En 2024, le secteur de l’eau a fait l’objet d’une attention particulière par des attaquants informatiques aux motivations et profils hétérogènes. Si le secteur est critique par essence à la fois pour la population et les industries, l’importance portée à la qualité de l’eau de la Seine dans le contexte des Jeux Olympiques et Paralympiques 2024 a accentué son exposition.
À plusieurs reprises au cours de l’année, des groupes hacktivistes pro-russes ont ciblé ou menacé des infrastructures du secteur dans un objectif de médiatisation et de fragilisation des pouvoirs publics. Le secteur est la cible de différents types d’acteurs malveillants qui cherchent à exploiter plusieurs faiblesses telles que l’héritage d’installations anciennes, le dispersement géographique des sites ou le faible budget alloué à la sécurité.
L’hétérogénéité des opérateurs, en termes de statut, de taille d’organisation et de maturité de la sécurité des systèmes d’information (SI) constitue également des opportunités d’action pour les attaquants.
Les nombreuses compromissions d’interfaces homme-machine exposées sur Internet, parfois sans authentification, illustrent le manque de prise en compte de la sécurité informatique en particulier par les acteurs de petite taille.
De plus, l’emploi généralisé de la télégestion et le passage à l’industrie 4.0 1 , notamment pour la maîtrise des fuites, ont entraîné des évolutions rapides des SI parfois insuffisamment sécurisés, augmentant ainsi la surface d’attaque.
Si ces différentes faiblesses sont des cibles faciles pour les attaquants, le risque de compromission par la chaîne d’approvisionnement demeure aussi un enjeu important qui doit être pris en compte par les organisations dans le cadre de leurs relations avec leurs partenaires, fournisseurs et prestataires.
Entre janvier 2021 et août 2024, 46 entités du secteur de la gestion de l’eau ont été touchées par un évènement de sécurité d’origine informatique traité par l’ANSSI. Parmi ces entités, 12 sont des opérateurs régulés, représentant 34% des évènements de sécurité traités et 7 ont fait l’objet de multiples évènements de sécurité sur la période étudiée.
Au-delà des campagnes de déstabilisation, la menace cybercriminelle, qui poursuit des objectifs lucratifs, reste la menace la plus importante. Le faible niveau de sécurité permet à des attaquants de compromettre des SI à travers différents vecteurs. Sur 28 compromissions signalées à l’ANSSI, 8 ont mené au déploiement d’un rançongiciel.
L’espionnage et le positionnement stratégique sur des SI en vue de mener des actions ultérieures sont également des menaces qui visent ce secteur et peuvent s’inscrire dans le cadre de campagnes plus globales de ciblage de secteurs stratégiques comme l’énergie. Ces attaques ont lieu plus particulièrement dans des zones de forte tension, notamment en mer de Chine méridionale.
Enfin, le sabotage d’entités du secteur de l’eau opéré par des modes opératoires réputés étatiques reste aujourd’hui à la marge et restreint aux zones de conflit.
Menaces ciblant le secteur de l’eau
- Attaques informatiques à des fins lucratives
- Attaques informatiques à des fins de déstabilisation
Hacktivisme
Ciblage par des Modes Opératoires d’Attaques réputés étatiques
Attaquant interne
- Attaques informatiques à des fins de prépositionnement
- Attaques informatiques à des fins d’espionnage
ANSSI - CERTFR-2024-CTI-011 du 28 novembre 2024
À plusieurs reprises au cours de l’année, des groupes hacktivistes pro-russes ont ciblé ou menacé des infrastructures du secteur dans un objectif de médiatisation et de fragilisation des pouvoirs publics. Le secteur est la cible de différents types d’acteurs malveillants qui cherchent à exploiter plusieurs faiblesses telles que l’héritage d’installations anciennes, le dispersement géographique des sites ou le faible budget alloué à la sécurité.
L’hétérogénéité des opérateurs, en termes de statut, de taille d’organisation et de maturité de la sécurité des systèmes d’information (SI) constitue également des opportunités d’action pour les attaquants.
Les nombreuses compromissions d’interfaces homme-machine exposées sur Internet, parfois sans authentification, illustrent le manque de prise en compte de la sécurité informatique en particulier par les acteurs de petite taille.
De plus, l’emploi généralisé de la télégestion et le passage à l’industrie 4.0 1 , notamment pour la maîtrise des fuites, ont entraîné des évolutions rapides des SI parfois insuffisamment sécurisés, augmentant ainsi la surface d’attaque.
Si ces différentes faiblesses sont des cibles faciles pour les attaquants, le risque de compromission par la chaîne d’approvisionnement demeure aussi un enjeu important qui doit être pris en compte par les organisations dans le cadre de leurs relations avec leurs partenaires, fournisseurs et prestataires.
Entre janvier 2021 et août 2024, 46 entités du secteur de la gestion de l’eau ont été touchées par un évènement de sécurité d’origine informatique traité par l’ANSSI. Parmi ces entités, 12 sont des opérateurs régulés, représentant 34% des évènements de sécurité traités et 7 ont fait l’objet de multiples évènements de sécurité sur la période étudiée.
Au-delà des campagnes de déstabilisation, la menace cybercriminelle, qui poursuit des objectifs lucratifs, reste la menace la plus importante. Le faible niveau de sécurité permet à des attaquants de compromettre des SI à travers différents vecteurs. Sur 28 compromissions signalées à l’ANSSI, 8 ont mené au déploiement d’un rançongiciel.
L’espionnage et le positionnement stratégique sur des SI en vue de mener des actions ultérieures sont également des menaces qui visent ce secteur et peuvent s’inscrire dans le cadre de campagnes plus globales de ciblage de secteurs stratégiques comme l’énergie. Ces attaques ont lieu plus particulièrement dans des zones de forte tension, notamment en mer de Chine méridionale.
Enfin, le sabotage d’entités du secteur de l’eau opéré par des modes opératoires réputés étatiques reste aujourd’hui à la marge et restreint aux zones de conflit.
Menaces ciblant le secteur de l’eau
- Attaques informatiques à des fins lucratives
- Attaques informatiques à des fins de déstabilisation
Hacktivisme
Ciblage par des Modes Opératoires d’Attaques réputés étatiques
Attaquant interne
- Attaques informatiques à des fins de prépositionnement
- Attaques informatiques à des fins d’espionnage
ANSSI - CERTFR-2024-CTI-011 du 28 novembre 2024