États-Unis : vers des normes cyber pour le secteur de l’eau

Le National Institute of Standards and Technology (NIST), l’organisme chargé de la normalisation du secteur industriel, a ouvert, le 9 novembre 2022, une consultation publique. Elle concerne son projet de normes de cybersécurité pour le secteur de l’eau, mené par le National Cybersecurity Center of Excellence (NCCoE).

Ce projet part du constat que les services publics de traitement des eaux s’appuient de plus en plus sur l’automatisation, les capteurs, la collecte de données, les dispositifs de réseau et les logiciels d’analyse – augmentant d’autant leur vulnérabilité à une cyberattaque.

« Les parties prenantes du secteur de l’eau et des eaux usées s’accordent à dire que des références supplémentaires pour la mise en œuvre de la cybersécurité sont nécessaires pour contribuer à la protection des infrastructures critiques », précise le NCCoE dans la présentation du projet de normalisation.

Dans le détail, cette consultation va nourrir l’étude de cas que le NCCoE va mener en laboratoire, afin de proposer au NIST un guide des pratiques de cybersécurité : il comprendra une liste d’étapes détaillées pour mettre en œuvre une architecture de référence, et a l’ambition de servir de « point de départ » aux services publics désireux de sécuriser leurs environnements de production.

Pour rappel en 2021, un cybercriminel est parvenu à accéder aux SI de pilotage d’une station de traitement des eaux à Oldsmar, en Floride. Il a alors tenté d’en augmenter la teneur en soude à des niveaux dangereux. L’attaque a été déjouée, mais elle a mis en alerte les autorités américaines sur la criticité du secteur de l’eau et sa vulnérabilité aux cyberattaques.