Cybersécurité : Comment moderniser, optimiser et protéger grâce aux technologies
Alors que le nombre de cyberattaques augmente, la protection des infrastructures essentielles prend une nouvelle importance. Le domaine de l’eau ne fait pas exception. En 2022, le gouvernement américain a sélectionné l’eau comme l’un des domaines d’infrastructure essentiels dans lesquels renforcer les normes de sécurité minimales. D’autres gouvernements renforcent également les normes de cybersécurité.
L’attention portée aux services de distribution d’eau s’accompagne d’une volonté d’adopter les technologies numériques de nouvelle génération. Les opérateurs ont besoin de services et de solutions numériques de confiance.
Pour Kenneth Crowther, chef Sécurité Produits de Xylem, les services publics ont ainsi une opportunité de bénéficier des bénéfices du numérique tout en renforçant les protections de sécurité grâce à une approche de responsabilité partagée avec les fournisseurs de technologies.
—
Alors que nous développons la prochaine génération de technologies qui donne aux agents des services publics plus de pouvoir, l’un des principaux messages que nous voulons faire passer à nos clients c’est qu’ils ne sont pas seuls.
Chez Xylem, nous nous efforçons de fournir des solutions et des services numériques intégrant des protections en matière de cybersécurité. Mais nous allons aussi plus loin. Nous travaillons également avec les services pour comprendre les risques inhérents à leurs opérations puis nous prenons ensuite des mesures pour les aider à exploiter et à maintenir leurs solutions en toute sécurité.
Cela signifie qu’au sens numérique, la protection ne se limite pas au capteur dans le sol. Le numérique ouvre également la voie à d’autres possibilités telles que la surveillance et le contrôle par le biais d’une technologie basée sur le cloud.
Adopter une approche plus connectée à de nombreux avantages, mais elle s’accompagne également d’un besoin plus important de garantir des protections en matière de cybersécurité.
C’est la raison pour laquelle le gouvernement américain a commencé à se préoccuper davantage de la cybersécurité des infrastructures essentielles. Ces dix dernières années, les attaques menées contre des systèmes vulnérables ont eu des conséquences sur les infrastructures essentielles. L’attention s’est principalement concentrée sur le réseau énergétique ainsi que sur le pétrole et le gaz. Ces secteurs tendent à être plus interconnectés et contrôlés de manière centralisée.
Le secteur de l’eau est différent. Aux États-Unis par exemple, plutôt qu’un système relativement interconnecté, il existe plus d’une centaine de milliers de systèmes indépendants. Plutôt qu’une organisation centralisée, il existe un ensemble d’établissements très dispersés.
Qu’est-ce que cela implique pour les opérateurs du secteur de l’eau ? Cela peut vouloir dire que nous avons besoin d’un nouveau modèle. Le socle de ce nouveau modèle est la technologie numérique connectée, dans laquelle les services partagés entrainent une efficience opérationnelle et des opportunités pour une expertise centralisée en matière de cybersécurité.
Des réglementations, telles que la loi américaine sur l’eau de 2018 (America's Water Infrastructure Act) et l’ajout de questions sur la cybersécurité à l’enquête sanitaire de l’Agence américaine de protection de l’environnement ont beaucoup contribué à sensibiliser le secteur à la cybersécurité. Mais pour relever les défis futurs liés à l’eau, il faudra changer la manière de penser et opter pour une responsabilité partagée qui correspond à la position unique et aux exigences du secteur de l’eau.
Travailler main dans la main avec les services de l’eau pour répondre aux défis
Les services de l’eau peuvent s’associer aux fournisseurs de technologies pour passer à des systèmes numériques à la fois rentables, faciles à mettre à jour, transparents et gérés de manière centralisée.
Cela veut également dire, et c’est essentiel, que la responsabilité de la cybersécurité est partagée.
La modernisation est l’occasion d’améliorer les protections en matière de cybersécurité et de pallier les faiblesses existantes tout en contribuant à la réalisation des priorités stratégiques et à la résolution des problèmes opérationnels. Dit plus simplement, les services de l’eau peuvent résoudre deux problèmes à la fois.
Nous pouvons protéger les services qui fonctionnent dans le cloud à l’aide de mécanismes de détection, de surveillance des menaces et de chasse. Nous pouvons ajouter de nombreux services à une infrastructure créée dans le cloud sans avoir besoin de recourir à du personnel spécialisé supplémentaire. C’est bien plus rentable grâce à la flexibilité constitutive du cloud.
Si on regarde les attaques menées contre les services de l’eau on s’aperçoit qu’une grande partie d’entre elles sont dues au vol d’informations d’identification ou à l’exploitation de vulnérabilités connues. Il est très fréquent qu’un pirate utilise un identifiant et un mot de passe valides pour se connecter.
Nous pouvons parfois rendre ce problème vaste et complexe, mais il n’est pas nécessaire de compliquer à l’excès notre réponse.
Si nous renforçons les bons endroits et que nous donnons la priorité à ce qui est important, nous pouvons améliorer et même simplifier la cybersécurité.
L’éducation en est un élément essentiel, mais que se passe-t-il en cas de problème ? Si nous pouvons travailler sur la base d’un modèle de responsabilité partagée, dans lequel nous comprenons comment tout est connecté et comment répondre à un incident, nous pouvons contrôler où vont les données. Nous pouvons gérer les à distance, mettre à jour les systèmes en toute sécurité en appuyant de manière contrôlée sur un bouton et ajouter une détection des menaces. Si une erreur est commise, nous pouvons aider à la rattraper avant que ça ne devienne un gros problème.
En tant que fournisseurs de solutions et de services dans le domaine de l’eau, nous travaillons avec d’autres experts du secteur réunis par l’Agence de cybersécurité et de sécurité des infrastructures (la CISA, Cybersecurity and Infrastructure Agency, est une agence fédérale américaine) afin de créer et de collaborer sur les pratiques et les protections minimales à adopter en matière de cybersécurité. Les services de l’eau peuvent déjà évaluer ce qu’ils ont mis en place en matière de sécurité. Xylem, par exemple, propose des services d’audit de la cybersécurité qui comprennent des analyses d’experts des systèmes de technologie opérationnelle dans le secteur de l’eau, ainsi que des recommandations de mesures correctives exploitables pour aider les services publics dans leur transformation numérique et leur croissance.
Mais nous pouvons aussi voir un peu plus grand. Nos technologies numériques et notre capacité à moderniser les systèmes nous aident à résoudre les problèmes liés à l’eau tout en instaurant la confiance.
Pour en savoir plus sur la cybersécurité et les services de l’eau, lisez
Série sur la cybersécurité : Protéger les systèmes SCADA du piratage
Série sur la cybersécurité : réfléchir dès aujourd’hui pour répondre intelligemment aux incidents