Le groupe Veolia et l’AMV (Association des maires de Vaucluse) ont organisé une table-ronde sur le thème : ‘Cybersécurité et eau : collectivités, services publics, entreprises… Tous concernés’. Cette matinale, qui s’est tenue à l’Isle-sur-la-Sorgue, a été notamment l’occasion de rappeler les enjeux majeurs liés à la cybersécurité et de donner les clés pour pouvoir faire face à cette menace qui ciblent de plus en plus des collectivités de plus en plus en première ligne.
« Toutes les organisations, quelles que soient leurs tailles et leurs domaines d’activité sont potentiellement concernées par les menaces de cyberattaques, expliquait Olivier Campos, directeur Veolia eau Provence-Alpes en préambule de cette 4e matinale climat organisé dans la Région Sud. Il est désormais essentiel pour les entreprises et les collectivités, dans le domaine de l’eau notamment, de prendre la pleine mesure cyber et se protéger. Ces rendez-vous, à destination des acteurs de premières lignes ont pour objectifs de favoriser les échanges, les interrogations, les retours d’expériences entre les différents experts qui interviennent sur le sujet mais également avec les élus et les représentants des collectivités présents. »
« Les cyberattaques s’en prennent à ceux qui sont le moins bien protégés. »
Célia Nowak, déléguée régionale Paca de l’ANSSI
Données compromises pour 1 français sur 2
Après un mot d’accueil de Pierre Gonzalvez, maire de l’Isle-sur-la-Sorgue et président de l’AMV, sur la nécessité pour les collectivités de se prémunir contre les cyberattaques et leurs conséquences, les six intervenants ont dressé un état des lieux complet de la menace.
A une période où selon la CNIL (Commission nationale de l’informatique et des libertés) 1 français sur 2 a vu ses données personnelles compromises à la suite d’attaque et où plus de 2 500 actions de suspension de sites illicites utilisés pour de vastes campagnes d’hameçonnage ont été réalisées contre le cybersquattage de noms de domaines des collectivités, Célia Nowak, déléguée régionale Paca à la sécurité numérique pour l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a rappelé la réglementation actuelle ainsi que les techniques des cyberpirates. Des méthodes que l’on pourrait assimiler à « une logique de la pêche au chalut » afin de ratisser le plus large possible pour s’attaquer aux plus ‘faibles’, c’est-à-dire ceux qui sont le moins bien protégés. Avec un souci de rentabilité, en jouant sur la masse des attaques, qui a pour conséquence qu’il n’est nul besoin d’être une cible directe pour en être la victime.
« On n’est jamais assez préparé »,
Jérôme Poggi, Responsable de la sécurité des systèmes d’information à la ville de Marseille
Epée de Damoclès 2.0 ?
Un risque permanent, sorte de d’épée de Damoclès 2.0, que confirme le commandant Nidhal Ben Aloui, conseiller cyber du commandant de région de gendarmerie Paca, chef de la section cyber et anticipation cyber de la division régionale des réserves : « Au niveau financier le ransomware est le plus rentable. La France a versé 888 M€ de rançon en 2022. »
Dans tous les cas, le commandant de gendarmerie assure qu’il est impératif de prévenir les autorités, que ce soit pour mieux se défendre ou tenter d’identifier les attaquants pour les mettre hors d’état de nuire ou limiter les effets. « Il est très important de réagir vite », explique le militaire.
« Il faut pouvoir continuer à fonctionner en mode dégradé. »
Franck Galland, directeur général d’Environmental Emergency & Security Services
Une rapidité de réaction que confirme Jérôme Poggi, RSSI (responsable de la sécurité des systèmes d’information) à la ville de Marseille dont les services ont été victime d’une cyberattaque le 14 mars 2020 à 7h31.
Après avoir témoigné de la difficulté de se remettre de telles attaques, plusieurs mois, il a insisté sur les conséquences parfois inattendues qu’elles pouvaient avoir sur la bonne marche de la collectivité (gestion des cimetières, Etat-civil, impact humain, sentiment de remise en cause…). « On n’est jamais assez préparé », prévient-il.
« Il faut effectivement prendre en compte le temps long d’une telle crise et donc anticiper pour pouvoir continuer à fonctionner en mode dégradé », estime pour sa part Franck Galland, directeur général d’Environmental Emergency & Security Services et président-fondateur d’Aqua Sûreté, expert en sécurité des infrastructures hydrauliques.
C’est avec cette volonté d’anticipation, qu’en vue des JO de Paris, cet expert de la sûreté dans le domaine de l’eau a participé à un exercice de crise d’une attaque cyber dans une station d’épuration Veolia en Île-de-France.
« Nous proposons des mesures techniques de protection en faisant très attention aux accès à distance demandés par les clients. »
Meriem Riadi, directrice des systèmes d’information Veolia Eau France
Sécuriser l’approvisionnement en eau
Chez Veolia, cette prévention de la menace passe notamment par un accompagnement des collectivités partenaires.
« Tout d’abord, nous mettons en place une forte sensibilisation aux aspects humains, insiste Meriem Riadi, directrice des systèmes d’information Veolia Eau France. Ensuite nous proposons des mesures techniques de protection en faisant très attention aux accès à distance demandés par les clients, car ouvrir des portes et créer des interconnexions a des conséquences. On protège aussi les systèmes informatiques dans l’usine via des antivirus. Il faut aussi détecter les incidents qui peuvent arriver et enfin, se préparer opérationnellement en ayant des sauvegardes, être capable de les restaurer, mener des exercices de crise… »
« Cette connectivité expose ces systèmes à des cyberattaques potentielles. »
Olivier Campos, directeur Veolia eau Provence-Alpes
« Les services d’eau et d’assainissement étant vitaux pour notre société, ils sont également vulnérables aux menaces cybernétiques, ce qui rend la cybersécurité d’une importance capitale pour Veolia, rappelle Olivier Campos, le directeur Provence-Alpes. Les systèmes de contrôle industriel utilisés pour gérer les infrastructures d’eau et d’assainissement sont de plus en plus connectés à internet pour des raisons d’efficacité et de commodité. Cependant, cette connectivité expose ces systèmes à des cyberattaques potentielles. Une attaque réussie pourrait perturber l’approvisionnement en eau ou l’assainissement, avec des conséquences potentiellement désastreuses pour la santé publique et l’environnement. Le sujet est également sensible car Veolia gère une grande quantité de données sensibles sur ses clients. »
« Il ne viendrait jamais à l’idée pour un élu d’ouvrir un établissement qui n’est pas aux normes sans contrôle préalable. »
Léo Gonzales, PDG de Devensys cybersécurité
Quelles sont les solutions et que faire en cas d’attaque ?
« Il faut responsabiliser et sensibiliser les dirigeants ou les élus aux risques cyber pour qu’ils prennent leurs responsabilités, mettent les moyens humains, techniques et financiers en face du risque, précise Léo Gonzales, PDG de Devensys cybersécurité à Montpellier. C’est exactement ce qu’il se passe pour le risque juridique, ou encore avec le risque sûreté (normes ERP pour les bâtiments, sécurité incendie, etc.) Il ne viendrait jamais à l’idée pour un dirigeant ou élu d’ouvrir un établissement qui n’est pas aux normes sans contrôle préalable (consuel, pompiers, etc.). Idem avec le contrôle technique et l’entretien des voitures, ou les équipements de sécurité préventive (airbag, radar avec freinage auto, etc.). Pourtant, c’est comme la cyber… on investit pour ‘rien’ au départ. Mais ne pas prévoir à la conception les buses d’extinction incendie dans un hôtel, ou les portes coupe-feu, cela couterait extrêmement cher de le rajouter après. »
Des diagnostics gratuits existent rappellent Célia Nowak pour l’ANSSI ainsi que le commandant Nidhal Ben Aloui pour la gendarmerie.
« Nous disposons de guides et d’outils mis à disposition des collectivités dans les domaines de la prévention, de la détection et de la réaction », complète la déléguée régionale de l’ANSSI qui peut s’appuyer sur le CSIRT (Computer security incident response team) de Paca qui traitent les demandes d’assistance des acteurs de taille intermédiaire (PME, ETI, collectivités territoriales et associations).
Même offre complémentaire pour les gendarmes : « nous proposons des supports d’informations lors des situations de crise ainsi que les listes de contacts en cas d’urgence. Nous avons aussi formé des référents dans les brigades de la Région Sud afin d’apporter des réponses adaptées en fonction des profils des personnes qui nous sollicitent. »
« La question n’est pas de savoir si vous subirez une cyberattaque, mais quand ? »
S’adapter en permanence aux nouveaux défis
S’il est nécessaire de dresser un diagnostic de sa vulnérabilité face aux cyberattaques ainsi que de savoir comment réagir « une poignée d’actions ‘défensives’ constituent déjà la clef pour limiter drastiquement les risques (sauvegardes, cloisonnement, antivirus), résume Léo Gonzales de Devensys cybersécurité. Les attaquants innovent en permanence et il faut s’adapter en face. Il y a forcément une certaine latence dans la réponse, et un coût financier et humain. L’objectif étant de rendre l’attaque plus complexe, plus longue, plus chère. »
De faire en quelques sorte, que le cyberpirate passe son chemin pour, qu’à l’image d’un cambrioleur qui évite une maison avec un chien ou une alarme, il s’oriente vers un ‘voisin’ moins protégé.
« On doit aussi penser à des systèmes de détection, pour le cas où cela devient trop tard, afin que les ‘voleurs’ sachent que la ‘police’ arrive très rapidement, et qu’ils n’aient pas le temps de faire trop de dégâts », poursuit Leo Gonzales.
« Il ne faut pas rester seul. »
Commandant Nidhal Ben Aloui, conseiller cyber du commandant de région de gendarmerie Paca,
Au final, l’ensemble des intervenants s’accordent sur un point : « La question n’est pas de savoir si vous subirez une cyberattaque, mais quand ? »
C’est pour cela qu’à l’image de la Ville de Marseille et de son responsable de la sécurité des systèmes d’information, la collectivité phocéenne est sur le qui-vive. : « Nous pratiquons des exercices en permanence, confie Jérôme Poggi. On teste les sauvegardes, on teste les procédures, on teste la réactivité des équipes, on teste encore et encore pour faire face à toutes les éventualités. »
Cependant, si les solutions peuvent apparaître uniquement techniques, il ne faut pas négliger l’impact humain. « Il ne faut pas rester seul. Il faut savoir s’entourer, insiste le commandant Nidhal Ben Aloui. Surtout si parfois à tort, on pense être bien préparé à une attaque. »
Et le gendarme, comme plusieurs intervenants, d’évoquer les conséquences humaines (dépression, burnout et même suicide) de certaines de ces attaques pour les dirigeants, élus ou chefs de service qui s’en sentent responsables.
