | American Council on Science and Health (acsh.org)

Partager cet article
Repost0
Pour être informé des derniers articles, inscrivez vous :
Vous aimerez aussi :
Le Brésil lâche des moustiques génétiquement modifiés pour lutter contre les cas de dengue
Le Brésil lâche des moustiques génétiquement modifiés pour lutter contre les cas de dengue
L'Ouganda et Djibouti veulent des moustiques «Friendly » pour lutter contre le paludisme
L'Ouganda et Djibouti veulent des moustiques «Friendly » pour lutter contre le paludisme
Pesticides et pathologies pédiatriques : le CHU d'Amiens est-il dans son rôle ?
Pesticides et pathologies pédiatriques : le CHU d'Amiens est-il dans son rôle ?
Une étude le prouve : les résidus de pesticides dans les aliments diminuent la mortalité ! (titre putaclic)
Une étude le prouve : les résidus de pesticides dans les aliments diminuent la mortalité ! (titre putaclic)
Déclin des oiseaux : bref décryptage d'une manipulation scientifico-médiatique
Cinq grandes ceintures agricoles aux États-Unis d'Amérique
Retour à l'accueil
Commenter cet article

Pages

Catégories

Archives

Theme: Classical © 2024 - Hébergé par Overblog

GoTop