Imaginez. Il est 3h18 du matin et tout le monde à des kilomètres à la ronde dort profondément. Vous aussi, vous dormez. Pourtant, à 8 000 km de là, un pirate informatique a réussi à pénétrer sans autorisation dans le système non sécurisé qui contrôle votre infrastructure d’eau potable.
À votre insu, ainsi qu’à celui du directeur de l’usine et de la ville endormie qui vous entoure, les produits chimiques utilisés par les experts pour garantir une eau potable sûre et conforme sont modifiés.
Les produits chimiques utilisés pour contrôler le pH de l’eau et pour minimiser efficacement la corrosion des conduites d’eau ont été augmentés à des niveaux mortels. Et, dans quelques heures seulement, la ville endormie se réveillera pour commencer une nouvelle journée, sans savoir que son eau potable est désormais toxique.
N’imaginez plus. Un tel scénario a failli se produire en février 2021, lorsqu’un pirate informatique a réussi à pénétrer dans le système en ligne et à modifier délibérément les niveaux d’hydroxyde de sodium dans une usine de traitement des eaux de Floride, aux États-Unis, qui fournit de l’eau potable à plus de 15 000 habitants de la ville d’Oldsmar.
Ce qui est inquiétant dans cet événement, c’est que la nature vitale de l’industrie de l’eau en fait une cible de choix pour les gouvernements et les cybercriminels. Le premier acte de guerre cybernétique recensé remonte à juin 1982 et consistait en une modification frauduleuse du logiciel contrôlant la régulation des pompes, des vannes et des turbines du gazoduc transsibérien. Cela a provoqué l’explosion non nucléaire la plus remarquable jamais observée depuis l’espace.
Depuis lors, les cyberattaques n’ont cessé de prendre de l’ampleur. En 2018, les cyberattaques servaient principalement de techniques d’extorsion par de petits groupes ou des organisations criminelles, à l’aide de ransomware (rançongiciels). Néanmoins, les troubles géopolitiques et le cyberterrorisme sont également des facteurs de risque importants qu’il ne faut pas minimiser. Par exemple, en un seul mois, en mai 2019, plus de 170 attaques contre des infrastructures hydrauliques ont été enregistrées rien qu’aux États-Unis.
En 2021, les agences gouvernementales de sécurité de l’information et les entreprises spécialisées dans la cybersécurité prévoient une augmentation des cyberattaques, principalement des attaques par ransomware ciblant des industries stratégiques.
« Quand on prend tout cela en considération, il est clair que notre priorité numéro un est de proposer des produits dotés d’une sécurité numérique et d’une conformité de premier ordre », explique Marcelo França, responsable de la sécurité de l’information pour la division Technologies et Contracting de Veolia. « Nous garantissons un haut niveau de cybersécurité, depuis la solution de connectivité à vos systèmes de contrôle industriel jusqu’à l’isolation des couches applicatives. Nous assurons la protection des données de nos clients grâce à un système d’accès robuste, une politique de chiffrement rigoureuse et des moyens de protection et de contrôle innovants qui font partie intégrante de notre ADN.»
Notre stratégie de sécurité repose sur les principes fondamentaux de la sécurité de l’information qui sont la confidentialité, l’intégrité et la disponibilité. Chaque élément d’un programme de sécurité de l’information, et chaque contrôle de sécurité mis en place par Hubgrade, a été conçu pour répondre à un ou plusieurs de ces principes.
Hubgrade garantit :
- la confidentialité, c’est-à-dire que seules les personnes autorisées ont accès aux informations sensibles. Elle est mise en œuvre à l’aide de mécanismes de sécurité tels que le chiffrement des données au repos et en transit, le contrôle de l’accès aux données par le biais de noms d’utilisateur et de mots de passe, ainsi que des dispositifs physiques sécurisés ;
- l’intégrité, de sorte que les informations conservent un format qui est fidèle et correct par rapport à leurs objectifs initiaux. Le récepteur des informations doit obtenir les informations que le créateur voulait qu’il ait. Elle est mise en œuvre à l’aide de mécanismes de sécurité tels que le chiffrement et le hachage des données ;
- la disponibilité, en garantissant que les informations et les ressources sont disponibles pour ceux qui en ont besoin. Elle est mise en œuvre à l’aide de méthodes telles que la maintenance du matériel, les correctifs de logiciels et l’optimisation du réseau. Elle bénéficie également de l’infrastructure cloud d’Amazon Web Services pour garantir une disponibilité élevée. Des dispositifs de pare-feu dédiés aux réseaux et aux applications web sont utilisés pour se prémunir contre les temps d’arrêt et les données inaccessibles en raison d’actions malveillantes telles que les attaques par déni de service distribué (DDoS).
Notre équipe chargée de la cybersécurité apporte une nouvelle impulsion pour relever les défis auxquels nous serons confrontés dans les années à venir. Nous mettons en œuvre une nouvelle stratégie, qui nous permettra d’avoir encore plus de contrôle pour renforcer notre niveau de cybersécurité et certifier notre système de gestion de la sécurité. Nous avons mis en place une académie axée sur la cybersécurité qui propose différents modules, allant des notions de base à une sensibilisation avancée à la cybersécurité.
« Nous offrirons des conseils à toutes les équipes qui contribuent au succès de nos produits, y compris nos clients, car nous sommes convaincus que chacun a un rôle à jouer dans la sécurité », explique M. França. « Nous lançons une stratégie ambitieuse de modernisation de la sécurité fondée sur notre expérience dans le secteur des eaux industrielles tout en incluant les dernières normes internationales en matière de protection de l’information et de protection industrielle. »
Les années à venir nous permettront de mettre au point davantage de solutions adaptées aux menaces du présent et du futur en nous associant à des acteurs innovants et représentatifs dans le domaine de la cybersécurité.
M. França ajoute : « Sans dévoiler le contenu de notre stratégie, je peux citer quelques technologies et services, comme la microsegmentation, le contrôle continu des vulnérabilités (bug bounty), l’intégration de plus de sécurité dans chaque brique du pipeline CI/CD (DevSecOps) et un contrôle rigoureux de la chaîne d’approvisionnement qui contribueront au succès de notre système. »
Pour assurer notre mission, à savoir maintenir les services essentiels de distribution d’eau et d’assainissement afin de protéger la santé humaine et l’environnement, nous avons besoin de systèmes complexes et entièrement connectés, flexibles, capables d’utiliser un flux constant de données provenant des opérations et des systèmes de production connectés pour apprendre, s’adapter aux nouvelles demandes et bénéficier de l’accès à une expertise.
Cela nécessite le traitement d’informations sécurisées et la mise en œuvre de systèmes opérationnels. « Cette infrastructure doit être protégée à tout prix », explique M. França. « Et nous sommes prêts à le faire. Hubgrade s’inscrit dans la digitalisation impérative de ces nouveaux services industriels. Nous fournissons à nos clients les meilleurs outils et l’expertise nécessaire pour surveiller, évaluer et optimiser à distance la gestion des ressources en eau et en énergie. »